旁路部署的网络准入控制系统及方法技术方案

本发明专利技术提供了一种旁路部署的网络准入控制系统，包括终端设备、交换机、准入控制设备，终端设备与所述交换机建立会话链路，准入控制设备放置于交换机的镜像口上，终端设备内设有检查模块和通信模块，检查模块用于对用户信息和终端设备的安全情况进行检查生成安全信号，通信模块耦接所述检查模块，用于响应安全信号生成前导包并建立终端设备和交换机的会话链路，准入控制设备内设有校验模块，校验模块用于响应前导包允许生成前导包的终端设备接入专网。本发明专利技术的旁路部署的网络准入控制系统及方法通过旁路部署到数据交换中，监听保护区域的网络数据流，在部不影响原有用户网络结构的情况下，对非法连接的终端设备进行跳转或阻断。

Network admission control system and method for bypass deployment

The invention provides a network access control system including bypass deployment, terminal equipment, switches, access control equipment, terminal equipment and the switch to establish a session link, access control equipment placed on the switch mirror port, terminal equipment is arranged in the inspection module and communication module, check module is used for generating signal safety inspection the security of user information and terminal equipment, communication module is coupled to the inspection module, in response to session link security signal generating preamble packet and the establishment of terminal equipment and switches, access control devices are arranged in the check module, check module for response network terminal equipment access preamble packet allows generating preamble packet. The invention of the bypass deployment of network access control system and method for deployment in the data exchange through the bypass, protect the network data stream monitoring area, in does not affect the original network structure, jump to the terminal equipment connected or blocking illegal.

【技术实现步骤摘要】
旁路部署的网络准入控制系统及方法
本专利技术涉及网络准入控制
，特别涉及一种旁路部署的网络准入控制系统及方法。
技术介绍
信息技术的快速发展大力推动了计算机网络与信息系统在政府及企事业单位的广泛应用，为办公及生产建设的电子化、自动化、信息化提供了坚实保障。在政府专网(公安、检察院、法院、政府、财税、电力等领域)中网络环境庞大而又复杂，接入网络的网络设备是否安全可信，是否被允许接入网络，成为信息安全迫切需要解决的问题。目前主要有下面几种网络准入控制技术：ARP准入控制技术，通过发送ARP干扰包，制造IP冲突来实现网络准入控制，不需要专门的硬件，实现成本很低。但如果终端安装了ARP防火墙，就使ARP攻击和欺骗不能起作用。同时由于实现原理的局限性，ARP准入控制常常会造成网络阻塞，影响网络正常运行。DHCP准入控制技术，具有适用范围广，兼容性强的特点，但如果配置静态IP就可以绕过准入控制。基于交换机联动的准入控制技术，通过向交换机发送指令来控制网络设备的接入，实现较为复杂，并且和交换机品牌型号密切相关，存在兼容性问题。802.1x准入控制技术，802.1x准入控制技术是交换机厂家推荐的准入控制技术，交换机在实现802.1x协议时，是以交换机端口为基础实现的。当没有完成认证之前，交换机端口是处于关闭状态，或被放在隔离VLAN中。只有当认证通过后，交换机端口会打开，并重新将交换机端口重新放在不同的VLAN中。但当802.1x交换机端口下挂二层交换机时，一旦有一台终端通过802.1x认证后，端口就会打开，这就造成同接在二层交换机上的其它终端就可以不经过认证就可以接入网络。同时由于低端交换机和老旧交换机不支持802.1x协议，企业要实现全网准入控制必须先要升级或者购买新的交换机。
技术实现思路
本专利技术提供一种旁路部署的网络准入控制系统及方法，目的在于解决上述现有的多种网络准入控制技术面临的问题。为解决上述问题，本专利技术实施例提供一种旁路部署的网络准入控制系统，包括终端设备、交换机、准入控制设备，所述终端设备与所述交换机建立会话链路，所述准入控制设备放置于所述交换机的镜像口上，终端设备内设有检查模块和通信模块，所述检查模块用于对用户信息和终端的安全情况进行检查生成安全信号，所述通信模块耦接所述检查模块，用于响应所述安全信号生成前导包并建立终端设备和交换机的会话链路，所述准入控制设备内设有校验模块，所述校验模块用于响应所述前导包允许生成前导包的终端设备接入专网。作为一种实施方式，所述准入控制设备还包括反馈模块，所述反馈模块耦接所述校验模块，用于响应所述校验模块未响应到前导包的校验结果生成跳转包，并将所述跳转包发送至未生成前导包的终端设备。作为一种实施方式，所述终端设备还包括引导模块，所述引导模块响应所述跳转包使终端设备跳转至指定的网页下载安装通信模块。作为一种实施方式，还包括应用服务端，用于使校验通过的终端设备接入专网。本专利技术实施例还提供一种旁路部署的网络准入控制方法，包括以下步骤：在终端电脑与交换机每次建立会话链路时，通过旁路部署的准入控制设备侦听网络中的数据；检测侦听到的数据中是否包含前导包；若侦听到的数据中包含前导包，则允许传输该数据的终端电脑接入专网。作为一种实施方式还包括以下步骤：若侦听到的数据中不包含前导包，则通过准入控制设备发送跳转包至终端设备使终端设备跳转至指定网页下载安装通信模块，使安装所述通信模块的终端设备生成前导包。作为一种实施方式，所述前导包的字段内容包括数据长度、设备ID、服务器IP、本机IP地址、本机IP掩码和区域编号。作为一种实施方式，还包括以下步骤：对用户信息和终端设备的安全情况进行检查，若检查通过，则生成安全信号。本专利技术相比于现有技术的有益效果在于：本专利技术的旁路部署的网络准入控制系统及方法通过旁路部署到核心交换中，监听保护区域的网络数据流，并做连接跟踪，对非法连接进行跳转或阻断；部署时不影响原有用户网络结构，准入过程不会对网络造成任何影响；准入控制设备宕机后，不影响用户正常业务访问。附图说明图1为本专利技术的旁路部署的网络准入控制系统的拓扑结构图；图2为本专利技术的旁路部署的网络准入控制系统的结构连接图；图3为本专利技术的旁路部署的网络准入控制方法的流程图。附图标注：1、终端设备；11、检查模块；12、通信模块；13、引导模块；2、交换机；3、准入控制设备；31、校验模块；32、反馈模块；4、应用服务端。具体实施方式以下结合附图，对本专利技术上述的和另外的技术特征和优点进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术的部分实施例，而不是全部实施例。如图1所示，本专利技术实施例提供一种旁路部署的网络准入控制系统，包括终端设备1、交换机2、准入控制设备3和应用服务端4，其中，若干终端设备1通过交换机2接入应用服务端4，准入控制设备3以旁路部署方式放置于所述交换机2的镜像口上，用以侦听终端设备1上传的数据，图中带有双向箭头的终端设备1为准入控制设备3校验未通过的终端设备1，带有单箭头的终端设备1为准入控制设备3校验通过的终端设备1。如图2所示，终端设备1中包括通信模块12、检查模块11和引导模块13，准入控制设备3包括校验模块31和反馈模块32，具体工作过程如下所示：检查模块11对用户信息和终端的安全情况进行检查，检查通过后生成安全信号，通信模块12响应安全信号后生成前导包并建立终端设备1和交换机2的会话链路，将包含前导包的数据上传至应用服务端4，准入控制设备3侦听终端设备1上传的数据，校验模块31校验侦听数据中的是否存在前导包，若存在前导包，则允许生成前导包的终端设备1接入专网；若不存在前导包，则通过反馈模块32生成并发送跳转包至未生成前导包的终端设备1，引导模块13接收该跳转包，从而控制终端设备1跳转至指定的网页，下载安装通信模块12，用于使该终端设备1生成前导包，从而使所有终端设备1接入专网。如图3所示，本专利技术的旁路部署的网络准入控制方法，包括以下步骤：S100：在终端电脑与交换机每次建立会话链路时，通过旁路部署的准入控制设备侦听网络中的数据；S200：检测侦听到的数据中是否包含前导包；S300：若侦听到的数据中包含前导包，则允许传输该数据的终端电脑接入专网；S400：若侦听到的数据中不包含前导包，则通过准入控制设备发送跳转包至终端设备使终端设备跳转至指定网页下载安装通信模块，使安装所述通信模块的终端设备生成前导包。前导包的字段内容包括数据长度、设备ID、服务器IP、本机IP地址、本机IP掩码和区域编号。作为一种实施方式，还可以在建立会话链路之前包括在以下步骤：对用户信息和终端设备的安全情况进行检查，若检查通过，则生成安全信号。本专利技术相比于现有技术的有益效果在于：本专利技术的旁路部署的网络准入控制系统及方法通过旁路部署到核心交换中，监听保护区域的网络数据流，并做连接跟踪，对非法连接进行跳转或阻断；部署时不影响原有用户网络结构，准入过程不会对网络造成任何影响；准入控制设备宕机后，不影响用户正常业务访问。以上所述的具体实施例，对本专利技术的目的、技术方案和有益效果进行了进一步的详细说明，应当理解，以上所述仅为本专利技术的具体实施例而已，并不用于限定本专利技术的保护范围。特别指出，对于本领域技术人员来说，凡在本本文档来自技高网...

【技术保护点】
一种旁路部署的网络准入控制系统，其特征在于，包括终端设备、交换机、准入控制设备，所述终端设备与所述交换机建立会话链路，所述准入控制设备放置于所述交换机的镜像口上，终端设备内设有检查模块和通信模块，所述检查模块用于对用户信息和终端设备的安全情况进行检查生成安全信号，所述通信模块耦接所述检查模块，用于响应所述安全信号生成前导包并建立终端设备和交换机的会话链路，所述准入控制设备内设有校验模块，所述校验模块用于响应所述前导包允许生成前导包的终端设备接入专网。

【技术特征摘要】
1.一种旁路部署的网络准入控制系统，其特征在于，包括终端设备、交换机、准入控制设备，所述终端设备与所述交换机建立会话链路，所述准入控制设备放置于所述交换机的镜像口上，终端设备内设有检查模块和通信模块，所述检查模块用于对用户信息和终端设备的安全情况进行检查生成安全信号，所述通信模块耦接所述检查模块，用于响应所述安全信号生成前导包并建立终端设备和交换机的会话链路，所述准入控制设备内设有校验模块，所述校验模块用于响应所述前导包允许生成前导包的终端设备接入专网。2.根据权利要求1中所述的旁路部署的网络准入控制系统，其特征在于，所述准入控制设备还包括反馈模块，所述反馈模块耦接所述校验模块，用于响应所述校验模块未响应到前导包的校验结果生成跳转包，并将所述跳转包发送至未生成前导包的终端设备。3.根据权利要求2中所述的旁路部署的网络准入控制系统，其特征在于，所述终端设备还包括引导模块，所述引导模块响应所述跳转包使终端设备跳转至指定的网页下载安装通信模块。4.根据权利要求1中所述的...

【专利技术属性】
技术研发人员：傅如毅，沈勇，姚龙飞，
申请(专利权)人：浙江远望信息股份有限公司，
类型：发明
国别省市：浙江,33