專利名稱：帶上網(wǎng)行為管理功能的多wan寬帶路由器及其實(shí)現(xiàn)方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種路由器，具體地說，是涉及一種帶上網(wǎng)行為管理功能的多WAN寬 帶路由器及其實(shí)現(xiàn)方法。
背景技術(shù)：
網(wǎng)絡(luò)已經(jīng)是現(xiàn)代企業(yè)中正常開展工作必不可少的一種技術(shù)，而路由器又是網(wǎng)絡(luò)正 常工作必不可少的設(shè)備之一，隨著科學(xué)技術(shù)的快速發(fā)展，路由器的功能也被快速更新，以適 應(yīng)現(xiàn)代社會的各種需求。網(wǎng)絡(luò)在企業(yè)中的應(yīng)用，雖然為企業(yè)工作的順利開展提供了極大的 方便，同時也帶來了一定的負(fù)面影響，那就是員工的網(wǎng)絡(luò)行為無法受到合理地控制管理，例 如員工在上班時間登陸與工作無關(guān)的網(wǎng)站，甚至玩網(wǎng)絡(luò)游戲、聊私人QQ等，公司均無法對 其進(jìn)行有效地控制，這不僅會降低員工的工作效率，長此以往，還可能帶動其他員工，對整 個公司的工作氛圍造成不良影響。發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種帶上網(wǎng)行為管理功能的多WAN寬帶路由器，在保證網(wǎng) 絡(luò)正常工作的同時，對上網(wǎng)行為進(jìn)行控制，防止企業(yè)內(nèi)部工作人員在上班時間通過網(wǎng)絡(luò)開 展與工作無關(guān)的活動，保證工作效率。
為了實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案如下
帶上網(wǎng)行為管理功能的多WAN寬帶路由器，包括相互連通的信號交換模塊與外部 連接端口，以及為寬帶路由器提供工作電壓的供電系統(tǒng)，該寬帶路由器還設(shè)置有對用戶端 上網(wǎng)行為進(jìn)行判斷處理的中央處理系統(tǒng)，以及預(yù)置有網(wǎng)絡(luò)行為判斷數(shù)據(jù)包的存儲模塊，該 中央處理系統(tǒng)分別與存儲模塊、信號交換模塊和供電系統(tǒng)相連通。
具體地說，所述信號交換模塊包括LAN交換模塊和WAN模塊，外部連接端口包括與 LAN交換模塊連接的LAN以太網(wǎng)端口，和與WAN模塊連接的WAN以太網(wǎng)端口。
進(jìn)一步地說，所述中央處理系統(tǒng)包括網(wǎng)絡(luò)層分析處理模塊、應(yīng)用層分析模塊和數(shù) 據(jù)處理模塊，其中網(wǎng)絡(luò)分析處理模塊的信號輸入端與LAN交換模塊連接，其信號輸出端通 過應(yīng)用層分析模塊與數(shù)據(jù)處理模塊的信號輸入端連接，而數(shù)據(jù)處理模塊的信號輸出端則與 WAN模塊連接，所述網(wǎng)絡(luò)層分析處理模塊的信號輸出端還與WAN模塊連接。
更進(jìn)一步地說，所述存儲模塊包括相互連接并分別與中央處理系統(tǒng)、供電系統(tǒng)連 接的RAM模塊和ROM模塊。所述供電系統(tǒng)包括AC/DC模塊和DC/DC模塊，AC/DC模塊的輸 入端與外部電源連接，其輸出端連接DC/DC模塊。
所述WAN以太網(wǎng)端口的數(shù)量至少為一個，用于與互聯(lián)網(wǎng)連接。
在上述硬件系統(tǒng)的基礎(chǔ)上，本發(fā)明還提供了該帶上網(wǎng)行為管理功能的多WAN寬帶 路由器的實(shí)現(xiàn)方法，包括以下步驟
(1)開啟供電系統(tǒng)，使路由器處于工作狀態(tài)；
(2)用戶端通過LAN以太網(wǎng)端口向路由器發(fā)出請求，并通過LAN交換模塊將請求發(fā)送至網(wǎng)絡(luò)層分析處理模塊；
(3)網(wǎng)絡(luò)層分析處理模塊對請求進(jìn)行初步分析，若分析結(jié)果表明不需要進(jìn)行深入 分析，則通過LAN以太網(wǎng)端口將該請求信息發(fā)送至該請求的目的MAC地址，并通過LAN模 塊、LAN以太網(wǎng)端口將請求信息記錄于服務(wù)器中；反之，則將請求發(fā)送至應(yīng)用層分析模塊；
(4)應(yīng)用層分析模塊判斷接收到的請求是否在發(fā)出該請求的用戶端權(quán)限之內(nèi)，如 果該請求在該用戶端權(quán)限之內(nèi)，則將請求發(fā)送至數(shù)據(jù)處理模塊，并經(jīng)過WAN模塊、WAN以太 網(wǎng)端口與互聯(lián)網(wǎng)建立連接，否則丟棄該請求信號。
進(jìn)一步地說，所述步驟(3)中初步分析的具體方法包括
對用戶端發(fā)出的請求進(jìn)行分析判斷，如果是TCP、UDP類型的請求，則需要進(jìn)行深 入分析，反之則不需要進(jìn)行深入分析。
所述步驟中應(yīng)用層分析模塊判斷接收到的請求是否與發(fā)出該請求的用戶端 權(quán)限相符的具體方法包括應(yīng)用層分析模塊確認(rèn)發(fā)出請求的用戶端IP ；從存儲模塊中讀取 與該用戶端IP相應(yīng)的網(wǎng)絡(luò)行為判斷數(shù)據(jù)包；將從存儲模塊中讀取的網(wǎng)絡(luò)行為判斷數(shù)據(jù)包 與用戶端發(fā)出的請求進(jìn)行對比，兩者相同，則該請求在該用戶端權(quán)限之外，反之，則在該用 戶端權(quán)限之內(nèi)。
再進(jìn)一步地說，所述網(wǎng)絡(luò)行為判斷數(shù)據(jù)包僅包含禁止發(fā)出的用戶請求。
所述步驟(4)完成后，數(shù)據(jù)處理模塊還向發(fā)出請求的用戶端發(fā)出處理信號。
本發(fā)明的設(shè)計原理在普通路由器的基礎(chǔ)上，通過增加硬件模塊，來改進(jìn)其中央處 理系統(tǒng)的功能，實(shí)現(xiàn)對上網(wǎng)行為判斷的功能，從而達(dá)到對局域網(wǎng)內(nèi)所有用戶的上網(wǎng)行為進(jìn) 行控制的目的。
與現(xiàn)有技術(shù)相比，本發(fā)明具有以下有益效果
1.本發(fā)明硬件結(jié)構(gòu)簡單，實(shí)現(xiàn)方便，在基本不增加產(chǎn)品成本的同時，大大提高了產(chǎn) 品的功能；
2.本發(fā)明的配置方法十分簡單，僅僅是在現(xiàn)有路由器的配置界面增加了少量操 作，工作人員無須再專門進(jìn)行培訓(xùn)，為企業(yè)節(jié)約了大量的技術(shù)培訓(xùn)費(fèi)用；
3.本發(fā)明不需要對技術(shù)人員進(jìn)行培訓(xùn)，從而節(jié)省了大量的培訓(xùn)時間，為產(chǎn)品的推 廣應(yīng)用提供了極大的助力；
4.本發(fā)明的應(yīng)用，能夠有效地杜絕企業(yè)員工通過網(wǎng)絡(luò)辦理私事的情況，為企業(yè)對 員工的管理提供極大的方便。
本發(fā)明主要應(yīng)用于企業(yè)內(nèi)部局域網(wǎng)中，具有很高的實(shí)用和推廣價值。


圖1為本發(fā)明-實(shí)施例的系統(tǒng)框圖。
圖2為本發(fā)明-實(shí)施例的流程示意圖。
具體實(shí)施方式
下面結(jié)合附圖與實(shí)施例對本發(fā)明作進(jìn)一步說明。
實(shí)施例
如圖1、圖2所示，帶上網(wǎng)行為管理功能的多WAN寬帶路由器，包括中央處理系統(tǒng)，以及分別直接與中央處理系統(tǒng)連接的LAN交換模塊、WAN模塊、存儲模塊和DC/DC模塊，其 中，LAN交換模塊通過LAN以太網(wǎng)端口與內(nèi)部有線用戶端，WAN模塊通過WAN以太網(wǎng)端口與 互聯(lián)網(wǎng)連接，而DC/DC模塊還與存儲模塊連接，以及通過AC/DC模塊與外部電源連接。為了 便于對企業(yè)員工的上網(wǎng)行為進(jìn)行管理，特別是對違規(guī)人員進(jìn)行懲罰，在路由器外部還設(shè)置 有與LAN以太網(wǎng)端口連接的服務(wù)器，主要用于記錄從用戶端發(fā)出的請求數(shù)據(jù)。
所述中央處理系統(tǒng)包括網(wǎng)絡(luò)層分析處理模塊、應(yīng)用層分析模塊和數(shù)據(jù)處理模塊， 其中，網(wǎng)絡(luò)層分析處理模塊分別與LAN交換模塊、WAN模塊和應(yīng)用層分析模塊連接，而數(shù)據(jù) 處理模塊則分別連接應(yīng)用層分析模塊和WAN模塊。
上述硬件系統(tǒng)中，存儲模塊包括RAM模塊和ROM模塊，該RAM模塊和ROM模塊內(nèi)部 均預(yù)置有網(wǎng)絡(luò)行為判斷數(shù)據(jù)包，網(wǎng)絡(luò)行為判斷數(shù)據(jù)包中設(shè)置有禁止發(fā)出的用戶請求。對于 不同的用戶端，所設(shè)置的禁止發(fā)出的用戶請求內(nèi)容也不相同，即不同用戶的上網(wǎng)權(quán)限各不 相同。所有的網(wǎng)絡(luò)行為判斷數(shù)據(jù)包均與相應(yīng)的用戶端IP綁定，供應(yīng)用層分析模塊在進(jìn)行深 入分析時調(diào)用。
所述網(wǎng)絡(luò)層分析處理模塊的功能在于對用戶發(fā)出的請求進(jìn)行初步分析，而應(yīng)用層 分析模塊對需要深入分析的請求進(jìn)行深入分析，確定用戶發(fā)出的請求是否在該用戶權(quán)限之 內(nèi)，而數(shù)據(jù)處理模塊則是對符合用戶權(quán)限的請求放行，同時對不符合用戶權(quán)限的請求作出 丟棄處理，或者發(fā)出懲罰指令。所謂懲罰指令主要指警告指令、斷網(wǎng)指令等。
下面以內(nèi)部有線用戶端一發(fā)出請求為例，來說本發(fā)明的工作過程
開啟外部電源開關(guān)，電源經(jīng)過AC/DC模塊、DC/DC模塊后使整個路由器進(jìn)入工作狀 態(tài)；內(nèi)部有線用戶端一通過LAN以太網(wǎng)端口向路由器發(fā)出請求，LAN交換模塊接收到請求信 號后，發(fā)送到網(wǎng)絡(luò)層分析處理模塊進(jìn)行初步分析；如果該請求是TCP、UDP類型的請求，則需 要進(jìn)行深入分析，反之，則不需要進(jìn)行深入分析。對于不需要進(jìn)行深入分析的請求，則直接 通過LAN以太網(wǎng)端口與內(nèi)部有線用戶端二建立連接，或通過WAN以太網(wǎng)端口與互聯(lián)網(wǎng)建立 連接，與此同時，通過LAN模塊、LAN以太網(wǎng)端口將請求信息記錄于服務(wù)器中，供后續(xù)查詢使 用；如果初步分析的結(jié)果是需要深入分析，則將請求發(fā)送至應(yīng)用層分析模塊進(jìn)行深入分析。 深入分析的方法是首先追查該請求的用戶端IP，即內(nèi)部有線用戶端一的IP，然后根據(jù)內(nèi) 部有線用戶端一的IP從RAM模塊或ROM模塊調(diào)用內(nèi)部有線用戶端一的網(wǎng)絡(luò)行為數(shù)據(jù)包，將 之與請求信息進(jìn)行比較。通過比較，即可判定出內(nèi)部有線用戶端一的上網(wǎng)行為是否符合規(guī) 定。
若深入分析的結(jié)果是請求信息與內(nèi)部有線用戶端一在存儲模塊中的網(wǎng)絡(luò)行為數(shù) 據(jù)包相同，則判定該請求的上網(wǎng)行為不符合規(guī)定，應(yīng)當(dāng)禁止，此時，數(shù)據(jù)處理模塊將該請求 丟棄或向內(nèi)部有線用戶端一發(fā)出警告指令或斷網(wǎng)指令，并且將該請求信息記錄于服務(wù)器 中，供后續(xù)工作使用；反之，數(shù)據(jù)處理模塊將請求發(fā)送至WAN模塊，然后通過WAN以太網(wǎng)端口 與互聯(lián)網(wǎng)建立連接，并將請求信息記錄于服務(wù)器中，供后續(xù)工作使用。
上述實(shí)施例僅為本發(fā)明的最優(yōu)實(shí)施例，本發(fā)明的保護(hù)范圍包括但不限于本實(shí)施 例。
權(quán)利要求
1.帶上網(wǎng)行為管理功能的多WAN寬帶路由器，包括相互連通的信號交換模塊與外部連 接端口，以及為寬帶路由器提供工作電壓的供電系統(tǒng)，其特征在于，還設(shè)置有對用戶端上網(wǎng) 行為進(jìn)行判斷處理的中央處理系統(tǒng)，以及預(yù)置有網(wǎng)絡(luò)行為判斷數(shù)據(jù)包的存儲模塊，該中央 處理系統(tǒng)分別與存儲模塊、信號交換模塊和供電系統(tǒng)相連通。
2.根據(jù)權(quán)利要求1所述的帶上網(wǎng)行為管理功能的多WAN寬帶路由器，其特征在于，所 述信號交換模塊包括LAN交換模塊和WAN模塊，外部連接端口包括與LAN交換模塊連接的 LAN以太網(wǎng)端口，和與WAN模塊連接的WAN以太網(wǎng)端口。
3.根據(jù)權(quán)利要求2所述的帶上網(wǎng)行為管理功能的多WAN寬帶路由器，其特征在于，所述 中央處理系統(tǒng)包括網(wǎng)絡(luò)層分析處理模塊、應(yīng)用層分析模塊和數(shù)據(jù)處理模塊，其中，網(wǎng)絡(luò)分析 處理模塊的信號輸入端與LAN交換模塊連接，其信號輸出端通過應(yīng)用層分析模塊與數(shù)據(jù)處 理模塊的信號輸入端連接，而數(shù)據(jù)處理模塊的信號輸出端則與WAN模塊連接，所述網(wǎng)絡(luò)層 分析處理模塊的信號輸出端還與WAN模塊連接。
4.根據(jù)權(quán)利要求3所述的帶上網(wǎng)行為管理功能的多WAN寬帶路由器，其特征在于，所述 存儲模塊包括相互連接并分別與中央處理系統(tǒng)、供電系統(tǒng)連接的RAM模塊和ROM模塊，所述 WAN以太網(wǎng)端口的數(shù)量至少為一個。
5.根據(jù)權(quán)利要求4所述的帶上網(wǎng)行為管理功能的多WAN寬帶路由器，其特征在于，所述 供電系統(tǒng)包括AC/DC模塊和DC/DC模塊，AC/DC模塊的輸入端與外部電源連接，其輸出端連 接DC/DC模塊。
6.帶上網(wǎng)行為管理功能的多WAN寬帶路由器的實(shí)現(xiàn)方法，其特征在于，包括以下步驟(1)開啟供電系統(tǒng)，保持路由器處于工作狀態(tài)；(2)用戶端通過LAN以太網(wǎng)端口向路由器發(fā)出請求，并通過LAN交換模塊將請求發(fā)送至 網(wǎng)絡(luò)層分析處理模塊；(3)網(wǎng)絡(luò)層分析處理模塊對請求進(jìn)行初步分析，若分析結(jié)果表明不需要進(jìn)行深入分析， 則通過LAN以太網(wǎng)端口將該請求信息發(fā)送至該請求的目的MAC地址，并通過LAN模塊、LAN 以太網(wǎng)端口將請求信息記錄于服務(wù)器中；反之，則將請求發(fā)送至應(yīng)用層分析模塊；(4)應(yīng)用層分析模塊判斷接收到的請求是否在發(fā)出該請求的用戶端權(quán)限之內(nèi)，如果該 請求在該用戶端權(quán)限之內(nèi)，則將請求發(fā)送至數(shù)據(jù)處理模塊，并經(jīng)過WAN模塊、WAN以太網(wǎng)端 口與互聯(lián)網(wǎng)建立連接，否則丟棄該請求信號。
7.根據(jù)權(quán)利要求6所述的帶上網(wǎng)行為管理功能的多WAN寬帶路由器的實(shí)現(xiàn)方法，其特 征在于，所述步驟(3)中初步分析的具體方法包括對用戶端發(fā)出的請求進(jìn)行分析判斷，如果是TCP、UDP類型的請求，則需要進(jìn)行深入分 析，反之則不需要進(jìn)行深入分析。
8.根據(jù)權(quán)利要求7所述的帶上網(wǎng)行為管理功能的多WAN寬帶路由器的實(shí)現(xiàn)方法，其特 征在于，所述步驟中應(yīng)用層分析模塊判斷接收到的請求是否與發(fā)出該請求的用戶端權(quán) 限相符的具體方法包括應(yīng)用層分析模塊確認(rèn)發(fā)出請求的用戶端IP ；從存儲模塊中讀取與該用戶端IP相應(yīng)的網(wǎng)絡(luò)行為判斷數(shù)據(jù)包；將從存儲模塊中讀取的網(wǎng)絡(luò)行為判斷數(shù)據(jù)包與用戶端發(fā)出的請求進(jìn)行對比，兩者相 同，則該請求在該用戶端權(quán)限之外，反之，則在該用戶端權(quán)限之內(nèi)。
9.根據(jù)權(quán)利要求8所述的帶上網(wǎng)行為管理功能的多WAN寬帶路由器的實(shí)現(xiàn)方法，其特 征在于，所述網(wǎng)絡(luò)行為判斷數(shù)據(jù)包僅包含禁止發(fā)出的用戶請求。
10.根據(jù)權(quán)利要求9所述的帶上網(wǎng)行為管理功能的多WAN寬帶路由器的實(shí)現(xiàn)方法，其特 征在于，所述步驟(4)完成后，數(shù)據(jù)處理模塊還向發(fā)出請求的用戶端發(fā)出處理信號。
全文摘要
本發(fā)明公開了一種帶上網(wǎng)行為管理功能的多WAN寬帶路由器，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，主要解決了企業(yè)局域網(wǎng)對上網(wǎng)行為無法有效控制的問題。該多WAN寬帶路由器包括相互連通的信號交換模塊與外部連接端口，為寬帶路由器提供工作電壓的供電系統(tǒng)，對用戶端上網(wǎng)行為進(jìn)行判斷處理的中央處理系統(tǒng)，以及預(yù)置有網(wǎng)絡(luò)行為判斷數(shù)據(jù)包的存儲模塊，該中央處理系統(tǒng)分別與存儲模塊、信號交換模塊和供電系統(tǒng)相連接。本發(fā)明還提供了上述路由器的實(shí)現(xiàn)方法，通過對用戶端發(fā)出的請求進(jìn)行判斷處理，實(shí)現(xiàn)了對上網(wǎng)行為的有效控制，大大提高了路由器的實(shí)用價值。
文檔編號H04L12/56GK102035734SQ20101057226
公開日2011年4月27日 申請日期2010年12月3日 優(yōu)先權(quán)日2010年12月3日
發(fā)明者周龍 申請人:成都飛魚星科技開發(fā)有限公司