【技術領域】

本發明涉及計算機通訊領域，尤其涉及一種基于端末的網絡訪問控制系統。

【背景技術】

傳統的網絡隔離技術控制，一般通過配置交換機或防火墻來實現，對硬件要求較高，兼容性較差，在用戶訪問權限需要動態變化的情況下，還需要對頻繁交換機進行設置，而交換機又大多分散，配置起來就顯得十分麻煩，而且在交換機或防火墻上配置大量ACL(訪問控制列表)會對交換機的性能產生影響，導致網絡性能下降，部分非網管交換機無法支持此類的配置；同時對于用戶外接3G上網卡或無線網卡等上網方式，則無法通過配置交換機或防火墻來達到限制網絡訪問和控制網絡流量。

在傳統的網絡隔離技術，如果需要限制某臺終端對網絡訪問的權限，則需要去配置防火墻，或者交換機等設備的ACL表或VLAN(虛擬局域網)，對于用戶的訪問權限需要動態變更，則需要頻繁的更改交換機或防火墻的配置，使的硬件的所承載的壓力變大，也給管理員的維護帶來了難題，同時傳統方式只能夠限制經過交換機或則防火墻上的數據流量，對于外聯的無線網卡，3G上網卡等設備無法做到限制。其傳統網絡隔離技術上存在大量配置所帶來的復雜性與設備兼容性的問題以及以下安全問題：

1)用戶計算機中毒，需要禁止其入網，或隔離到網絡修復區。需要對用戶所接入的交換機進行配置，限制其入網。如果接入層上使用的是非網管交換機，則無法對其進行有效的隔離。

2)用戶通過外接3G上網卡或無線網卡等方式上網，則無法通過配置交換機或防火墻來達到限制網絡訪問和控制網絡流量的目的，從而造成安全性隱患。

而且對于不同用戶對網絡訪問權限的差異性，需要管理員單獨進行配置，管理維護成本很高，難度很大。

現有技術中提供了一種“安全管理方法、認證客戶端、服務器及安全管理系統”，見公開號為：CN102164136A，公開日為：2011.08.24的中國專利，其安全管理方法的特征包括：認證客戶端獲取服務器下發攜帶有安全配置標準的安全控制信息；認證客戶端根據所述安全控制信息檢測用戶的安全配置是否符合所述安全配置標準；若不符合，則所述認證客戶端向所述服務器發送安全配置不符合標準通知，以使所述服務器對所述用戶進行網絡訪問控制。其認證客戶端的特征在于，包括：安全控制信息獲取模塊，用于獲取服務器下發攜帶有安全配置標準的安全控制信息；安全配置檢測模塊，用于根據所述安全控制信息檢測用戶的安全配置是否符合所述安全配置標準；通知發送模塊，用于若所述用戶的安全配置不符合所述安全配置標準，則向所述服務器發送安全配置不符合標準通知，以使所述服務器對所述用戶進行網絡訪問控制。該發明的安全管理方法、認證客戶端、服務器及安全管理系統能夠當同時存在大量用戶接入上網時仍確保服務器的高性能；解決了現有技術中判斷用戶的殺毒軟件信息是否合法導致認證服務器性能降低的問題。但該發明不能夠根據客戶機自身的安全性，動態變更客戶機網絡訪問權限，包括切換內外網；也不能動態配置安全控制信息，以及無法限制客戶機外接其他網絡繞過網絡訪問的控制。

【發明內容】

本發明要解決的技術問題，在于提供一種基于端末的網絡訪問控制系統，其能在端末上對計算機的網絡訪問行為進行限制，提高網絡的安全性，減少了大量配置交換機所帶來的復雜性。

本發明是這樣實現的：一種基于端末的網絡訪問控制系統，包括網絡準入控制模塊、網絡限制模塊以及網卡中間層過濾驅動模塊；

所述網絡準入控制模塊根據用戶的身份進行網絡認證來確定是否允許用戶使用的終端設備連接網絡；

所述網絡限制模塊負責將服務器端下發的網絡訪問控制策略進行解析，并轉換成能供所述網卡中間層過濾驅動模塊處理的訪問控制列表，所述訪問控制列表包括IP地址/IP地址范圍字段、本地端口范圍字段、遠程端口范圍字段、internet使用的協議類型字段，終端設備中網絡數據幀的流量方向字段以及權限字段；將訪問控制列表分發給所述網卡中間層過濾驅動模塊；所述網絡訪問控制策略包括：訪問的IP地址/IP地址范圍信息、本地端口范圍信息、遠程端口范圍信息、internet使用的協議類型信息、終端設備中網絡數據幀的流量方向信息、權限信息；所述權限信息包括：允許和禁止，所述終端設備中網絡數據幀的流量方向信息包括接收和發送；

所述網卡中間層過濾驅動模塊負責對終端設備的網卡接收的網絡數據幀進行過濾，攔截所述網絡訪問控制策略中禁止的網絡訪問行為。

本發明具有如下優點：1、無需對交換機等設備進行ACL，VLAN等配置，網絡限制在端末客戶機執行，配置維護簡單，不會影響網絡設備性能。