专利名称:内网安全综合管理的网络接入控制方法
技术领域:
本发明涉及终端安全管理、信息数据保密的技术领域,特别是一种内网安全综合
管理的网络接入控制技术。
背景技术:
随着信息化建设的快速发展,单位内部计算机终端越来越多,如何对内网终端的网络安全接入管理,以及终端信息数据的泄密,已成为企业首选问题。 目前大多数内网安全管理系统的网络接人控制技术,大都基于"扫描一发现一阻
断"的工作模式,通过网络接入控制系统的管理中心,对网络进行不断的扫描,并对扫描的
计算机进行合法性检查,判断该终端是否为合法终端。当发现该终端为不合法终端时,采用
ARP欺骗方式,阻断该终端接入网络。 上述技术存在着以下不足 1、非法终端能在网上存活一段时间 由于需要对全网所有地址进行扫描,对每个地址有一定的扫描间隔周期,因此,这段时间内非法接入终端能在网络中存活一定时间,而在这段时间内,攻击者有可能已经完成部分攻击行为。 2、在某些情况下.系统不能发现接入的非法终端 由于需要指定扫描的网络范围,当非法接入终端使用的地址在指定的扫描范围之外时,系统无法"发现"接入的非法设备。
3、消耗宝贵的网络资源 接人控制系统需要对网络进行不断的扫描以期发现非法接入的终端,这会消耗大量宝贵的网络资源,尤其在大型网络中,这个问题更加突出。
发明内容
鉴于上述技术的不足,本发明的目的是提供一种内网安全综合管理的网络接入控
制方法,能实现终端安全的管控。
本发明采用以下方案实现一种内网安全综合管理的网络接入控制方法,其特征
在于通过内网综合安全管理系统、交换机和Radius服务器之间的联动实现对网络接入终
端的安全控制,包括以下步骤实现首先具有802. 1X接入认证功能的交换机将802. 1X认证
服务器指向Radius服务器,并划分为工作区、来访区及修复区三个vlan ;然后在Radius服
务器上配置各个vlan的访问控制策略以及和内网安全管理系统的联动配置; 所述的工作区供合法终端访问,即正常授权认证通过且安装内网安全系统客户
端,且终端安全检查符合内网综合安全管理系统规定,能正常访问网络的所有资源; 所述的修复区供非法终端访问,即正常授权认证通过且安装内网安全系统客户
端,但终端安全检查不符合内网综合安全管理系统要求,只能访问修复服务器; 所述的来访区供非法终端访问,S卩非授权认证或未安装内网安全系统客户端的终端,只能访问内网安全管理系统的客户端下载页面。
本发明具有以下有益效果 —旦发现有非法终端接入网络,即马上给予阻断,避免非法终端接入网络后,存活 时间内所造成的安全威胁。 当终端地址不属于指定的范围情况下,只要是非法终端,没有得到正确授权的用 户,系统禁止接入网络。 系统无需采用"不断的扫描"方式,而是通过交换机与系统之间的授权方式,对非 法终端进行阻断。
图1是本发明原理示意图。
具体实施例方式
下面结合附图及实施例子对本发明做进一步说明。 如图1所示,本发明利用网络接入控制技术将控制目标转向了计算机终端,从终 端着手,通过管理员指定的安全策略,对接入内部网络的主机进行安全性检测,自动拒绝不 安全的计算机接入内部网络直到这些计算机符合网络内的安全策略为止。其采用的架构为 客户端/服务器(C/S)模式,管理则采用浏览器/服务器(B/S)模式,管理员可通过网页方 式登录内网安全管理系统并对终端下发安全策略,实现终端安全的管控。更具体的说,本 发明的特征在于通过内网综合安全管理系统、交换机和Radius服务器之间的联动实现对 网络接入终端的安全控制,包括以下步骤实现首先具有802. 1X接入认证功能的交换机将 802. IX认证服务器指向Radius服务器,并划分为工作区、来访区及修复区三个vlan ;然后 在Radius服务器上配置各个vlan的访问控制策略以及和内网安全管理系统的联动配置;
所述的工作区供合法终端访问,即正常授权认证通过且安装内网安全系统客户 端,且终端安全检查符合内网综合安全管理系统规定,能正常访问网络的所有资源;
所述的修复区供非法终端访问,即正常授权认证通过且安装内网安全系统客户 端,但终端安全检查不符合内网综合安全管理系统要求,只能访问修复服务器;
所述的来访区供非法终端访问,S卩非授权认证或未安装内网安全系统客户端的终 端,只能访问内网安全管理系统的客户端下载页面。
其具体的工作原理包括以下方式 当终端接入网络后,在规定时间内未进行802. 1X认证,终端连接交换机端口的 vlan状态会自动跳转到来访区,且连接交换机的端口是处于逻辑关闭状态,即拒绝终端接 入网络。 对已通过802. 1X认证,此时内网安全管理系统会自动检测终端是否安装客户端 程序,对未安装客户端的终端,系统会和Radius服务器进行联动,通过Radius服务器下发 指令,将连接交换机的端口 vlan状态转换成来访区,即该终端只能访问内网安全管理系统 服务器的客户端下载页面,以便进行客户端程序的安装。 对已安装客户端程序,但未通过802. 1X接入认证的终端,交换机端口会跳转到来 访区,因为交换机端口是逻辑关闭,即拒绝终端接入网络。此情况下,可能是终端本地网络配置不符合网络规定或IP不属于网络接入的范围。 对已安装客户端程序且通过802. IX认证的终端,但终端安全检查不符合系统安全策略要求,如未安装防病毒系统、系统存在漏洞、安装违规软件等;此时通过服务器之间的联动,交换机端口会自动跳转到修复区,即只允许终端访问修复服务器,对系统存在的漏洞、防病毒系统、违规软件等进行修复或安装。 对已安装客户端程序、通过802. 1X认证且安检符合系统安全策略要求的终端,此
时交换机端口属于工作区,即网络给予放行,可以访问内网的服务器群或资源。 此外要说明的是802. lx协议是一种基于端口的网络接入控制(port based
networkaccess control)协议。"基于端口的网络接入控制"是指在局域网接入控制设备
的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认
证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源抓相当于
连接被物理断开。 Radius是Remote Authentication Dial In User Service的简称,艮卩远程验证拨入用户服务。当用户想要通过某个网络(如以太网)与NAS(网络接入服务器)建立连接从而获得访问网络的权利时,NAS可以选择在NAS上进行本地认证计费,或把用户信息传递给RADIUS服务器,由Radius进行认证计费;RADIUS协议规定了 NAS与RADIUS服务器之间如何传递用户信息和记账信息;RADIUS服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给NAS。
本发明具有如下优点 1、帮助确保所有的用户网络设备都符合安全策略,从而大幅度提高网络的安全性,不受规模和复杂性的影响。 2、检测并控制试图连接网络的所有终端,不受其访问方法的影B向,从而提高企业安全性和可扩展性。 3、防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率。 4、降低与识别和修复不符合策略的、不可管理的和受感染的系统相关的运行成本。 5、在终端接入网络时就进行准入控制,不存在终端在网络上的存活时间点。
6、降低网络负载能力,无需通过"扫描"方式对终端进行检测,对非法终端可直接进行接入控制。 以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
权利要求
一种内网安全综合管理的网络接入控制方法,其特征在于通过内网综合安全管理系统、交换机和Radius服务器之间的联动实现对网络接入终端的安全控制,包括以下步骤实现首先具有802.1X接入认证功能的交换机将802.1X认证服务器指向Radius服务器,并划分为工作区、来访区及修复区三个vlan;然后在Radius服务器上配置各个vlan的访问控制策略以及和内网安全管理系统的联动配置;所述的工作区供合法终端访问,即正常授权认证通过且安装内网安全系统客户端,且终端安全检查符合内网综合安全管理系统规定,能正常访问网络的所有资源;所述的修复区供非法终端访问,即正常授权认证通过且安装内网安全系统客户端,但终端安全检查不符合内网综合安全管理系统要求,只能访问修复服务器;所述的来访区供非法终端访问,即非授权认证或未安装内网安全系统客户端的终端,只能访问内网安全管理系统的客户端下载页面。
2. 根据权利要求1所述的内网安全综合管理的网络接入控制方法,其特征在于当终 端接入网络后,在规定时间内未进行802. IX认证,终端连接交换机端口的vlan状态会自动 跳转到来访区,且连接交换机的端口是处于逻辑关闭状态。
3. 根据权利要求1所述的内网安全综合管理的网络接入控制方法,其特征在于对已 通过802. IX认证,内网安全管理系统会自动检测终端是否安装客户端程序,对未安装客户 端的终端,系统会和Radius服务器进行联动,通过Radius服务器下发指令,将连接交换机 的端口 vlan状态转换成来访区。
4. 根据权利要求1所述的内网安全综合管理的网络接入控制方法,其特征在于对已 安装客户端程序,但未通过802. IX接入认证的终端,交换机端口会跳转到来访区。
5. 根据权利要求1所述的内网安全综合管理的网络接入控制方法,其特征在于对已 安装客户端程序且通过802. IX认证的终端,但终端安全检查不符合系统安全策略要求,如 未安装防病毒系统、系统存在漏洞、安装违规软件;此时通过服务器之间的联动,交换机端 口会自动跳转到修复区。
6. 根据权利要求1所述的内网安全综合管理的网络接入控制方法,其特征在于对已 安装客户端程序、通过802. IX认证且安检符合系统安全策略要求的终端,此时交换机端口 属于工作区,即网络给予放行,可以访问内网的服务器群或资源。
全文摘要
本发明涉及一种内网安全综合管理的网络接入控制方法,其特征在于通过内网综合安全管理系统、交换机和Radius服务器之间的联动实现对网络接入终端的安全控制,包括以下步骤实现首先具有802.1X接入认证功能的交换机将802.1X认证服务器指向Radius服务器,并划分为工作区、来访区及修复区三个vlan;然后在Radius服务器上配置各个vlan的访问控制策略以及和内网安全管理系统的联动配置;本发明能够实现终端安全的管控,无需采用“不断的扫描”方式进行检测,节省了网络资源。
文档编号H04L29/06GK101714927SQ201010300360
公开日2010年5月26日 申请日期2010年1月15日 优先权日2010年1月15日
发明者吴滨华, 杨小焰, 肖健, 许元进, 黄聪泉 申请人:福建伊时代信息科技股份有限公司