技術領域

本發明涉及一種防止非認證計算機設備接入企業內網的保護方法及系統。

背景技術

目前企業內網阻止非認證計算機接入主要有以下幾種方式：1、利用網絡交換機的標準IEEE802.1x協議功能，對每個接入交換機接口的設備進行認證，認證通過以后再開放端口進行數據包轉發。這種方式配置起來十分復雜，需要對所有下屬部門的全部二層交換設備的接口進行配置，管理十分不便,經常有不具備IEEE802.1x認證功能的低端交換機在網絡接入層形成認證的空白區域，產生安全漏洞。2、在網關出口的位置使用防火墻等訪問控制設備，配置靜態的訪問控制列表，對預先登記的合法IP地址放行，對非預先登記的IP地址進行阻擋。這種方式需要預先統計大量的IP地址表，對于新增或移除IP地址需要大量的審批和維護工作，同時當某個IP主機關機的時候，該IP地址容易被非法計算機盜用。3、使用專門的認證服務器接管網關處的所有網絡會話，對經過認證客戶端軟件認證過的網絡會話予以放行，丟棄沒有經過客戶端軟件認證過的網絡會話。這種方式需要將所有的網絡流量轉發到這臺認證服務器上，由于認證服務器對網絡數據包的轉發速度較慢，容易形成網絡速度的瓶頸。

發明內容

本發明目的是為了解決目前采用的企業內網阻止非認證計算機接入方法實現底層網絡實現全面覆蓋操作復雜的問題，和現有的接入系統的維護工作量大、網絡出口速度慢的問題，提供了一種防止非認證計算機設備接入企業內網的保護方法及系統。

本發明所述一種防止非認證計算機設備接入企業內網的保護方法，所述方法是基于下述裝置實現的，所述裝置包括N個計算機終端、服務器和出口路由器網關，所述N個計算機終端中的每個計算機終端的輸入輸出端分別與服務器的相應的輸出輸入端連接；所述服務器通過出口路由器網關與企業內網連接；所述N個計算機終端均嵌入合法客戶端認證模塊；

所述防止非認證計算機設備接入的方法是由嵌入在服務器中的軟件實現的，所述方法包括以下步驟：

接收由計算機終端每隔時間m發來的認證結果和IP地址的步驟,所述認證結果和IP地址都是經加密處理的；

對比接收到的認證結果，將經過合法認證的認證結果對應的IP地址定義為合法IP地址的步驟；

將所有合法IP地址對應的計算機終端所發送的數據包配置成正確路由的步驟；

將所有其它的網段都配置成黑洞路由的步驟；

對所有合法IP地址都分別對應一個老化時間n的步驟，其中，n代表從上次接收到該合法IP地址發送過來的合法認證結果到當前時刻所經歷的時間；

當n＞3m時，在出口路由網關內刪除該合法IP地址對應的有效路由條目的步驟。

一種防止非認證計算機設備接入企業內網的保護系統，包括N個計算機終端、服務器和出口路由器網關，所述N個計算機終端中的每個計算機終端的輸入輸出端分別與服務器的相應的輸出輸入端連接；所述服務器通過出口路由器網關與企業內網連接；所述N個計算機終端均嵌入合法客戶端認證模塊；

所述服務器內部嵌入有軟件實現的控制裝置，該裝置包括：

用于接收由計算機終端每隔時間m發來的認證結果和IP地址的模塊,所述認證結果和IP地址都是經加密處理的；

用于對比接收到的認證結果，將經過合法認證的認證結果對應的IP地址定義為合法IP地址的模塊；

用于將所有合法IP地址對應的計算機終端所發送的數據包配置成正確路由的模塊；

用于將所有其它的網段都配置成黑洞路由的模塊；

用于對所有合法IP地址都分別對應一個老化時間n的模塊，其中，n代表從上次接收到該合法IP地址發送過來的合法認證結果到當前時刻所經歷的時間；

用于當n＞3m時，在出口路由網關內刪除該合法IP地址對應的有效路由條目的模塊。

本發明的優點：使用本發明的方法對企業內網進行安全接入控制，可以對底層網絡實現全面覆蓋，實現所有下屬單位網絡接入的計算機設備如果沒有經過本系統的認證都無法通過網關訪問企業內網的其它部分；且系統部署完成以后，維護工作極少，網絡管理員再也不用為增加或移除某個IP地址去手工配置網絡設備。由于控制數據包是否通過的隔離設備仍采用原有網絡出口處的路由設備，不需要額外購買新的網絡設備，對網絡出口速度的影響也微乎其微。

附圖說明

圖1是本發明所述一種防止非認證計算機設備接入企業內網的保護系統的結構示意圖。

具體實施方式