到达网卡的数据包,这里,到达网卡的数据包可以指用户终端的主机向网卡发送的数据包。
[0049]在实际应用中,NDIS定义了网卡或网卡驱动程序与上层协议驱动程序之间的通信接口规范,屏蔽了底层物理硬件的不同,使上层的协议驱动程序可以和底层任何型号的网卡通信。可以通过WinPcap (windows packet capture,windows平台下一个公共的网络访问系统,用于网络封包的抓取)从NDIS中间层抓取数据包,也可以通过MicrosoftNetworkMonitor ( 一款网络协议数据分析工具,其能够将计算机上的各种网络接口装置显示在同一个画面之中,并且告诉使用者每一个接口的实时流量,不论是流入或流出,都能够清楚显示)进行抓取。
[0050]可以理解,上述监测到达网卡的数据包的过程只是作为可选实施例,实际上,本发明实施例对于监测到达网卡的数据包的具体过程不加以限制。
[0051]步骤102、对所述数据包进行解析,以得到对应的五元组信息;
[0052]在实际应用中,可以依据数据包的封装过程进行数据包的解析。例如,在本发明的一种应用示例中,假设五元组信息被记录在数据包的有效载荷数据(payload data)中,则可以从有效载荷数据中获取对应的五元组信息,可以理解,本发明实施例对于通过解析获取数据包中五元组信息的具体过程不加以限制。
[0053]步骤103、在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则可以为控制终端所提供。
[0054]本发明实施例中,五元组阻断规则可用于表示阻断数据包的条件和门槛,在所述五元组信息符合预置的五元组阻断规则时,可以认为该数据包容易引起局域网的安全隐患,因此可以阻断该数据包。其中,可以通过丢弃该数据包等方式进行该数据包,实际上,阻止该数据包的有效信息到达对应接收端的任意阻断方式均是可行的,本发明实施例对于阻断所述数据包的具体方式不加以限制。
[0055]在本发明的一种可选实施例中,所述五元组信息具体可以包括:源IP地址、源端口、目的IP、目的端口和传输层协议,则所述预置的五元组阻断规则具体可以包括:目的IP地址所属的网段、目的端口和传输层协议中至少一项对应的阻断规则。则在实际应用中,可以将数据包的五元组信息与五元组阻断规则中的信息进行匹配,若匹配成功,则可以认为五元组信息符合预置的五元组阻断规则。
[0056]本发明实施例中,预置的五元组阻断规则可以为控制终端根据局域网内部的安全需求和/或用户终端的实际状态确定的阻断规则。在本发明的一种可选实施例中,上述安全需求可用于确定需要阻断的至少一项五元组信息;例如,在局域网中某个数据库涉及敏感数据,需要被保护,则可以将该数据库对应服务器的IP地址1所属的网段作为上述五元组阻断规则中目的IP地址所属的网段,或者,可以将该数据库对应服务器的端口 1作为上述五元组阻断规则中目的端口。
[0057]在本发明的另一种可选实施例中,上述用户终端的实际状态可以依据用户终端对应的用户权限来确定。例如,虽然上述数据库涉及敏感数据,但是用户A具有管理员权限,而用户B仅具有普通权限,故用户A可以访问上述数据库,而用户B不可用访问数据库;因此,用户A的五元组阻断规则中可以不包括上述数据库对应服务器的IP地址1,这样,当用户A发出以上述IP地址1为目的IP的数据包时,用户A的用户终端可以放行该数据包;而针对上述而用户B的五元组阻断规则中则可以不包括上述数据库对应服务器的IP地址1,这样,当用户B发出以上述IP地址1为目的IP的数据包时,用户B的用户终端可以阻断该数据包。可以看出,不同的用户终端可以具有不同的五元组阻断规则。
[0058]在本发明的再一种可选实施例中,考虑到SNMP协议为用于进行网络管理的协议,而网络管理将容易导致数据的泄露,故可以将SNMP协议作为上述五元组阻断规则中的传输层协议。
[0059]以上对五元组阻断规则的预置过程进行了详细介绍,可以理解,上述预置过程只是作为可选实施例,而不理解为本发明实施例对于五元组阻断规则的预置过程的应用限制,实际上,控制终端的管理员可以根据局域网内部的安全需求和/或用户终端的实际状态预置对应的阻断规则,本发明实施例对于五元组阻断规则的具体预置过程不加以限制。
[0060]需要说明的是,本发明实施例的接入控制流程可由安全应用程序来执行,该安全应用程序可以定期向控制终端发送打点请求,而当一个周期内打点请求的次数超出请求阈值时,控制终端可以向用户终端下发对应的五元组阻断规则。在本发明的一种可选实施例中,在未接收到某用户终端的打点请求的情况下,控制终端可以认为该用户终端未安装该安全应用程序,故可以将该用户终端添加至过滤规则对应的白名单,以在交换机侧对该用户终端的数据包进行过滤,从而可以进一步提高局域网访问的安全性。
[0061]在本发明的一种可选实施例中,所述方法还可以包括:在所述五元组信息不符合预置的五元组阻断规则时,放行所述数据包。在所述五元组信息不符合预置的五元组阻断规则时,可以认为该数据包不容易引起局域网的安全隐患,因此可以放行该数据包。
[0062]综上,本发明实施例中上述五元组信息中传输层协议可以适用于HTTP、UDP、ARP、SNMP等任意传输层协议,因此相对于现有方案中RST协议仅适用于HTTP协议,本发明实施例能够增加数据包的适用范围。
[0063]并且,相对于现有方案一味地阻断或者放行用户终端接入网络、导致的安全性差和灵活性差的问题,本发明实施例可以依据安全需求,灵活地预置针对数据包的五元组阻断规则,例如,在某个网段对应服务器用于提供敏感数据时,可以依据该网段预置目的IP对应的五元组阻断规则,也即可以依据安全需求灵活地针对五元组信息中的至少一元信息预置对应的五元组阻断规则,因此本发明实施例能够提高接入控制的灵活性、以及能够提高局域网的安全性。
[0064]参照图2,示出了根据本发明一个实施例的一种接入控制方法的步骤流程图,应用于用户终端,具体可以包括如下步骤:
[0065]步骤201、监测到达网卡的数据包;
[0066]步骤202、对所述数据包进行解析,以得到对应的五元组信息;
[0067]步骤203、对所述用户终端进行基线检查;
[0068]步骤204、在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的基线阻断规则和所述预置的五元组阻断规则可以为控制终端所提供。
[0069]相对于图1所示实施例,本实施例增加了用户终端的基线检查过程,其中,上述基线检查可用于表示对用户终端的检查,当基线检查结果符合预置的基线阻断规则时,可以说明用户终端的基线检查未通过,因此,需要结合数据包的安全隐患确定是否阻断该数据包。具体地,若数据包的五元组信息符合预置的五元组阻断规则,可以认为该数据包容易引起局域网的安全隐患,因此可以阻断该数据包。本实施例同时采用基线检查结果和数据包的安全隐患进行该数据包的接入控制,因此能够进一步提高局域网的安全性。
[0070]本发明实施例中,上述基线检查可以涉及应用、进程、组件、密码强度等检查项目的检查,上述检测项目也可以为控制终端所提供的项目。可选地,而当一个周期内打点请求的次数大于得分阈值时,控制终端可以向对应的用户终端下发对应的检查项目。
[0071]本发明实施例可以提供对所述用户终端进行基线检查的如下技术方案:
[0072]技术方案1
[0073]技术方案1中,所述对所述用户终端进行基线检查的步骤,具体可以包括:对所述用户终端上已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以判断所述用户终端上是否存在所述控制终端提供的预置项目;
[0074]则所述基线检查结果符合预置的基线阻断规则,具体可以包括:所述单个预置项目或者预置项目的组合对应的规则。
[0075]在实际应用中,控制终端可以向用户终端提供包括有单个预置项目或者预置项目的组合的基线阻断规则,这样,当基线检查结果命中基线阻断规则时,可以认为用户终端的基线检查不通过。
[0076]在本发明的一种可选实施例中,所述预置项目具体可以包括如下项目中的至少一项:未安装反病毒应用、存在不符合第一预置条件的反病毒应用、存在被禁止的应用、及运行被禁止的应用和服务。
[0077]在本发明的一种应用示例1中,上述基线阻断规则具体可以包括:用户终端未安装预置杀毒应用,或者,用户终端已安装预置杀毒应用的版本号和病毒库不是最新的。在本发明的一种应用示例2中,上述基线阻断规则具体可以包括:用户终端上运行有远程控制应用。在本发明的一种应用示例3中,上述基线阻断规则具体可以包括:用户终端未开启防火墙组件。在本发明的一种应用示例4中,上述基线阻断规则具体可以包括:用户终端安装有QQ、IE代理等被禁止的应用。在本发明的一种应用示例5中,上述基线阻断规则具体可以包括:用户终端未开启防火墙组件。在本发明的一种应用示例6中,上述基线阻断规则具体可以包括:用户终端对应操作系统的登录密码强度不符合预置强度条件等。可以理解,控制终端的管理员可以根据实际安全需求,灵活地预置基线阻断规则,本发明实施例对于具体的基线阻断规则不加以限制。
[0078]技术方案2
[0079]技术方案2中,所述对所述用户终端进行基线检查的步骤,具体可以包括:对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以得到所述用户终端的得分;
[0080]则所述基线检查结果符合预置的基线阻断规则,包括:所述用户终端的得分小于得分阈值。
[0081]在本发明的一种应用示例中,用户终端的得分可以具有初始值Μ和当前值Mi,则在用户终端命