技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種采用網(wǎng)絡(luò)數(shù)據(jù)包生存時(shí)間和媒體存取控制位址技術(shù)相結(jié)合，來控制網(wǎng)絡(luò)邊界的方法。?

背景技術(shù)

人們?yōu)榱私鉀Q資源的共享而建立了網(wǎng)絡(luò)，然而全世界的計(jì)算機(jī)真的聯(lián)成了網(wǎng)絡(luò)，安全卻成了問題。因?yàn)樵诰W(wǎng)絡(luò)上，你不清楚對(duì)方在哪里，泄密、攻擊、病毒等等，越來越多的不安全因素讓網(wǎng)絡(luò)管理者難以安寧，所以把有安全需求的網(wǎng)絡(luò)與不安全的網(wǎng)絡(luò)分開，是沒有辦法的選擇。分離形成了網(wǎng)絡(luò)的“孤島”，沒有了連接，安全問題自然消失了。信息系統(tǒng)網(wǎng)絡(luò)，在最初都是由網(wǎng)絡(luò)專業(yè)人員進(jìn)行相關(guān)的設(shè)計(jì)和實(shí)施完成的，其結(jié)構(gòu)具有明顯的安全性、系統(tǒng)性和結(jié)構(gòu)性特征。保持網(wǎng)絡(luò)結(jié)構(gòu)的不便是保證網(wǎng)絡(luò)穩(wěn)定，安全運(yùn)行的基礎(chǔ)安全要求。根據(jù)公安部信息網(wǎng)絡(luò)安全等級(jí)保護(hù)制度中規(guī)定，重要信息系統(tǒng)必須對(duì)其網(wǎng)絡(luò)的邊界有明確的界定。?

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種控制網(wǎng)絡(luò)邊界的方法，以克服目前現(xiàn)有技術(shù)存在的上述不足。?

本發(fā)明的目的是通過以下技術(shù)方案來實(shí)現(xiàn)：?

一種控制網(wǎng)絡(luò)邊界的方法，包括以下步驟：

1）針對(duì)給予的網(wǎng)絡(luò)，設(shè)定好到達(dá)訪問控制設(shè)備的所有客戶端設(shè)備的MAC地址和TTL值，并將二者綁定；

2）將監(jiān)控節(jié)點(diǎn)部署到網(wǎng)絡(luò)中后，把接受到的數(shù)據(jù)包中的MAC地址以及TTL值與步驟1）中設(shè)定的值進(jìn)行匹配，在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)過濾數(shù)據(jù)包，對(duì)未登記的MAC地址和登記了MAC地址但具有不符合要求TTL值的數(shù)據(jù)包進(jìn)行過濾；以及

3）對(duì)步驟2）中出現(xiàn)的不符合要求的數(shù)據(jù)包，進(jìn)行記錄，并拋棄；同時(shí)日志記錄出現(xiàn)網(wǎng)絡(luò)邊界外設(shè)備，并向網(wǎng)絡(luò)管理者發(fā)送告警。

進(jìn)一步的，所述步驟1）至2）中過濾的方法為編寫特定過濾軟件，并在軟件內(nèi)設(shè)定好到達(dá)訪問控制設(shè)備的所有客戶端設(shè)備的MAC地址和TTL值，并將二者一對(duì)一綁定。?

本發(fā)明的有益效果為：本發(fā)明采用MAC綁定和TTL值監(jiān)控相結(jié)合的技術(shù)，自動(dòng)化的封堵了網(wǎng)絡(luò)末端私接交換機(jī)和路由器造成的網(wǎng)絡(luò)邊界的違規(guī)擴(kuò)展問題。對(duì)網(wǎng)絡(luò)安全檢查技術(shù)中對(duì)網(wǎng)絡(luò)邊界確定的檢查手段，填補(bǔ)了技術(shù)空白。?

附圖說明

下面根據(jù)附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明。?

圖1是本發(fā)明實(shí)施例所述的一種控制網(wǎng)絡(luò)邊界的方法的流程框圖。?

具體實(shí)施方式

如圖1所示，本發(fā)明實(shí)施例所述的一種采用網(wǎng)絡(luò)數(shù)據(jù)包生存時(shí)間和媒體存取控制位址技術(shù)相結(jié)合，來控制網(wǎng)絡(luò)邊界的方法，具體地包括以下步驟：?

1）使用一臺(tái)Linux設(shè)備，使其具有兩塊網(wǎng)卡，以達(dá)到可以接收進(jìn)入數(shù)據(jù)包和發(fā)出輸出數(shù)據(jù)包的作用，將其部署在網(wǎng)絡(luò)中，并起到過濾所有經(jīng)過數(shù)據(jù)的作用；之后編寫特定過濾軟件，并在軟件內(nèi)設(shè)定好到達(dá)本設(shè)備的所有客戶端設(shè)備的MAC地址和TTL值，并將二者一對(duì)一綁定；

2）開始對(duì)本設(shè)備上所有的數(shù)據(jù)包進(jìn)行過濾，對(duì)未登記的MAC地址和登記了MAC地址但具有不符合要求TTL值的數(shù)據(jù)包，進(jìn)行篩選；

3）對(duì)步驟2）中出現(xiàn)的不符合要求的數(shù)據(jù)包，進(jìn)行記錄，并拋棄；同時(shí)日志記錄出現(xiàn)網(wǎng)絡(luò)邊界外設(shè)備，并在屏幕上向網(wǎng)絡(luò)管理者發(fā)送告警。

本發(fā)明的原理為：?

通常網(wǎng)絡(luò)末端被私接的網(wǎng)絡(luò)設(shè)備有如下幾種：

交換機(jī)：私接交換機(jī)，來接入更多的網(wǎng)絡(luò)設(shè)備時(shí)，額外的網(wǎng)絡(luò)設(shè)備會(huì)具有不同的MAC地址，通過本方法，可以快速排除掉非認(rèn)證MAC設(shè)備。

路由器：私接路由器后，由于路由器可以使用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，則私接在路由器下方的網(wǎng)絡(luò)設(shè)備的MAC地址將都被轉(zhuǎn)換為路由器的MAC地址，具有較強(qiáng)隱蔽性，采用MAC地址白名單的方法將不能過濾掉這部分設(shè)備。即便網(wǎng)絡(luò)采用MAC認(rèn)證時(shí)可以只認(rèn)證所有非路由設(shè)備，但用戶也可以采用使用臺(tái)式電腦和無(wú)線網(wǎng)卡的方法將網(wǎng)絡(luò)路由出去。本發(fā)明針對(duì)此問題，設(shè)計(jì)了對(duì)每個(gè)MAC地址，綁縛特定TTL值的方法。TTL在每經(jīng)過一次路由設(shè)備時(shí)，其自身值就會(huì)減1。利用TTL的此種特性，可以針對(duì)收到的所有數(shù)據(jù)包，檢測(cè)其對(duì)應(yīng)TTL值，如果其值小于指定值，則說明該數(shù)據(jù)包通過了多于指定數(shù)量的路由器。?

無(wú)線路由器：無(wú)線路由器的介入方式只是在介入介質(zhì)上有所改變，其實(shí)質(zhì)的介入性質(zhì)并沒有改變，其介入其他設(shè)備方式不是交換形式就是路由形式，都可以采用以上兩種方式來阻斷。?

本發(fā)明不局限于上述最佳實(shí)施方式，任何人在本發(fā)明的啟示下都可得出其他各種形式的產(chǎn)品，但不論在其形狀或結(jié)構(gòu)上作任何變化，凡是具有與本申請(qǐng)相同或相近似的技術(shù)方案，均落在本發(fā)明的保護(hù)范圍之內(nèi)。?