一种双认证网络安全系统的制作方法
【专利摘要】本发明公开了一种双认证机制的网络安全系统,包括位于外网防火墙和第一交换机之间的外网认证模块、位于内网计算机和第二交换机之间的内网认证模块、与第二交换机连接的设备认证服务器、与第一交换机连接的网管设备。网管设备管理用户的外网访问权限,设备认证服务器存储允许接入内网的设备信息。防火墙用户防范来自外网的木马、病毒攻击,外网认证模块用户内网用户访问外网的权限控制,内网认证模块用于对申请接入内网的设备进行权限控制。其防范严密,管理方便,提高了安全性能。
【专利说明】
一种双认证网络安全系统
技术领域
[0001]本实发明涉及网络技术领域,尤其涉及一种网络安全系统,具体是一种双认证网络安全系统。
【背景技术】
[0002]随着计算机科学技术的发展,信息安全问题在网络建设和维护中面临的挑战越来越严峻,特别是2010年之后,网络攻击事件与日剧增。而考虑到网络给我们的工作生活带来的便利性,我们不可能因噎废食抛弃网络,就需要一种更安全的管理系统。传统的计算机会同时联通内网和外网,虽然提高了工作效率,但是信息安全时常受到外部和内部的木马、病毒、黑客威胁,如果信息被泄露或者破坏,就会造成不可挽回的损失。现有的信息安全系统一般包括防火墙设备、行为监管设备、接入控制设备、流量控制设备,这些设备会集中设置在内部网络和外部网路的接口处,然后通过对进出内部网络的数据监控进行防御、扫描、屏蔽、记录等操作,从而避免外部非法入侵和内部数据流出,进而起到维护内部网络安全的作用。但是现有的网络安全系统会存在如下缺陷:
[0003]第一,认证模块不够简洁高效,反而给内部使用人员造成障碍;
[0004]第二、只限制外网接入不限制内网接入,导致黑客可以轻易进入内网,进而攻入内部服务器;
[0005]第三,攻击手段变化多段,并且翻新较快,安全策略更新缓慢,导致不能有效防卫风险,很难对内部网络系统进行全面的安全保卫;
[0006]第四、现在的网络管理系统,都是限制内网用户的外网访问权限,而对用户接入内网不加限制,这就给黑客攻击留下漏洞。
【发明内容】
[0007]针对现有技术中的不足,本发明提供了一种网络更偏向于内网安全的网络安全系统。
[0008]为实现上述目的,本发明所采取的技术方案是:
[0009]—种双认证网络安全系统,其特征在于:包括直接与外部网络连接的防火墙、与防火墙连接的外网认证模块、与外网认证模块连接的第一交换机、与第一交换机连接的第二交换机、与第二交换机连接的内网认证模块、与内网认证模块连接的内网计算机,与第二交换机连接的设备认证服务器以及与第一交换机连接的网管设备;
[0010]所述的网管设备管理用户的外网访问权限;
[0011 ]所述的设备认证服务器存储允许接入内网的设备信息;
[0012]所述的防火墙用户防范外部的木马、病毒攻击;
[0013]所述的外网认证模块用户管理内网用户访问外网的权限;
[0014]所述的内网认证模块用户控制接入内网权限,对申请接入内网的内网计算机的MAC地址进行验证,当验证通过后才分配IP地址,否则拒绝接入;
[0015]所述的设备认证服务器存储允许接入内网的MAC信息和不允许接入内网的MAC信息;
[0016]所述的内网认证模块采用PPP协议,该协议为行业认同的公开协议。
[0017]本发明的有益效果:本发明的外网认证模块用于隔绝非法的外部网络连接,隔绝来自外网的病毒、木马攻击。新增的内网管理系统负责隔绝非法的设备连接内网,管理员可以在设备管理器上允许或禁止设备的接入权限,并且使用链路层协议,未经允许的设备不给分配IP地址,就可以有效防范黑客攻击。本发明构建的外网认证模块加内网认证模块组成的双认证模块,可以全方位防范黑客攻击。
【附图说明】
[0018]图1为本发明的结构示意图。
【具体实施方式】
[0019]一种双认证网络安全系统,包括直接与外部网络6连接的防火墙5,与防火墙5连接的外网认证模块7,与外网认证模块7连接的第一交换机I,第一交换机I与第二交换机2连接,第二交换机2和内网认证模块8相连接,内网设备通过连接内网认证模块8与第二交换机2连接,第二交换机2与设备认证服务器3连接,第一交换机I与网管设备4连接。网管设备4管理用户的外网访问权限,设备认证服务器3存储允许接入内网的设备信息。防火墙5用户防范外部的木马、病毒攻击,外网认证模块7用户管理内网用户访问外网的权限。
[0020]管理员在网管设备4上管理用户的外网访问权限,当设置用户权限为“允许”时,用户可以通过外网认证模块7。
[0021]内网认证模块8用户控制接入内网权限,对申请接入内网的第一内网计算机9、第二内网计算机10的MAC地址进行验证,当验证通过后才分配IP地址,否则拒绝接入。第一内网计算机10,第二内网计算机9为申请接入内网的计算机。
[0022]允许接入内网的MAC信息和不允许接入内网的MAC信息都存储在设备认证服务器3上。
[0023]内网认证模块8采用PPP协议,该协议为行业认同的公开协议。
[0024]内网认证模块8的工作机制为:物理接入的第二内网计算机9使用PPP协议发起接入申请,内网认证模块8获取第二内网计算机9的MAC地址,然后内网认证模块8将获取到的第二内网计算机9的MAC地址和存储在设备认证服务器3上的MAC地址库对比,如果设备认证服务器3上存有第二内网计算机9的MAC地址,且权限为“允许接入”,则允许第二内网计算机9接入,并为第二内网计算机9分配IP地址,此时第二内网计算机9才具备内网上网权限。如果设备认证服务器3存储有第二内网计算机9的MAC地址,但是权限为“禁止接入”,则不给第二内网计算机9分配IP地址,这样就从协议级禁止了第二内网计算机9进入内网,各种工作于网络层面的攻击工具就无法攻击内网了。如果设备认证服务器3上没有存储第二内网计算机9的MAC地址,默认是禁止接入。
[0025]当第二内网计算机9通过内网认证模块8的认证之后,获取ip地址,此时获取内网访问权限,可以访问内网服务器I。但是此时第二内网计算机9不具备外网访问权限,不能访问外部网络6。
[0026]外网认证模块7采用用户名/密码认证机制,用户名/密码信息存储在网管设备4上。
[0027]外网认证模块7的工作机制为:已经通过内网认证模块8认证的第一内网计算机10,通过访问web页面申请通过外网认证模块7。第一内网计算机10提供用户名/密码,外网认证模块7将第一内网计算机10提供的用户名/密码和存储在网管设备4上的用户名/密码比对,当第一内网计算机10提供的用户名/密码和网管设备4上存储的用户名/密码一致时,允许第一内网计算机10通过外网认证模块7访问外部网络6。
[0028]本发明的外网认证模块用于隔绝非法的外部网络连接,隔绝来自外网的病毒、木马攻击。新增的内网管理系统负责隔绝非法的设备连接内网,管理员可以在设备管理器上允许或禁止设备的接入权限,并且使用链路层协议,未经允许的设备不给分配IP地址,就可以有效防范黑客攻击。本发明构建的外网认证模块加内网认证模块组成的双认证模块,可以全方位防范黑客攻击。
[0029]以上内容仅仅是对本发明结构所作的举例和说明,所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
【主权项】
1.一种双认证网络安全系统,其特征在于:包括直接与外部网络(6)连接的防火墙(5)、与防火墙(5)连接的外网认证模块(7)、与外网认证模块(7)连接的第一交换机(1)、与第一交换机(I)连接的第二交换机(2)、与第二交换机(2)连接的内网认证模块(8)、与内网认证模块(8)连接的内网计算机,与第二交换机(2)连接的设备认证服务器(3)以及与第一交换机(I)连接的网管设备(4); 所述的网管设备(4)管理用户的外网访问权限; 所述的设备认证服务器(3)存储允许接入内网的设备信息; 所述的防火墙(5)用户防范外部的木马、病毒攻击; 所述的外网认证模块(7)用户管理内网用户访问外网的权限; 所述的内网认证模块(8)用户控制接入内网权限,对申请接入内网的内网计算机的MAC地址进行验证,当验证通过后才分配IP地址,否则拒绝接入; 所述的设备认证服务器(3)存储允许接入内网的MAC信息和不允许接入内网的MAC信息; 所述的内网认证模块(8)采用PPP协议,该协议为行业认同的公开协议。
【文档编号】H04L29/06GK105915561SQ201610523269
【公开日】2016年8月31日
【申请日】2016年7月4日
【发明人】李让剑
【申请人】安徽天达网络科技有限公司