控制从计算机终端访问网络的方法和系统的制作方法

专利名称：控制从计算机终端访问网络的方法和系统的制作方法
技术领域：
本发明涉及的技术用于监视和控制由连接到网络的计算机终端 等所进行的通信。
背景技术：
近来，已经禁止了从未授权计算机访问公司等的内联网等，以便 防止信息泄漏和计算机病毒扩散。此外，也限制了未安装防毒软件的 计算机访问内联网。例如，当不具有正规授权的计算机连接到网络时， 从该计算机发送的所有信息包都在网络中被阻塞，以防止该计算机访
问。另外，当未安装防毒软件的计算机，或者未应用最新的病毒模式 文件的计算机连接到网络时，仅仅允许该计算机连接到与反病毒软件 有关的服务器，并且仅仅允许下载病毒模式文件。在这种情况下，禁 止了该计算机访问该服务器以外的网络资源。不仅如此，当连接到网 络的计算机未将最新的补丁应用到微软(注册商标)公司的视窗(注
册商标)操作系统(OS)时，如果这种情况被检测到，那么也禁止该
计算机访问网络资源，除非是为了下载补丁。
在国际商用机器公司(注册商标)为专利申请而提交的专利文献 l中，公开了如下的技术，用于控制连接到网络的计算机访问该网络。 确切地说，从该计算机发送的信息包受到监视，当判定该计算机将要
进行的通信必须受到限制时，就向该计算机发送地址解析协议(ARP ) 信息(ARP请求或ARP应答)，以便使该计算机重写其自己的ARP 表，并且来自该计算机的信息包也被定向至由ARP信息所指示的地 址。结果，禁止了该计算机对网络的访问。另外，通过选择性地允许 该计算机的信息包经过网络，在这种技术中限制了对网络的访问。
不过，当病毒模式文件的容量增大时，或者从利用ARP信息限
制访问网络的计算机所发送的视窗OS补丁的下栽数据量增大时，从
连接到网络的其他计算机监视信息包就变得困难。然而，在对计算机
访问网络强加了限制时，同样在为了获取病毒模式文件和/或视窗OS
的补丁文件而由计算机下载的数据量增大时，从连接到网络的其他计 算机监视信息包会变得困难。确切地说，为了检测未授权的计算机，
必须捕获该计算机发送的信息包(尤其是ARP请求)。不过，随着下 栽数据量的增加，捕获信息包时出现错误的概率变得更高。不仅如此， 控制这种目的连接以外的其他连接的数据发送等也变得困难。下载数 据量的增加更可能造成在捕获信息包时的错误，并且也使为了控制这 台计算机以外的其他计算机的连接而发送数据等工作难以进行。所以， 令人担忧的是由连接到网络的计算机终端所进行通信的管理和控制可 能出现功能故障。不仅如此，随着吉比特以太网支持已经变为客户计 算机上的标准特征，然后预期网络带宽增加，这种功能故障预料会变 得更为显著。
[专利文献1已
公开日本专利申请，公开号2006-74705

发明内容
[本发明要解决的问题
本发明提供了 一个系统，无论其访问网络受到限制的计算机所下 载的数据如何增加，该系统均维持网络监视和控制的功能。 I解决问题的手段
为了解决上述问题，在本发明中提议了一种控制从计算机终端访 问网络的系统。所述系统包括第一接口，包括向网络发送数据和从 网络接收数据的功能；第二接口，包括向网络发送数据和从网络接收 数据的功能；判断装置，判断由所述第一接口收到的网络数据是否来 自第一终端设备；第一创建装置，响应由所述判断装置做出的所述网 络数据是从所述笫一终端设备所发送的判断结果，创建使所述第一终 端设备的表中的所述网络数据的发送目的地地址改变为所述第二接口 的地址的信息；第一发送装置，发送使发送目的地地址改变为所述第
二接口的地址的信息；以及限制装置，将通过所述第二接口的网络数 据带宽限制为预定值。根据所述系统，网络由第一接口监视，而下栽 安全补丁的带宽由第二接口控制。以这种方式，不损害从PC终端访 问网络的控制功能，


图l显示了涉及网络保证系统的硬件配置概要；
图2显示了网络环境的实例，其中网络保证系统控制着以未授权 的方式连接的终端设备等的网络连接；
图3例示了网络保证系统功能配置的概要；
图4是示范流程图，其中网络保证系统处理以未授权方式连接的 PC终端或者违反安全设置的PC终端的信息包；
图5例示了在网络中服务器或PC终端中包括的ARP表；
图6A和图6B是带宽控制的示范流程图7A到图7C例示了网络保证系统与为了管理的电路等的连接
模式；
图8例示了网络保证系统和具有不同连接模式的网络。
具体实施例方式
图i例示了涉及网络保证系统的硬件配置ioo的概要，该系统控 制着以未授权方式连接的终端设备的网络连接。这种控制通过检测和
监视终端设备执行，比如以未授权方式连接到网络的计算机。CPU 101 (中央处理单元)在多种操作系统控制下执行多种程序。CPU 101通 过总线102与存储器103、磁盘104、显示适配器105和用户接口互连。 磁盘104包括软件——使计算机工作所需要的操作系统和执行本 发明所用的程序等。这些程序被读入存储器，并在需要时由CPU执行。 在磁盘104中存储着数据比如通过监视而捕获的网络数据(包)，以 及已经收到了正规授权的计算机终端等的网络地址等。应当指出，可 以用闪存等替换磁盘104，并且对于本领域技术人员来说，显然任何
可记录介质都将足以作为磁盘104，并且磁盘104不限于硬盘。
本发明的系统通过显示适配器105连接到显示设备107;通过用 户接口 106连接到键盘108和鼠标109;以及通过网络接口 110和111 连接到网络。这种系统用键盘108和鼠标109进行操作，并且在显示 设备107上显示处理的中间状态和结果。网卡等连接到第一接口 110 和第二接口 iii。网络数据基本上通过第一网络接口 IIO获取和发送。
带宽由第二网络接口 111限制。交换集线器等被连接到第一接口 110 和第二接口 iii。
在某些情况下，本发明可以通过网络在分布式环境中实施。注意， 这种硬件配置IOO仅仅是计算机系统、总线布局和网络连接的一个实 施例的示范。本发明的特点能够以多种系统配置的任何一种实现，以 提供多个相同配置部件的形式或以进一步在网络上分布的形式。
图2是网络环境的实例，网络保证系统在此运行，以控制以未授 权方式等连接的终端设备的网络连接。网络保证系统201通过第一网 络接口 211和第二网络接口 212连接到交换集线器202。在交换集线 器202的上层中存在着路由器203。网络保证系统201存在于每个网 段中。这样做的目的是为了控制广播数据的数据目的地。例如，以上 述方法以外的方法能够控制数据目的地时，它不限于这种连接配置。 服务器A204和B205以及PC A206、 B207和C208连接到这个网段。 假设服务器A204是用于一般操作的服务器，而服务器B205是将下载 安全补丁的服务器。
这里做出假设，已确认PC-206A是终端设备，它的安全设置没 有任何问题，它已经收到了正规的连接授权，并且配备了反病毒软件 等。PC-A206可以连接到网络中的服务器A204以及服务器B205。相 反，当判定PC-B207是以未授权方式连接的PC终端、没有收到正规 授权时，网络保证系统201将来自PC-B207的数据或来自另一个网络 设备的数据定向到流入网络保证系统201。因此，该数据受到阻塞， 使其不被发送到另一个服务器或终端设备。通常，这种数据的阻塞由 第二网络接口 211执行。另外，当PC-C208已经收到了正规授权而没
有足够的安全设置时，那么就判定PC-C208为违反安全设置的PC终 端，例如在反病毒软件的模式文件未被更新到最新的模式文件的情况 下。在这种情况下，网络保证系统201控制着PC-C208，使PC-C208 只能连接到提供安全补丁或模式文件的服务器B205。通过将要发送的 数据定向到经过第二网络接口 212而控制了 PC-C208与下载安全补丁 服务器之间的数据。
图3例示了网络保证系统301功能配置的概要。网络保证系统301 通过接口 311和321连接到交换集线器303。
例如，信息包发送和接收单元312通过接口 311和321捕获然后 发送信息包数据。信息包发送和接收单元312可以是操作系统(OS) 网络堆栈的功能。信息包判断单元313通过判断PC终端的安全设置 是否足够，或者是否未授权的计算机终端连接到该网络而监视该网络。 这种判断是基于信息包发送和接收单元312所捕获的信息包数据。进 行这种监视是通过检测以未授权方式连接的PC终端利用广播发送的 ARP信息包、来自未授权方式连接的PC的非ARP信息包或者来自 违反安全设置的PC终端的信息包，从而做出了监视网络的判断。
当信息包数据定向单元314检测出来自违反安全设置的PC终端 (第一终端设备)或者以未授权方式连接的PC终端(第二终端设备) 的ARP信息包时，数据定向单元314创建包括伪造连接目的地的ARP 信息，以重新定向信息包数据。以未授权方式连接的PC终端或者违 反安全设置的PC终端都以这种方式，不连接到另一个服务器或PC 终端。这种伪造的ARP信息由信息包发送和接收单元发送。应当指出， 当使用这种包括镜像功能的中继器HUB或高功能的HUB时，除了能 够捕获ARP信息包，也有可能捕获所有的信息包。因此，有可能从非 ARP信息包中检测出以未授权方式连接的PC终端或者违反安全设置 的PC终端。
关于伪造的ARP信息，例如，每个服务器或每台PC终端的因 特网协议(IP)地址对应的媒介访问控制地址(MAC地址)被伪造 为第一网络接口 311和或第二网络接口 321的MAC地址.另外，优
选情况下，通过发送伪造的ARP信息，以便将连接目的地的服务器或 PC终端的ARP表中的以未授权方式连接的PC终端或者违反安全设 置的PC终端的MAC地址设置为网络保证系统的MAC地址，防止了 连接目的地的服务器或PC终端与以未授权方式连接的PC终端或者 违反安全设置的PC终端直接通信。附带提一句，在信息包数据涉及以未授权方式连接的PC终端的 情况下，该信息包数据被定向到第一网络接口 311。此外，在信息包 数据涉及违反安全设置的PC终端的情况下，优选情况下，涉及与服 务器B205通信的信息包数据被定向到第二网络接口 321，而其他信息 包数据被定向到第一网络接口 311。使用分开接口作为信息包数据定 向目的地的理由是为了确保检测出来自以未授权方式连接的PC终端 的信息包数据，然后在违反安全设置的PC终端通过第二接口 321下 载安全补丁时阻塞该信息包数据。不过，当不必检测并阻塞来自以未 授权方式连接的PC终端的全部信息包时，该信息包数据可以被定向 到第二网络接口 321。此外，伪造的ARP信息被发送到变为以未授权 方式连接的PC终端或违反安全设置的PC终端的通信对方的服务器 或PC终端。如果检测的信息包是来自以未授权方式连接的PC终端的非ARP 信息包，或者目的地不是下载安全补丁的服务器的信息包，该信息包 从违反安全设置的PC发送，信息包数据访问控制器315通过丢弃信 息包数据而阻塞到网络的连接。应当指出，如果检测的信息包为目的 地不是下载安全补丁的服务器的信息包，该信息包从违反安全设置的 PC终端发送，数据访问控制器315就将该信息包数据重新定向至网 络服务器等，以显示表明安全设置不足的警告。信息包发送和接收单元322通过第二网络接口 321捕获或发送信 息包数据。信息包发送和接收单元322包括类似于信息包发送和接收 单元312的若干功能。当违反安全设置的PC终端为了下载安全补丁而连接到网络中的 服务器或PC终端时，信息包数据访问控制器323限制对网络中服务
器或PC终端的访问。换句话说，当违反安全设置的PC终端不是为 了修改违反安全的设置而连接到网络中的服务器或PC终端时，信息 包数据访问控制器323限制对网络中服务器或PC终端的访问。该限 制包括丢弃全部信息包数据，或者将该信息包数据重新定向到网络服 务器等，以显示表明安全设置不足的警告。带宽控制器324被配置为当安全补丁被下载到违反安全设置的 PC终端，则数据的流量会增加，从而出现网络中的带宽被占据的担 忧时限制带宽。实现这样的限制也可以通过重写分发安全补丁的服务 器的ARP表。图4例示了流程图400，网络保证系统在此处理以未授权方式连 接的PC终端的信息包，或者违反安全设置的PC终端的信息包。该 处理流程在很大程度上分在第一网络接口和第二网络接口中。处理流 程400以步骤401开始。在步骤402中，捕获信息包数据。在步骤403 中，判断所捕获的信息包数据是不是从以未授权方式连接的PC终端 请求连接目的地服务器或PC终端MAC地址的ARP信息包。通常， 这样的ARP信息包通过广播等方式在初始连接时在网络中发送。在步 骤403中，当判定信息包是来自以未授权方式连接的PC终端的ARP 信息包时(是)，该过程进至步骤404。例如可以根据信息包数据发 送源的MAC地址做出它是不是以未授权方式连接的PC终端的判断。在步骤404中，为了阻塞以未授权方式连接的PC终端所涉及的 通信而发送伪造的ARP信息。这种伪造的ARP信息用于重写以未授 权方式连接的PC终端的ARP表，以及与未授权方式连接的PC终端 进行通信的服务器或PC终端的ARP表。至于将被重写的ARP表的 内容，例如在以未授权方式连接的PC终端的ARP表的情况下，该表 中的MAC地址被改变为网络保证系统第一网络接口的MAC地址， 使以未授权方式连接的PC终端无法直接地向服务器或另一个PC终 端等发送信息包数据。在与未授权方式连接的PC终端进行通信的服 务器或不同的PC终端的ARP表的情况下，该表中的以未授权方式连 接的PC终端的MAC地址被改变为网络保证系统第一网络接口的
MAC地址，以使服务器或不同的PC终端无法直接地向以未授权方式 连接的PC终端发送信息包数据。在步骤404之后，该过程返回步骤 402处理下一个信息包数据。在步骤403中，当判定信息包不是来自未授权方式连接的PC终 端的ARP信息包时(否)，该过程进至步骤405。在步骤405中，判 断所捕获的信息包数据是不是来自以未授权方式连接的PC终端的一 般信息包，也就是说，所捕获的数据是不是非ARP信息包。在步骤 405中，当判定所捕获的信息包是来自未授权方式连接的PC终端的 非ARP信息包时(是)，丢弃该信息包数据。此后，该过程返回步骤 402处理下一个信息包数据。在步骤405中，当判定所捕获的信息包不是来自以未授权方式连 接的PC终端的非ARP信息包时(否)，该过程进至步骤407。在步 骤407中，判断所捕获的信息包数据是不是来自违反安全设置的PC 终端的报告信息包。这种报告信息包是在PC终端中存在着违反安全 设置的情况下，代理式的程序通报网络保证系统PC终端中的违反安 全设置时所使用的信息包。也有可能使用某种配置，其中从下载安全 补丁对该服务器的访问历史判断PC终端是否违反安全设置，而不是 使代理在PC终端中运行。不过，为了在提高精度的同时检查包括详 细设置的安全设置，优选情况下，通过利用能够实际检查PC终端中 的设置等的代理程序接收带有报告信息包的报告。在步骤训7中，判 定所捕获的信息包数据是来自违反安全设置的PC终端的报告信息包 时(是)，该过程进至步骤408。在步骤408中，为了控制违反安全设置的PC终端所涉及的通信 而发送伪造的ARP信息。这种伪造的ARP信息用于重写与违反安全 设置的PC终端进行通信的服务器或PC终端的ARP表。至于将被重 写的内容，例如在违反安全设置的PC终端的ARP表的情况下，该表 中下载安全补丁的服务器的MAC地址被改变为网络保证系统的第二 网络接口 ，而其他MAC地址被改变为网络保证系统的第一网络接口 ， 使违反安全设置的PC终端无法直接地向服务器或其他PC终端发送
信息包数据。
在服务器用于下载安全补丁并与违反安全设置的PC终端进行通 信的情况下，该ARP表中违反安全设置的PC终端的MAC地址被改 变为网络保证系统的第二网络接口，以使其变得易于限制下载数据的 带宽，比如第二网络接口中的安全补丁。不仅如此，在不同的服务器 或PC终端的情况下，该ARP表中违反安全设置的PC终端的MAC 地址被改变为网络保证系统的第一网络接口，以使不同的服务器或PC 终端无法直接地向违反安全设置的PC终端发送信息包数据。
在步骤408中，由于伪造了 ARP表使违反安全设置的PC终端 与下栽安全补丁的服务器通过第二网络接口彼此进行通信，所以重新 定向过程在第二网络接口中开始。结果，该过程进至步骤421，在与 笫一网络接口并行的第二网络接口中执行重新定向过程。在步骤408 之后，该过程返回步骤402处理下一个信息包数据。
在步骤407中，判定所捕获的信息包不是来自违反安全设置的 PC终端的报告信息包时(否)，该过程进至步骤410。在步骤410中， 违反安全设置的PC终端的信息包数据原封不动地丢弃，或者根据需 要将该信息包数据重新定向至网络服务器，以显示表明该PC终端违 反安全设置的警告。之后，该过程返回步骤402处理下一个信息包数 据。
第二网络接口中的处理在步骤421中开始，在步骤422中，捕获 了信息包。在步骤423中，为了重新定向到服务器或PC终端，重新 发送了该信息包。应当指出，从网络负载的观点考虑，可以根据需要 限制带宽。第二网络接口中处理流程的详细情况将在后面介绍。
应当指出，尽管也收到了图4中表达的信息包数据以外的信息包 数据，但是仍然按照正常的协议规则处理所收到的信息包数据。例如， 当远程控制网络保证系统时，在网络保证系统中按照正常过程处理了 用于控制的信息包数据。
图5例示了网络中服务器或PC终端中包括的ARP表。注意， 由于PC终端等在ARP表中不需要具有网络中全部设备所对应的mac地址，所以对本领域技术人员来说显然图5仅仅是本实例的一 个方面。在图5中，假设了 pc-b是以未授权方式连接的pc终端， 而pc-c是违反安全设置的pc终端。另外，假设了服务器b是用于 下载安全补丁的服务器。图5的arp表中由粗线表明的mac地址是 已经被重写的mac地址。确切地说，这些mac地址是使用伪造arp 信息的伪造mac地址。第一网络接口的mac地址是00:00:00:01, 笫二网络接口的mac地址是00:00:00:02,服务器a的mac地址是 00:00:00:03，服务器b的mac地址是00:00:00:04， pc-a的mac 地址是00:00:00:05，pc-b的mac地址是00:00:00:06， pc-c的mac 地址是00:00:00:07。例如，pc-b和pc-c的mac地址都以第一网络接口的mac地 址重写和替换。利用这种重写过程，从服务器a向网络保证系统的第 一网络接口发送了地址指向pc-B和pc-c的信息包数据。此外，还 用第一网络接口的mac地址重写和替换了以未授权方式连接的pc 终端pc-b的arp表中包括服务器a的网络中全部设备的mac地址。 因而来自pc-b的信息包数据无法直接发送到网络上的全部设备。用第一网络接口的mac地址重写和替换了下栽安全补丁的服务 器b的arp表中pc-b的mac地址。还用第二网络接口的mac地 址重写和替换了违反安全设置的pc终端pc-c的mac地址。此夕卜， 在pc-c的arp表中，用第二网络接口的mac地址重写和替换了服 务器b的mac地址。利用这样的重写过程，由pc-b为下载安全补 丁而要执行的通信限制到第二网络接口 ，从而可以容易地限制带宽。在路由器的arp表中，用第一网络接口的mac地址重写和替 换了以未授权方式连接的pc终端pc-b的mac地址，所以无法从路 由器向pc-b直接发送信息包数据。同样，用第一网络接口的mac 地址重写和替换了 pc-b的arp表中路由器的mac地址，所以无法 从pc-b向路由器直接发送信息包数据。另外，用第二网络接口的mac 地址重写和替换了路由器的arp表中违反安全设置的pc终端pc-c 的mac地址。当下栽安全补丁的服务器只在这个子网络之外才存在
时，执行这样的重写过程。当下载安全补丁的服务器只在子网络之内才存在时，用第一网络接口的MAC地址重写和替换路由器的ARP表 中PC-C的MAC地址，以使PC-C的信息包数据无法发送到该子网 络之外。
图6例示了存在多台下载安全补丁等的服务器时，控制在第二网 络接口处信息包数据的流量带宽的处理流程图。提供图6是为了进一 步详细地解释图4中所显示的第二网络接口的处理流程。图6A显示 了对每个服务器的信息包进行带宽控制处理的实例。该过程以步骤 601开始。在步骤603中，捕获了信息包。在步骤605中，判断所捕 获的信息包是不是涉及安全补丁的信息包。如果在步骤605中判定该 信息包是涉及服务器l的安全补丁信息包(是)，该过程进至步骤607， 并且将该信息包数据重新定向而不控制带宽。注意，在例如具有高优 先级的安全补丁由服务器1所分发的情况下，不执行带宽控制。此后， 该过程返回步骤603处理下一个信息包。
如果在步骤605中判定该信息包不是涉及服务器1的安全补丁信 息包(否)，该过程进至步骤609。在步骤609中，判断所捕获的信 息包是不是涉及服务器2安全补丁的信息包。如果在步骤609中判定 该信息包是涉及服务器2的安全补丁的信息包(是)，该过程进至步 骤611,然后重新定向该安全补丁的信息包数据，同时以带宽A控制 带宽。此后，该过程返回步骤603处理下一个信息包。
如果在步骤609中判定该信息包不是涉及服务器2的安全补丁信 息包时(否)，该过程进至步骤613。在步骤613中，判断所捕获的 信息包是不是涉及服务器3安全补丁的信息包。
如果在步骤613中判定该信息包是涉及服务器3的安全补丁信息 包，该过程进至步骤615。在步骤615中，重新定向该信息包数据， 同时以带宽B控制带宽。此后，该过程返回步骤603处理下一个信息 包。
如果在步骤615中判定该信息包不是涉及服务器3的安全补丁信 息包(否)，该过程进至步骤617。在步骤617中，由于该信息包数
据不涉及安全补丁，可以丢弃该信息包，或者将该信息包数据重新定 向到网络服务器，它根据需要发布表明该信息包是来自违反安全设置的PC终端的警告。在步骤605、 609和613的各自判断框中，不限于对来自服务器 的信息包数据和去往服务器的信息包数据做出判断。换句话说，不限 于在双方向对信息包数据做出判断。不过优选情况下，在双方向对信 息包数据做出判断。这是因为服务器和违反安全设置的PC终端两者 的ARP表都是伪造的。优选情况下，在适宜时在信息包往返服务器的 方向执行丢弃和重新定向信息包数据。图6B显示了对每个端口号进行带宽控制的实例。注意，由于除 了带宽控制的过程取决于对端口号的判断而发生变化之外，该过程与 图6A中显示的过程相同，所以省略了详细说明。不仅如此，自不待 言对于本领域技术人员显然通过利用图6A和图6B中所显示的这种过 程，对服务器和端口号两者的组合可以容易地执行带宽控制。图7A到图7C例示了网络保证系统与用于管理等的电路的连接 模式。在当前情况下，由于通过广播进行的ARP信息包等发送限制在 子网之内，所以对每个子网都需要安装网络保证系统。在大型公司的 大规模内联网中存在许多子网。因此，随着子网数目变大网络保证系 统的数目也变大。在这种情况下，网络保证系统需要受到有效管理， 而且与用于管理的电路的连接变为若干重点之一。在图7A显示的连接模式中，网络保证系统通过用于管理的网络 接口连接到管理服务器。由于管理网络与PC终端等所使用的一般网 络是分开的，所以即使用于管理的数据被混合到了重新定向过程中， 在监视信息包数据或获得管理数据中也不会造成错误。因此，在安全 方面假定问题不大。网络保证系统通过用于管理的网络接口发送用于 管理的信息包数据。在图7B显示的连接模式中，网络保证系统通过用于管理的网络 接口连接到管理服务器。不过在这种管理模式中，该网络自身也与PC 终端等连接到同一网络。这是为了在难以提供新的网络电路时，确保 由用于管理的网络接口发送和接收数据。因此，即使数据混入到该监 视或重新定向的过程内，数据变得不可管理的概率也降低了。在图7C显示的连接模式中，第一网络接口既用于管理所用的网 络接口，又用于监视该网络的接口。在这种连接模式中，即使管理所 用的数据信息包混入到安全补丁内，丟失该信息包的概率也降低了 。正如到目前的介绍，根据本发明可以控制下栽安全补丁等的带 宽，同时对用于监视网络的数据发送和接收的影响保持最小。通过将 信息包分别定向到用于监视网络的网络接口和控制下载安全补丁等带 宽的网络接口而进行这种控制。图8例示了网络保证系统和网络包括不同连接模式的情况。利用 APR信息定向了以未授权方式连接的PC 807的信息包，使之流向第 三网络接口 813，从而通过由第三网络接口 813对以未授权方式连接 的PC 807的信息包进行丢弃等而使该连接受到控制。不仅如此，当 违反安全设置的终端设备808试图连接到用于下载安全补丁的服务器 805以外的服务器或PC终端时，优选情况下，该信息包被定向到流 入第三网络接口 813。在图8的情况下，图3的信息包数据访问控制 器315被用作第三网络接口 813。通过釆用这种结构，执行访问控制 的第三网络接口813的信息包与捕获信息包或发送ARP信息的第一网 络接口 811的信息包或对由违反安全设置的PC下栽安全补丁进行控 制等的第二网络接口 812的信息包被分开。因此，这些网络接口的每 种功能都不那么容易受到数据相互发送和接收的影响。以上已经通过使用这个实施例介绍了本发明。同时，本发明的技 术范围不限于在以上实施例中所介绍的范围。对于本领域的技术人员， 显然可以向以上实施例加入多种变更和改进。从权利要求书范围中的 描述显而易见，加入了这些变更或改进的实施例也能够被包括在本发 明的技术范围中。
权利要求
1.一种控制从计算机终端访问网络的系统，所述系统包括第一接口，包括向所述网络发送数据和从所述网络接收数据的功能；第二接口，包括向所述网络发送数据和从所述网络接收数据的功能；判断装置，判断由所述第一接口收到的网络数据是否是从第一终端设备发送的；第一创建装置，响应由所述判断装置做出的所述网络数据是从所述第一终端设备发送的判断结果，创建使所述第一终端设备的表中的所述网络数据的发送目的地地址改变为所述第二接口的地址的信息；第一发送装置，向所述第一终端设备发送使所述网络数据的发送目的地地址改变为所述第二接口的地址的信息；以及限制装置，将通过所述第二接口的网络数据带宽限制为预定值。
2. 根据权利要求l的系统，其中，所述第一创建装置进一步包括第二创建装置，响应由所述判断装 置做出的所述网络数据是从第二终端设备发送的判断结果，创建使所 述第二终端设备的表中的所述网络数据的发送目的地地址改变为所述 第一接口的地址的信息；以及所述第一发送装置进一步包括第二发送装置，向所述第二终端设 备发送使所述网络数据的发送目的地地址改变为所述第 一接口的地址 的信息；以及第一丢弃装置，丢弃所述第二终端设备的网络数据，所述网络数 据通过所述第一接口。
3. 根据权利要求1的系统，进一步包括第三接口，它发送和接 收用于管理的网络数据。
4. 根据权利要求1的系统，其中，所述限制装置设置不同的预 定值，以限制每个服务器与所述第一终端设备进行通信的带宽。
5. 根据权利要求l的系统，其中，所述第 一创建装置进一步包括第三创建装置，响应由所述判断装 置做出的所述网络数据是从第二终端设备发送的判断结果，创建使所 述第二终端设备的表中的所述网络数据的发送目的地地址改变为所述第三接口的地址的信息；以及所述第一发送装置进一步包括第三发送装置，向所述第二终端设 备发送使所述网络数据的发送目的地地址改变为所述第三接口的地址 的信息；以及第二丟弃装置，丢弃通过所述第一接口向所述第二终端设备发送 的网络数据。
6. 根据权利要求l的系统，其中， 所述第一终端设备是违反安全设置的终端设备；以及所述系统进一步包括访问控制器，当所述第 一终端设备为了修改 所述安全设置以外的目的而试图连接到另 一个网络设备时，所述访问 控制器在所述第二接口中丢弃来自所述第 一终端设备的网络数据。
7. 根据权利要求1到6中任何一条的系统，其中，所述表是ARP表。
8. 根据权利要求3到6中任何一条的系统，其中，所述第二终 端设备是以未授权方式连接的终端设备。
9. 一种控制从计算机终端访问网络的方法，所述方法包括以下步骤由第一接口捕获网络数据；判断所述捕获的数据是否是从第 一终端设备发送的； 响应在所述判断步骤中做出的所述网络数据是从所述第一终端 设备发送的判断结果，发送使所述第一终端设备的表中的网络数据的 发送目的地地址改变为所述第二接口的地址的信息；以及 将通过所述第二接口的网络数据带宽限制为预定值。
10. 根据权利要求9的方法，进一步包括以下步骤 响应在所述判断步骤中做出的所述网络数据是从所述第二终端 设备发送的判断结果，发送使所述第二终端设备的表中的网络数据的发送目的地地址改变为所述第一接口的地址的信息；以及丢弃从所述第二终端设备通过所述第 一接口发送的网络数据。
11. 根据权利要求9的方法，其中，所述带宽限制步骤使用不同 的预定值限制每个服务器与所述第 一终端设备进行通信的带宽。
12. 根据权利要求9的方法，进一步包括以下步骤 响应在所述判断步骤中做出的所述网络数据是从所述第二终端设备发送的判断结果，发送使所述第二终端设备的表中的网络数据的 发送目的地地址改变为所述第三接口的地址的信息；以及丢弃通过所述第三接口向所述第二终端设备发送的网络数据。
13. 根据权利要求9的方法，其中，所述第一终端设备是违反安 全设置的终端设备；以及所述方法进一步包括以下步骤当所述违反安全设置的终端设备 为了修改所述安全设置的目的以外的目的而试图连接到另一个网络设 备时，在所述第二接口中丟弃来自违反安全设置的终端设备的网络数 据。
14. 根据权利要求9到13中任何一条的方法，其中，所述表是 ARP表。
15. 根据权利要求9到13中任何一条的方法，其中，所述第二 终端设备是以未授权方式连接的终端设备。
全文摘要
公开了控制从计算机终端访问网络的方法和系统。所提供的系统无论其访问网络受到限制的计算机所下载的数据如何增加，均维持网络监视和控制的功能。所述系统包括第一接口，包括向网络发送数据和从网络接收数据的功能；第二接口，包括向网络发送数据和从网络接收数据的功能；判断装置，判断从所述第一接口收到的网络数据是否来自第一终端设备；第一创建装置，响应由所述判断装置做出的所述网络数据是从所述第一终端设备发送的判断结果，创建使所述第一终端设备的表中的所述网络数据的发送目的地地址改变为所述第二接口的地址的信息；第一发送装置，发送使发送目的地地址改变为所述第二接口的地址的信息；以及限制装置，将通过所述第二接口的网络数据带宽限制为预定值。
文档编号H04L9/32GK101159552SQ20071013701
公开日2008年4月9日 申请日期2007年7月19日 优先权日2006年10月4日
发明者岛田克彦, 杉山秀纪, 森谷之信, 清水直人, 青木贤太郎 申请人:国际商业机器公司