專利名稱:內(nèi)網(wǎng)ip地址發(fā)現(xiàn)與阻斷系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種局域網(wǎng)絡(luò)安全管理系統(tǒng)及方法,尤其涉及一種內(nèi)網(wǎng)IP地址發(fā)現(xiàn)與阻斷系統(tǒng)及方法。
背景技術(shù):
現(xiàn)今互聯(lián)網(wǎng)絡(luò)的應(yīng)用已經(jīng)成為各大公司提高勞動(dòng)生產(chǎn)率和利潤率的革命性因素,它們通過電子商務(wù)和廣域網(wǎng)獲得了新的商機(jī)。與此同時(shí),越來越多的雇員通過互聯(lián)網(wǎng)絡(luò)的標(biāo)準(zhǔn)協(xié)議TCP/IP連接到一起,這就導(dǎo)致了一個(gè)嚴(yán)重的問題,即成倍增長的IP地址超出了公司IT部門所能控制的范圍。當(dāng)今各大公司網(wǎng)絡(luò)的擴(kuò)展是極其迅猛的,同時(shí)對(duì)網(wǎng)絡(luò)IP地址和名字空間的有序性和可靠性也提出了更高的要求。因此,如何有效防止IP地址的非法盜用以及非法網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)是很多組織頭疼的問題。
地址解析協(xié)議(ARP)用于實(shí)現(xiàn)IP地址到網(wǎng)絡(luò)接口硬件地址的映射。當(dāng)某主機(jī)要向以太網(wǎng)中的另一臺(tái)主機(jī)發(fā)送IP數(shù)據(jù)時(shí),它首先根據(jù)目的主機(jī)的IP地址到相應(yīng)以太網(wǎng)地址的映射表。如果查到匹配的節(jié)點(diǎn),則相應(yīng)的以太網(wǎng)地址被寫入以太網(wǎng)幀首部,數(shù)據(jù)報(bào)備加入到輸出隊(duì)列等候發(fā)送。如果查詢失敗,ARP會(huì)先保留待發(fā)送的IP數(shù)據(jù)報(bào),然后廣播一個(gè)詢問目的主機(jī)硬件地址的ARP報(bào)文,等收到回答后再將IP數(shù)據(jù)報(bào)發(fā)送出去。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種內(nèi)網(wǎng)IP地址發(fā)現(xiàn)與阻斷系統(tǒng)及方法,其可在保證網(wǎng)絡(luò)整體性能前提下,實(shí)現(xiàn)對(duì)局域網(wǎng)主機(jī)的及時(shí)發(fā)現(xiàn)和阻斷,且不影響任何網(wǎng)絡(luò)流量和傳輸?shù)膰H標(biāo)準(zhǔn)。
為了解決上述技術(shù)問題,本發(fā)明的技術(shù)方案為提供一種內(nèi)網(wǎng)IP地址發(fā)現(xiàn)與阻斷系統(tǒng),包括網(wǎng)絡(luò)掃描模塊,其掃描在線主機(jī)的IP地址、mac地址、主機(jī)名、工作組等信息,將信息流發(fā)送給信息比對(duì)模塊;信息比對(duì)模塊,其將接收的信息流與已經(jīng)設(shè)定的合法配置進(jìn)行比對(duì),將比對(duì)出的非法站點(diǎn)的列表發(fā)送給非法阻斷模塊;非法阻斷模塊,其對(duì)非法主機(jī)進(jìn)行阻斷攻擊。
這樣,本發(fā)明的優(yōu)點(diǎn)如下本發(fā)明的系統(tǒng)以Java、Web技術(shù)為架構(gòu),采用面向?qū)ο蠛蚆essageQueueing技術(shù)構(gòu)件信息交換平臺(tái),使產(chǎn)品的各項(xiàng)功能構(gòu)建于該平臺(tái)之上,使整個(gè)系統(tǒng)具備靈活的擴(kuò)展性。本發(fā)明可實(shí)現(xiàn)如下功能1、物理端口防護(hù);2、在線設(shè)備IP地址的實(shí)時(shí)檢測與分析;3、IP地址、MAC地址等信息的合法性判定;4、警告并自動(dòng)阻斷非法的IP地址;5、查詢非法IP地址的使用歷史;6、支持主動(dòng)檢測、被動(dòng)偵聽等多種檢測方式;7、同時(shí)支持動(dòng)態(tài)分配IP地址和靜態(tài)設(shè)定IP地址。
圖1是本發(fā)明的系統(tǒng)的結(jié)構(gòu)示意圖。
具體實(shí)施例方式
如圖1所示本發(fā)明的系統(tǒng)系統(tǒng)使用Java Servlet(Servlet是用Java編寫的Server端程序)容器Tomcat(一個(gè)Web容器的名稱)作為網(wǎng)絡(luò)服務(wù)器1,在最高層向用戶提供Web方式的操作界面,系統(tǒng)內(nèi)置Postgresql(一種數(shù)據(jù)庫的名稱)數(shù)據(jù)庫2,該系統(tǒng)主要?jiǎng)澐譃榫W(wǎng)絡(luò)掃描模塊3、信息比對(duì)模塊4、非法阻斷模塊5、身份認(rèn)證模塊6和授權(quán)管理模塊7七個(gè)模塊,各模塊之間通過消息對(duì)的方法(Message Queueing)相互通信,在最底層通過ICMP(因特網(wǎng)控制消息協(xié)議)、ARP(地址解析協(xié)議)、SNMP(簡單網(wǎng)管協(xié)議)、TELNET(遠(yuǎn)程登錄協(xié)議)、FTP(文件傳輸協(xié)議)等標(biāo)準(zhǔn)協(xié)議獲取被管設(shè)備的信息。
其中,網(wǎng)絡(luò)服務(wù)器1(WebService)提供對(duì)外的接口調(diào)用;網(wǎng)絡(luò)掃描模塊3掃描在線主機(jī)的IP地址、mac(Media Access Control,介質(zhì)訪問控制)地址、主機(jī)名、工作組等信息,將信息流發(fā)送給信息比對(duì)模塊;信息比對(duì)模塊4將接收的信息流與已經(jīng)設(shè)定的合法配置進(jìn)行比對(duì),將比對(duì)出的非法站點(diǎn)的列表發(fā)送給非法阻斷模塊;非法阻斷模塊5對(duì)非法主機(jī)進(jìn)行阻斷攻擊。
在用戶登陸系統(tǒng)時(shí),身份認(rèn)證模塊6對(duì)身份標(biāo)識(shí)進(jìn)行處理,并調(diào)用授權(quán)管理模塊7將該用戶擁有權(quán)限的頁面加載。各子模塊通過ODBC(Open DatabaseConnectivity,開放數(shù)據(jù)庫互連)或JDBC(Java Database Connectivity,Java數(shù)據(jù)庫互連)訪問數(shù)據(jù)庫。
其中,所述的授權(quán)管理模塊7采用ePass授權(quán)驗(yàn)證管理系統(tǒng)。ePass授權(quán)驗(yàn)證管理系統(tǒng)是一個(gè)管理一個(gè)或多個(gè)應(yīng)用系統(tǒng)的資源權(quán)限的通用軟件系統(tǒng),它可以對(duì)應(yīng)用中的資源,比如應(yīng)用系統(tǒng)菜單、畫面、報(bào)表和文檔等資源的使用權(quán)進(jìn)行集中管理,同時(shí)對(duì)應(yīng)用系統(tǒng)使用者的帳號(hào)進(jìn)行集中管理,提供統(tǒng)一的標(biāo)準(zhǔn)登錄界面和應(yīng)用畫面模板,提供對(duì)指定帳號(hào)、指定資源權(quán)限檢查的接口。
所述的網(wǎng)絡(luò)掃描模塊1對(duì)IP地址的自動(dòng)掃描發(fā)現(xiàn)可以通過ICMP、ARP等協(xié)議來完成,考慮掃描效率以及MAC地址發(fā)現(xiàn)的情況,本發(fā)明采用ARP協(xié)議來進(jìn)行網(wǎng)絡(luò)掃描。而主機(jī)名的自動(dòng)發(fā)現(xiàn)則可通過SNMP、Samba、Ftp、Telnet等多種技術(shù)結(jié)合實(shí)現(xiàn)。
本發(fā)明的數(shù)據(jù)交換方法可以采用兩種方法,一種是通過Message Queue消息同步機(jī)制,使用在不同系統(tǒng)之間傳遞消息,再通過應(yīng)用程序做出一定的處理,完成數(shù)據(jù)同步工作;另外一種是通過XML文件來表示數(shù)據(jù)庫數(shù)據(jù),再通過網(wǎng)絡(luò)將XML文件發(fā)送到同步端。Message Queue數(shù)據(jù)交換技術(shù)適用于實(shí)時(shí)性要求比較高,數(shù)據(jù)量相對(duì)較小的場合,XML(eXtensible MarkupLanguage,可擴(kuò)展標(biāo)記語言)數(shù)據(jù)交換技術(shù)則適用于實(shí)時(shí)性要求較低,數(shù)據(jù)量相對(duì)較大的場合。
本發(fā)明采用BSMQ(Baosight Message Queuing,寶信消息隊(duì)列)通信中間件作為數(shù)據(jù)同步的基礎(chǔ)技術(shù)。BSMQ提供了在不同供應(yīng)商平臺(tái)上的連通性,向開發(fā)人員提供了標(biāo)準(zhǔn)的信息交互的方法。
外,本發(fā)明的內(nèi)網(wǎng)IP地址發(fā)現(xiàn)與阻斷方法,包括如下步驟網(wǎng)絡(luò)掃描步驟,其掃描在線主機(jī)的IP地址、mac地址、主機(jī)名、工作組等信息,將信息流發(fā)送給信息比對(duì)模塊;信息比對(duì)步驟,其將接收的信息流與已經(jīng)設(shè)定的合法配置進(jìn)行比對(duì),將比對(duì)出的非法站點(diǎn)的列表發(fā)送給非法阻斷模塊;非法阻斷步驟,其對(duì)非法主機(jī)進(jìn)行阻斷攻擊。
權(quán)利要求
1.一種內(nèi)網(wǎng)IP地址發(fā)現(xiàn)與阻斷系統(tǒng),其特征在于,包括網(wǎng)絡(luò)掃描模塊3,其掃描在線主機(jī)的IP地址、mac地址、主機(jī)名、工作組等信息,將信息流發(fā)送給信息比對(duì)模塊;信息比對(duì)模塊4,其將接收的信息流與已經(jīng)設(shè)定的合法配置進(jìn)行比對(duì),將比對(duì)出的非法站點(diǎn)的列表發(fā)送給非法阻斷模塊;非法阻斷模塊5,其對(duì)非法主機(jī)進(jìn)行阻斷攻擊。
2.根據(jù)權(quán)利要求1所述的IP地址發(fā)現(xiàn)與阻斷系統(tǒng),其特征在于,還包括一網(wǎng)絡(luò)服務(wù)器1,其提供對(duì)外的接口調(diào)用。
3.根據(jù)權(quán)利要求1所述的IP地址發(fā)現(xiàn)與阻斷系統(tǒng),其特征在于,還包括一身份認(rèn)證模塊6,其用于用戶登陸時(shí)對(duì)身份標(biāo)識(shí)進(jìn)行處理。
4.根據(jù)權(quán)利要求1所述的IP地址發(fā)現(xiàn)與阻斷系統(tǒng),其特征在于,還包括一授權(quán)管理模塊7,其將該用戶擁有權(quán)限的頁面加載。
5.根據(jù)權(quán)利要求1所述的IP地址發(fā)現(xiàn)與阻斷系統(tǒng),其特征在于,所述的網(wǎng)絡(luò)掃描模塊3、信息比對(duì)模塊4、非法阻斷模塊5、撥號(hào)監(jiān)控模塊、設(shè)備管理模塊、身份認(rèn)證模塊6和授權(quán)管理模塊7之間通過消息對(duì)的方法相互通信。
6.根據(jù)權(quán)利要求1所述的IP地址發(fā)現(xiàn)與阻斷系統(tǒng),其特征在于,所述的網(wǎng)絡(luò)掃描模塊3、信息比對(duì)模塊4、非法阻斷模塊5、撥號(hào)監(jiān)控模塊、設(shè)備管理模塊、身份認(rèn)證模塊6和授權(quán)管理模塊7均通過開放數(shù)據(jù)庫互連或Java數(shù)據(jù)庫互連訪問數(shù)據(jù)庫。
7.根據(jù)權(quán)利要求1所述的IP地址發(fā)現(xiàn)與阻斷系統(tǒng),其特征在于,所述的授權(quán)管理模塊7采用ePass授權(quán)驗(yàn)證管理系統(tǒng)。
8.一種內(nèi)網(wǎng)IP地址發(fā)現(xiàn)與阻斷方法,其包括如下步驟網(wǎng)絡(luò)掃描步驟,其掃描在線主機(jī)的IP地址、mac地址、主機(jī)名、工作組等信息,將信息流發(fā)送給信息比對(duì)模塊;信息比對(duì)步驟,其將接收的信息流與已經(jīng)設(shè)定的合法配置進(jìn)行比對(duì),將比對(duì)出的非法站點(diǎn)的列表發(fā)送給非法阻斷模塊;非法阻斷步驟,其對(duì)非法主機(jī)進(jìn)行阻斷攻擊。
全文摘要
本發(fā)明提供一種內(nèi)網(wǎng)IP地址發(fā)現(xiàn)與阻斷系統(tǒng)及方法,包括網(wǎng)絡(luò)掃描模塊,其掃描在線主機(jī)的IP地址、mac地址、主機(jī)名、工作組等信息,將信息流發(fā)送給信息比對(duì)模塊;信息比對(duì)模塊,其將接收的信息流與已經(jīng)設(shè)定的合法配置進(jìn)行比對(duì),將比對(duì)出的非法站點(diǎn)的列表發(fā)送給非法阻斷模塊;非法阻斷模塊,其對(duì)非法主機(jī)進(jìn)行阻斷攻擊。這樣,使用本發(fā)明可在保證網(wǎng)絡(luò)整體性能前提下,實(shí)現(xiàn)對(duì)局域網(wǎng)主機(jī)的及時(shí)發(fā)現(xiàn)和阻斷,且不影響任何網(wǎng)絡(luò)流量和傳輸?shù)膰H標(biāo)準(zhǔn)。
文檔編號(hào)H04L12/24GK1713584SQ20041002546
公開日2005年12月28日 申請(qǐng)日期2004年6月25日 優(yōu)先權(quán)日2004年6月25日
發(fā)明者覃明貴, 董文生, 周明, 苗舒, 李剛, 王波, 呂浩進(jìn), 聞?chuàng)P, 徐培杰, 佘彬, 薛松 申請(qǐng)人:上海寶信軟件股份有限公司