专利名称:一种基于网关模式对局域网数据报文进行控制的方法
技术领域:
本发明涉及的是一种在共享式、交互式网络环境中对局域网主机公网报文进行管理的方法。
背景技术:
当前国内网络管理系统对局域网主机的监控管理,一般是通过虚拟路由技术或者通过旁路模式来实现的。虚拟路由技术也即虚拟网关技术,是通过在局域网的一台电脑上发送ARP广播包给局域网的所有电脑,这种ARP广播包里面将此电脑的MAC地址虚拟成局域网真正的网关的MAC地址,从而使得局域网的电脑的ARP表里面存在的正确的网关地址被更改为发ARP包的电脑的MAC地址,使得局域网的电脑在发送公网报文的时候会发给此电脑,此电脑通过部署抓包工具对经过此电脑的网卡的报文进行捕获和分析,在实施一些过滤政策后决定是否转发给真正的路由器,以此来对局域网电脑的公网访问进行控制。但是这种模式由于局域网的装控制软件的电脑相当于局域网的代理服务器,通过转发过程会极大地影响局域网电脑的上网速度,并且也为ARP病毒的传播提供了便捷条件,此外,由于现在各种防火墙都带有这种防止ARP欺骗的功能,所以采用类似这样架构的监控软件正在走向失效,不能达到监控的目的。而通过旁路模式对局域网的电脑进行监控,一般是通过部署带端口镜像的交换机、代理服务器或者HUB来实现的,但是由于这种监控模式是基于对数据报文传输的HTTP协议来实现的,从而在监控的时候无法对P2P协议的报文进行有效的拦截和控制,从而无法有效控制对局域网影响非常严重的各种P2P软件、聊天软件等等。本发明独到之处就是绕过了这两种监控模式的不足,将软件直接部署在局域网的网关上,也就是将局域网的一台电脑的IP地址更改为局域网默认网关的IP地址,而将局域网默认网关IP地址更改为其他的IP地址,并在局域网的路由设备上设置过滤条件,禁止局域网的电脑除将IP地址更改为默认网关IP地址之外的电脑直接通过路由设备访问公网,而只能通过更改IP地址为默认网关IP地址的电脑访问公网,这样,由于局域网的电脑发送的所有的公网报文都要经过此网关才能最终发送到公网,从而使得软件可以非常容易地实现对数据报文的捕获和分析,通过应用各种控制规则来决定是否对局域网电脑的公网访问进行拦截和方行,从而可以控制局域网电脑的各种公网访问。此外,这种方式可以避免发送ARP欺骗报文对局域网进行控制的不足,又可以轻松地拦截局域网电脑的HTTP协议、P2P协议等各种协议的报文传输,从而可以有效地控制各种P2P软件。
发明内容
随着网络技术的发展,企业大都踏上了互联网的快车,纷纷采用各种网络技术、电子技术来通过网络进行工作但是由于网络的无限开放性,以及对网络有效管理的缺失,给广大企业事业单位带来极大的网络管理问题。如员工在工作时间在网络上用各种P2P软件下载大量的娱乐资料,这些P2P工具可以耗尽企业的带宽,导致了企业正常的网络无法使用;同时,员工还浏览大量与工作无关的网址,如色情、反动、暴力等,造成了极坏的影响,浪费了工作时间,还容易导致网络病毒泛滥,严重影响企业的正常工作,降低了工作效率;同时,由于网络传输的便捷性,使得高速的资料传输成为可能,某些员工通过邮件、HTTP/FTP传输、聊天等方式把企业重要的商业机密、专有技术盗取并谋取私利,严重危害了企业的利益,给企业带来重大损失。综上所述,一套行之有效的网络管理系统就成为企业网络管理的必需。
本发明技术方案如下首先在局域网的一台电脑上设置网关,也就是将局域网的一台电脑的IP地址更改为局域网默认网关的IP地址,而将局域网默认网关IP地址更改为其他的IP地址,并在局域网的路由设备上设置过滤条件,禁止局域网的电脑除将IP地址更改为默认网关IP地址的这台电脑之外的电脑直接通过路由设备访问公网,而只能通过将IP地址更改为默认网关IP地址的这台电脑访问公网;部署监控软件到这台电脑,由于局域网先前默认的网关已经被设置为此新网关的IP地址,所以局域网电脑的公网报文就会发送到此网关,然后监控软件就会启动抓包工具抓取经过此网络桥的数据报文,对抓到的数据报文根据一定的控制过滤规则来进行分析,将符合控制拦截规则的报文丢弃或打断,使之无法通过,以此来控制其网络行为;对于可以放行的数据报文,监控软件会转发到局域网真正的网关,也即路由设备,放行其网络访问;在这种情况下,如果局域网的被监控的电脑将自身的默认网关地址更改为新的路由设备的IP地址,由于路由设备仍然可以提供路由功能,也即允许局域网的电脑通过此路由设备上网,则被监控的电脑可能直接通过路由设备进行公网访问而免于监控。所以,我们还必须在路由设备上设置过滤条件,禁止局域网的被监控电脑直接通过路由设备直接访问公网,而只允许安装监控软件的电脑通过路由设备直接访问公网。这样局域网的所有被控电脑均无法通过路由设备直接访问公网,只能通过这台电脑访问,从而可以达到全部监控的目的。
按照本软件的技术特征,可以用任意的编程语言来实现。依照本原理编写的软件由于是部署在局域网访问公网的网关出口上,从而可以适应企事业大规模、集中监控;同时,由于结合路由设备进行管理,从而可以有效防止局域网的一些电脑企图通过一定的手段逃避监控;由于局域网的电脑的公网报文首先是发往此新网关,然后通过此新网关转发到路由设备访问公网,从而监控软件就可以抓取所有协议的数据报文进行过滤和转发,这样保证了监控软件可以控制局域网所有的网络行为。
具体实施例方式 (1)在局域网的一台电脑上设置网关,也就是将局域网的一台电脑的IP地址更改为局域网默认网关的IP地址,而将局域网默认网关IP地址更改为其他的IP地址,并在局域网的路由设备上设置过滤条件,禁止局域网的电脑除将IP地址更改为默认网关IP地址的这台电脑之外的电脑直接通过路由设备访问公网,而只能通过将IP地址更改为默认网关IP地址的这台电脑访问公网。其中路由设备可以是路由器、带路由功能的防火墙、能提供上网功能的服务器等等;(2)设定此新网关的IP地址、子网掩码、网关地址、DNS地址等等,确保此新网关的电脑可以正常上网。这里,一般将此新网关的IP地址设置成局域网默认网关的IP地址,如192.168.0.1,一般就是路由器的IP地址,而将默认网关的IP地址设置成其他的IP地址,如192.168.0.10,根据其网段划分情况,设置其子网掩码,设置新网关电脑的网关地址为更改后的路由设备的IP地址,设置DNS为公网的DNS,如网通、电信提供的DNS地址;(3)部署监控软件到此新网关,监控软件就会自动以此新网关为监控设备,启动监控软件的抓包驱动,对经过此网络桥的数据报文进行抓取和分析,将抓取到的数据报文根据其数据特征,如数据包的所带的IP地址、端口、协议特征、大小等等,应用既定的控制规则进行匹配,如禁止上网,禁止进行P2P下载、禁止聊天、禁止发送敏感邮件等等,符合拦截规则的数据报文,监控软件就会将其数据报文丢弃或者打断,而对于不符合拦截规则的数据报文,可以将其直接转发到真正的网关,也即路由设备,放行其公网访问。
权利要求
一种基于网关模式对局域网数据报文进行控制的方法。通过将局域网的一台电脑的IP地址更改为局域网默认网关的IP地址,而将局域网的默认网关的IP地址更改为其他的IP地址,并在局域网的路由设备上设置过滤条件,只允许将IP地址更改为默认网关IP地址的那台电脑直接通过路由设备访问公网,而禁止局域网被监控的主机的数据报文直接通过路由设备传输,而必须经过局域网更改IP为默认网关IP地址的电脑中转传输,在这台电脑上部署监控软件,通过对过往的数据报文的抓取和分析,应用一定的控制规则进行匹配,之后决定是否放行或不放行的一种方法。
全文摘要
信息时代的到来,无纸化电子办公成为企事业单位的提升工作效率的必然选择,企业越来越多的商务活动通过网络实现,但由于网络的无限性、开放性,病毒、木马的泛滥、以及网络使用者的人为因素等,给广大企事业单位带来了诸多的弊端和隐患,如bt下载,占用大量带宽,影响企业网速;某些雇员可能把涉及企业的重要资料、商业机密通过邮件、FTP等传输形式将其据为已有或转交给竞争对手,给企业带来极大危害。本方法通过在企事业的网络干路上设置网络桥的方式,在网络出口处对局域网电脑进行统一的集中的监控,从而可以对局域网主机访问公网报文进行全面的抓取,并且对抓取的报文进行分析和拦截,从而可以控制局域网电脑访问公网的各种网络行为。
文档编号H04L29/12GK101247346SQ200810089459
公开日2008年8月20日 申请日期2008年4月1日 优先权日2008年4月1日
发明者陈世杰 申请人:陈世杰