本發明提供了一種基于NAT的網絡準入方法和系統。所述方法，包括：接收客戶端發送的訪問網絡的數據包；判斷所述數據包中是否含有標識碼；若否，則攔截所述數據包；若是，則判斷所述數據包中的所述標識碼是否正確；若否，則攔截所述數據包；若是，則將所述數據包發送至目標地址，使所述客戶端準入網絡。通過判斷客戶端發送的數據包中是否含有標識碼，以及標識碼是否正確，來判斷訪問網絡的數據包是否為授權用戶輸出的數據包，進而控制NAT環境中所有終端訪問網絡的權限，避免未經授權的用戶使用網絡，進而提高網絡使用安全。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種基于NAT的網絡準入方法和系統。

背景技術

網絡地址轉換(NAT,Network Address Translation)屬接入廣域網(WAN)技術，是一種將私有(保留)地址轉化為合法IP地址的轉換技術，它被廣泛應用于各種類型Internet接入方式和各種類型的網絡中。現有技術中，在NAT環境下，無法對接入網絡的終端進行識別，無法對入網終端進行準入控制，經常存在安全隱患，容易造成信息泄露。

發明內容

針對現有技術中的缺陷，本發明提供一種基于NAT的網絡準入方法和系統，能夠實現NAT環境下的網絡準入控制。

第一方面，本發明提供了一種基于NAT的網絡準入方法，包括：

接收客戶端發送的訪問網絡的數據包；

判斷所述數據包中是否含有標識碼；若否，則攔截所述數據包；

若是，則判斷所述數據包中的所述標識碼是否正確；

若否，則攔截所述數據包；

若是，則將所述數據包發送至目標地址，使所述客戶端準入網絡。

可選的，在接收客戶端發送的訪問網絡的數據包的步驟之前，還包括：

接收客戶端發送的用戶輸入的認證信息；

對所述認證信息進行驗證；

若驗證失敗，則向所述客戶端發送驗證失敗信息；

若驗證成功，則生成標識碼，并將所述標識碼發送至所述客戶端。

可選的，所述接收客戶端發送的訪問網絡的數據包，包括：

接收客戶端發送的根據用戶輸入的訪問請求和所述標識碼，生成的訪問網絡的數據包。

可選的，所述生成標識碼，并將所述標識碼發送至所述客戶端，包括：

根據外部IP地址、客戶端數量、當前時間中的一種或多種，按預設時間間隔，生成標識碼；

將實時生成的所述標識碼，實時發送至所述客戶端。

可選的，所述生成標識碼，并將所述標識碼發送至所述客戶端的步驟，可替換為：

生成標識碼列表，并將所述標識碼列表發送至所述客戶端；

所述接收客戶端發送的訪問網絡的數據包，包括：

接收客戶端發送的根據用戶輸入的訪問請求和所述標識碼列表，生成的訪問網絡的數據包。

可選的，所述生成標識碼列表，包括：

根據外部IP地址、客戶端數量、當前時間中的一種或多種，生成標識碼與使用時間相對應的標識碼列表。

可選的，在所述攔截所述數據包的步驟之后，還包括：

向所述客戶端發送重定向頁面的網址。

可選的，所述標識碼為TTL字段的值。