本發明公開了一種防止非法訪問內網的內網保護方法，設立終端路由器、內網服務器和交換機，將內網服務器和交換機分別與終端路由器進行連接，將員工設備與交換機進行連接，并將員工設備MAC地址與賬號進行綁定；將訪問的IP網段分為服務器網段、員工網段、訪客網段防止了非法訪問，通過終端路由器和內網服務器對訪問設備的IP和網段進行分類判定，并進行相應的接入處理，設立相應的功能開關，當未綁定MAC地址的設備手動設置為服務器網段和員工網段地址時觸發ARP欺騙保護機制，保護內網安全。本發明防止了非法接入訪問，保護了內網安全。

技術領域

本發明涉及網絡安全技術領域，具體地說，是涉及一種防止非法訪問內網的內網保護方法。

背景技術

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。隨著互聯網技術的發展，在大型企業中通常會建立局域網也就是內網以便進行網絡通信，局域網基本上都采用以廣播為技術基礎的以太網，任何兩個節點之間的通信數據包，不僅為這兩個節點的網卡所接收，也同時為處在同一以太網上的任何一個節點的網卡所截取。因此，黑客只要接入以太網上的任一節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息，造成企業信息的泄露，給企業帶來重大的損失；因此，如何對內網安全進行保護，防止非法訪問入侵，是相關人員亟需解決的問題。

發明內容

本發明的目的在于提供一種防止非法訪問內網的內網保護方法，保護內網安全，防止非法接入訪問。

為實現上述目的，本發明采用的技術方案如下：

一種防止非法訪問內網的內網保護方法，包括以下步驟：

(S1)設立終端路由器、內網服務器和交換機，將內網服務器和交換機分別與終端路由器進行連接，將員工設備與交換機進行連接；

(S2)在內網服務器設立每個員工的內網網絡的內網賬號和與內網賬號對應的密碼，設立與內網賬號相對應的認證表單，將員工設備的IP地址和MAC地址添加于認證表單中進行綁定，建立認證機制；

(S3)在終端路由器將IP網段分為服務器網段、員工網段和訪客網段，將內網服務器和員工設備IP對應配置于服務器網段和員工網段中，然后在終端路由器上設立用于防止ARP欺騙的ARP欺騙保護機制以及WiFi賬號和密碼；

(S4)設備通過WiFi賬號和密碼進行內網網絡接入，由終端路由器判斷設備IP屬性，如果設備是動態IP，則進入步驟(S5)；如果設備是靜態IP，則終端路由器判斷設備IP地址網段進行相應的接入；

(S5)由內網服務器判斷接入設備MAC地址是否與賬號綁定，如果已綁定，則終端路由器分配綁定員工網段IP地址，進入步驟(S8)；如果未綁定，則終端路由器分配訪客網段IP地址，進入步驟(S6)；

(S6)由終端路由器對設備訪問網段進行判斷，如果訪問內網網絡，則進入步驟(S7)；；如果設備訪問外網網絡，則根據終端路由器設置的訪問權限做相應的接入；

(S7)內網服務器認證機制發生響應，設備通過內網賬號和相應密碼進行認證，通過認證后，臨時放行此設備并設置臨時放行時間，如果設備通過認證后仍為動態IP的訪客網段IP地址，在臨時放行時間內，設備向終端路由器發送request續租報文，終端路由器回復設備NACK報文并重新分配員工網段IP地址，并將設備的MAC地址與IP地址進行綁定，進入步驟(S8)；若設備認證未通過，則拒絕該設備的訪問。

(S8)設備向終端路由器發送自檢ARP，終端路由器判斷當前設備的MAC和IP是否與終端路由器記錄一致，如果不一致，則終端路由器判斷該設備靜態IP手動設置為服務器網段或員工網段地址形成沖突，觸發ARP欺騙保護機制，保護內網安全；如果一致且設備IP為員工網段IP地址，則進入步驟(S9)；