用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的制作方法
【專利摘要】本實(shí)用新型公開了一種用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),局域網(wǎng)絡(luò)包括與外部網(wǎng)絡(luò)相連的核心網(wǎng)絡(luò)交換機(jī),與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接的多個(gè)客戶端和至少一個(gè)應(yīng)用服務(wù)器;網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),包括應(yīng)用控制網(wǎng)關(guān)、管理服務(wù)器、控制服務(wù)器,應(yīng)用控制網(wǎng)關(guān)串接部署或者旁路部署在局域網(wǎng)絡(luò)的入口處,管理服務(wù)器和控制服務(wù)器均與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接。本實(shí)用新型,能對(duì)訪問(wèn)局域網(wǎng)絡(luò)的網(wǎng)絡(luò)行為進(jìn)行有效管理。
【專利說(shuō)明】
用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)
技術(shù)領(lǐng)域
[0001]本實(shí)用新型涉及數(shù)字通信技術(shù)領(lǐng)域,具體涉及一種用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)。
【背景技術(shù)】
[0002]目前,絕大多數(shù)政府機(jī)構(gòu)、企業(yè)、金融機(jī)構(gòu)、教育機(jī)構(gòu)、NGO非政府機(jī)構(gòu),將自己的業(yè)務(wù)數(shù)據(jù)化,并將業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在自己的應(yīng)用服務(wù)器、專業(yè)工作站、及用戶客戶端。并按照一定的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)將應(yīng)用服務(wù)器、專業(yè)工作站、及成百上千的客戶端網(wǎng)絡(luò)連接起來(lái),構(gòu)成局域網(wǎng)絡(luò)。再通過(guò)業(yè)務(wù)流程再造,將業(yè)務(wù)流程網(wǎng)絡(luò)化。為了便于和外部單位進(jìn)行業(yè)務(wù)交流或者整合,該局域網(wǎng)絡(luò),還需通過(guò)路由器與外部互聯(lián)網(wǎng)互聯(lián)互通。
[0003]數(shù)據(jù)資源共享和數(shù)據(jù)資源有效利用為目的的計(jì)算機(jī)網(wǎng)絡(luò),開放性是其最大的特點(diǎn)。開放性也導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)具有與生倶來(lái)的體系脆弱性。同時(shí),計(jì)算機(jī)網(wǎng)絡(luò)的物理支撐結(jié)構(gòu)、通信計(jì)算機(jī)運(yùn)行的操作系統(tǒng)與應(yīng)用軟件、網(wǎng)絡(luò)通信協(xié)議均存在缺陷,上述缺陷的存在,進(jìn)一步加深計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性。
[0004]計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性,容易造成來(lái)自計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部或者外部的網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)攻擊會(huì)造成計(jì)算機(jī)網(wǎng)絡(luò)癱瘓,造成運(yùn)行在計(jì)算機(jī)網(wǎng)絡(luò)上的業(yè)務(wù)中斷。
[0005]對(duì)于局域網(wǎng)絡(luò)來(lái)說(shuō),來(lái)自內(nèi)部的網(wǎng)絡(luò)攻擊,主要由于政府機(jī)構(gòu)、企業(yè)、金融機(jī)構(gòu)、教育機(jī)構(gòu)、NGO非政府機(jī)構(gòu)等單位缺乏有效的技術(shù)手段,對(duì)局域網(wǎng)絡(luò)內(nèi)的服務(wù)器、工作站、客戶端的設(shè)置情況進(jìn)行有效管控,及員工的網(wǎng)絡(luò)安全意識(shí)淡薄,不對(duì)客戶端的操作系統(tǒng)設(shè)置密碼,不進(jìn)行系統(tǒng)更新及防毒軟件病毒庫(kù)更新;同時(shí),員工為了個(gè)人方便,私自修改電腦安全設(shè)置,使用P2P下載工具,如BT、電驢下載網(wǎng)絡(luò)數(shù)據(jù),采用代理瀏覽與工作無(wú)關(guān)的網(wǎng)站,導(dǎo)致釣魚網(wǎng)站的插件植入,及黑客借助瀏覽器或者應(yīng)用軟件的安全漏洞入駐內(nèi)部客戶端。一旦,黑客控制內(nèi)部客戶端,就可以采用內(nèi)部客戶端,對(duì)內(nèi)部局域網(wǎng)進(jìn)行攻擊,竊取或者篡改業(yè)務(wù)數(shù)據(jù),損壞局域網(wǎng)絡(luò)的網(wǎng)絡(luò)環(huán)境。
[0006]目前,基于內(nèi)部局域網(wǎng)的安全管理,主要在外部互聯(lián)網(wǎng)與局域網(wǎng)絡(luò)之間設(shè)置網(wǎng)絡(luò)防火墻,在應(yīng)用服務(wù)器、專業(yè)工作站、及用戶客戶端上安裝相應(yīng)的防火墻軟件,通過(guò)網(wǎng)絡(luò)防火墻阻斷網(wǎng)絡(luò)入侵,基于安全策略的網(wǎng)絡(luò)防火墻對(duì)于新出現(xiàn)的網(wǎng)絡(luò)攻擊類型或者現(xiàn)有網(wǎng)絡(luò)攻擊的變種的防御能力較差。因此,有實(shí)力的單位還在內(nèi)部局域網(wǎng)內(nèi)設(shè)置入侵檢測(cè)系統(tǒng)和漏洞掃描器,通過(guò)漏洞掃描器及時(shí)發(fā)現(xiàn)局域網(wǎng)絡(luò)內(nèi)的安全漏洞,通過(guò)入侵檢測(cè)系統(tǒng)及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊。上述技術(shù)方案能解決絕大多數(shù)外部攻擊和入侵,但如果黑客通過(guò)蠕蟲或者木馬變種進(jìn)入內(nèi)部局域網(wǎng)后,從局域網(wǎng)絡(luò)內(nèi)部進(jìn)行網(wǎng)絡(luò)攻擊,就無(wú)法對(duì)局域網(wǎng)絡(luò)實(shí)現(xiàn)有效的安全管理,因此,管理內(nèi)部客戶端的網(wǎng)絡(luò)行為,對(duì)杜絕來(lái)自局域網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)攻擊非常重要。
【實(shí)用新型內(nèi)容】
[0007]本實(shí)用新型所要解決的技術(shù)問(wèn)題是提供一種能對(duì)訪問(wèn)局域網(wǎng)絡(luò)的網(wǎng)絡(luò)行為進(jìn)行有效管理的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),從而進(jìn)一步大幅降低從內(nèi)部局域網(wǎng)進(jìn)行網(wǎng)絡(luò)攻擊的可能性,進(jìn)一步提尚內(nèi)部局域網(wǎng)的網(wǎng)絡(luò)安全性。
[0008]本實(shí)用新型解決技術(shù)問(wèn)題所采用的技術(shù)方案是:
[0009]用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),局域網(wǎng)絡(luò)包括與外部網(wǎng)絡(luò)相連的核心網(wǎng)絡(luò)交換機(jī),與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接的多個(gè)客戶端和至少一個(gè)應(yīng)用服務(wù)器;網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),包括應(yīng)用控制網(wǎng)關(guān)、管理服務(wù)器、控制服務(wù)器,應(yīng)用控制網(wǎng)關(guān)串接部署或者旁路部署在局域網(wǎng)絡(luò)的入口處,管理服務(wù)器和控制服務(wù)器均與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接。
[0010]進(jìn)一步,控制服務(wù)器包括一臺(tái)主用控制服務(wù)器和一臺(tái)備用控制服務(wù)器,主用控制服務(wù)器和備用控制服務(wù)器均與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接。
[0011]進(jìn)一步,應(yīng)用控制網(wǎng)關(guān)為具有逃生通道的應(yīng)用控制網(wǎng)關(guān)。
[0012]進(jìn)一步,應(yīng)用控制網(wǎng)關(guān)通過(guò)與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接的方式旁路部署在局域網(wǎng)絡(luò)的入口處。
[0013]進(jìn)一步,核心網(wǎng)絡(luò)交換機(jī)和應(yīng)用控制網(wǎng)關(guān)數(shù)量一樣,且均為至少兩臺(tái),至少兩臺(tái)應(yīng)用控制網(wǎng)關(guān)采用和至少兩臺(tái)核心網(wǎng)絡(luò)交換機(jī)對(duì)應(yīng)網(wǎng)絡(luò)連接的方式旁路部署在局域網(wǎng)絡(luò)的入口處,至少兩臺(tái)應(yīng)用控制網(wǎng)關(guān)之間網(wǎng)絡(luò)連接。
[0014]本實(shí)用新型的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)適用于政府機(jī)構(gòu)、企事業(yè)單位、金融機(jī)構(gòu)、非政府組織的內(nèi)部局域網(wǎng)的準(zhǔn)入管理。
[0015]與現(xiàn)有技術(shù)相比,本實(shí)用新型的有益效果是:
[0016]1、本實(shí)用新型的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),使局域網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)客戶端均達(dá)到了統(tǒng)一的安全設(shè)置標(biāo)準(zhǔn),杜絕了計(jì)算機(jī)用戶有意無(wú)意違反局域網(wǎng)絡(luò)內(nèi)客戶端安全管理的相關(guān)規(guī)章制度。同時(shí),在用戶訪問(wèn)網(wǎng)絡(luò)的整個(gè)過(guò)程中,網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)均可實(shí)時(shí)對(duì)各項(xiàng)策略進(jìn)行檢查,一旦發(fā)現(xiàn)與預(yù)定義的策略不符,系統(tǒng)可以及時(shí)改變?cè)撚脩粼L問(wèn)網(wǎng)絡(luò)資源的權(quán)限或者禁用該客戶端用戶接入網(wǎng)絡(luò),從根本上防止用戶在網(wǎng)絡(luò)使用過(guò)程中,隨意改變客戶端安全策略情況的發(fā)生,很好地滿足了局域網(wǎng)絡(luò)的安全管理需求。實(shí)用新型實(shí)現(xiàn)客戶端安全方案在局域網(wǎng)絡(luò)內(nèi)的強(qiáng)制執(zhí)行,將來(lái)自局域網(wǎng)絡(luò)內(nèi)部的安全威脅降至最低,大幅度提升了局域網(wǎng)絡(luò)安全水平。
[0017]2、本實(shí)用新型的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),由于通過(guò)優(yōu)化控制服務(wù)器的設(shè)計(jì)方案,在管理服務(wù)器的管理下,實(shí)現(xiàn)控制服務(wù)器的雙機(jī)熱備及故障下的服務(wù)不間斷自動(dòng)切換,從而進(jìn)一步提尚網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的可靠性和有效性,也相應(yīng)提尚局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全性;由于通過(guò)優(yōu)化應(yīng)用控制網(wǎng)關(guān),使網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)具有良好的故障應(yīng)急能力,從而進(jìn)一步提高網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的可靠性和有效性;由于通過(guò)優(yōu)化應(yīng)用控制網(wǎng)關(guān)的接入方式,避免出現(xiàn)應(yīng)用控制網(wǎng)關(guān)故障帶來(lái)局域網(wǎng)絡(luò)無(wú)法與外部網(wǎng)絡(luò)通信,從而進(jìn)一步提高局域網(wǎng)絡(luò)的可靠性;由于通過(guò)采用應(yīng)用控制網(wǎng)關(guān)與局域網(wǎng)絡(luò)內(nèi)的核心網(wǎng)絡(luò)交換機(jī)相匹配的技術(shù)方案,當(dāng)其中一臺(tái)應(yīng)用控制網(wǎng)關(guān)失效后,另外一臺(tái)應(yīng)用控制網(wǎng)關(guān)能夠通過(guò)熱備份鏈路接管失效應(yīng)用控制網(wǎng)關(guān)的控制功能,從而進(jìn)一步提尚網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的可罪性和有效性,也相應(yīng)提尚局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全性。
【附圖說(shuō)明】
[0018]圖1為應(yīng)用控制網(wǎng)關(guān)串接部署的本實(shí)用新型的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的結(jié)構(gòu)框圖。
[0019]圖2為應(yīng)用控制網(wǎng)關(guān)旁路部署的本實(shí)用新型的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的結(jié)構(gòu)框圖。
[0020]圖3為具有主用控制服務(wù)器和用控制服務(wù)器的本實(shí)用新型的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的結(jié)構(gòu)框圖。
[0021]圖4具有兩臺(tái)核心網(wǎng)絡(luò)交換機(jī)和應(yīng)用控制網(wǎng)關(guān)的本實(shí)用新型的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的結(jié)構(gòu)框圖。
【具體實(shí)施方式】
[0022]下面結(jié)合附圖和實(shí)施例對(duì)本實(shí)用新型進(jìn)一步說(shuō)明。
[0023]如圖1、圖2所示,本實(shí)用新型的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),局域網(wǎng)絡(luò)包括與外部網(wǎng)絡(luò)相連的核心網(wǎng)絡(luò)交換機(jī),與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接的多個(gè)客戶端和至少一個(gè)應(yīng)用服務(wù)器;網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),包括應(yīng)用控制網(wǎng)關(guān)、管理服務(wù)器、控制服務(wù)器,應(yīng)用控制網(wǎng)關(guān)串接部署或者旁路部署在局域網(wǎng)絡(luò)的入口處,管理服務(wù)器和控制服務(wù)器均與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接。
[0024]上述應(yīng)用控制網(wǎng)關(guān),為硬件控制網(wǎng)關(guān),如華三通信的H3CSecPathACG系列產(chǎn)品。應(yīng)用控制網(wǎng)關(guān),用于向隸屬不同角色及不同安全狀況的客戶端用戶開放不同的權(quán)限,也即根據(jù)控制服務(wù)器反饋的信息控制內(nèi)部局域網(wǎng)絡(luò)的客戶端對(duì)內(nèi)部局域網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)的訪問(wèn)權(quán)限,及控制外部互聯(lián)網(wǎng)的客戶端對(duì)內(nèi)部局域網(wǎng)絡(luò)的訪問(wèn)權(quán)限。防止外部互聯(lián)網(wǎng)的非授權(quán)的客戶端訪問(wèn)內(nèi)部局域網(wǎng)絡(luò);防止內(nèi)部局域網(wǎng)絡(luò)的合法但不安全的客戶端訪問(wèn)內(nèi)部局域網(wǎng)絡(luò);隔離連接到內(nèi)部局域網(wǎng)絡(luò)但沒(méi)有進(jìn)行安全認(rèn)證的客戶端訪問(wèn)。
[0025]上述管理服務(wù)器,具有現(xiàn)有的網(wǎng)絡(luò)準(zhǔn)入控制軟件系統(tǒng),為網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的控制中心,負(fù)責(zé)系統(tǒng)的管理及日常維護(hù)。網(wǎng)絡(luò)管理員可通過(guò)IE瀏覽器登錄管理服務(wù)器進(jìn)行日常維護(hù)操作,進(jìn)行網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)配置、組織人員管理、安全策略管理、補(bǔ)了管理、軟件分發(fā)、資產(chǎn)管理、公告管理以及報(bào)表管理等操作。
[0026]上述控制服務(wù)器,負(fù)責(zé)驗(yàn)證客戶端用戶的身份,對(duì)客戶端主機(jī)進(jìn)行安全檢查,與應(yīng)用控制網(wǎng)關(guān)聯(lián)動(dòng)實(shí)現(xiàn)最小授權(quán)的訪問(wèn)控制。
[0027]本實(shí)用新型僅對(duì)應(yīng)用控制網(wǎng)關(guān)、管理服務(wù)器、控制服務(wù)器在局域網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)中的位置,及它們與局域網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備之間的連接關(guān)系進(jìn)行創(chuàng)新和改進(jìn),不對(duì)應(yīng)用控制網(wǎng)關(guān)、管理服務(wù)器、控制服務(wù)器、核心網(wǎng)絡(luò)交換機(jī)上運(yùn)行的軟件系統(tǒng)進(jìn)行創(chuàng)新和改進(jìn)。
[0028]實(shí)施時(shí),如圖1、圖2所示,本領(lǐng)域的技術(shù)人員,在與外部網(wǎng)絡(luò)相連的局域網(wǎng)絡(luò)入口處,設(shè)置應(yīng)用控制網(wǎng)關(guān)。應(yīng)用控制網(wǎng)關(guān)可以采用串聯(lián)方式接入到局域網(wǎng)絡(luò),也即應(yīng)用控制網(wǎng)關(guān)部署在外部網(wǎng)絡(luò)與核心網(wǎng)絡(luò)交換機(jī)之間;應(yīng)用控制網(wǎng)關(guān)還可以采用與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接的方式旁路部署在局域網(wǎng)絡(luò)的入口處;將管理服務(wù)器和控制服務(wù)器與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接;再對(duì)管理服務(wù)器、控制服務(wù)器、應(yīng)用控制網(wǎng)關(guān)進(jìn)行相應(yīng)的網(wǎng)絡(luò)鏈路和軟件配置。
[0029]通過(guò)上述步驟,可以制成本實(shí)用新型的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)。
[0030]本實(shí)用新型的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),投入使用時(shí),客戶端連接控制服務(wù)器,發(fā)出訪問(wèn)請(qǐng)求,建立加密隧道;控制服務(wù)器響應(yīng)客戶端請(qǐng)求,返回服務(wù)器證書,并要求客戶端提交用戶證書,客戶端調(diào)用證書處理模塊來(lái)驗(yàn)證服務(wù)器的身份;控制服務(wù)器要求客戶端使用證書進(jìn)行登錄,客戶端自動(dòng)調(diào)用證書處理模塊,實(shí)現(xiàn)數(shù)字證書認(rèn)證;客戶端將用戶證書提交控制服務(wù)器,服務(wù)器接收到客戶端提交的證書后.調(diào)用證書驗(yàn)證模塊,完成用戶證書的驗(yàn)證;通過(guò)證書驗(yàn)證后,控制服務(wù)器調(diào)用證書解析模塊,解析用戶證書,獲取用戶信息,并根據(jù)用戶信息,實(shí)現(xiàn)對(duì)客戶端的訪問(wèn)控制和安全控制。控制服務(wù)器身份認(rèn)證有三種結(jié)果:用戶身份不合法,認(rèn)證不通過(guò);用戶身份合法,認(rèn)證通過(guò),但是客戶端不符合安全標(biāo)準(zhǔn);用戶身份合法,認(rèn)證通過(guò),且客戶端符合安全標(biāo)準(zhǔn);控制服務(wù)器會(huì)將認(rèn)證結(jié)果同時(shí)反饋至客戶端以及應(yīng)用控制網(wǎng)關(guān)。
[0031]用控制網(wǎng)關(guān)將根據(jù)控制服務(wù)器提供的認(rèn)證結(jié)果,對(duì)相應(yīng)客戶端應(yīng)用相應(yīng)的控制策略,對(duì)于用戶身份不合法,認(rèn)證不通過(guò)的客戶端用戶,只能訪問(wèn)局域網(wǎng)絡(luò)的認(rèn)證前域;對(duì)于用戶身份合法,但是計(jì)算機(jī)客戶端不符合安全標(biāo)準(zhǔn)的客戶端用戶,只能訪問(wèn)局域網(wǎng)絡(luò)的隔離域:對(duì)于同時(shí)通過(guò)身份認(rèn)證和安全認(rèn)證的客戶端用戶,則能完全訪問(wèn)局域網(wǎng)絡(luò)的認(rèn)證后域。
[0032]本實(shí)用新型的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),投入使用時(shí),通過(guò)檢查評(píng)估客戶端安全狀態(tài),對(duì)于不符合安全設(shè)置要求的客戶端,能夠提供個(gè)性化的修復(fù)建議,并協(xié)助客戶端安裝各類補(bǔ)丁和必備的軟件,以確??蛻舳诉_(dá)到局域網(wǎng)絡(luò)客戶端安全設(shè)置要求;同時(shí),對(duì)于存在重大安全隱患的客戶端、以及未授權(quán)的外部客戶端等系統(tǒng)能夠進(jìn)行強(qiáng)制隔離;網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)能夠?qū)蛻舳说木W(wǎng)絡(luò)行為進(jìn)行精細(xì)管理,主要包括:控制各種非法外連行為,控制網(wǎng)絡(luò)流量,控制實(shí)時(shí)通信、炒股、P2P軟件和網(wǎng)絡(luò)游戲,控制Web訪問(wèn)和IP訪問(wèn),進(jìn)行ARP地址解析協(xié)議防護(hù),對(duì)文件操作進(jìn)行監(jiān)控,對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行管理,對(duì)進(jìn)程/服務(wù)黑白名單和外設(shè)接口進(jìn)行管理;網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)支持與WSUS(WindowsServerUpdateServices)無(wú)縫集成,通過(guò)自動(dòng)化補(bǔ)丁檢查,能夠及時(shí)、安全和準(zhǔn)確地偵測(cè)系統(tǒng)漏洞,并幫助客戶端主機(jī)通過(guò)連接WSUS及時(shí)更新補(bǔ)丁,從而及時(shí)、主動(dòng)消除各種安全缺陷,避免由于系統(tǒng)漏洞帶來(lái)的客戶端安全威脅;對(duì)于計(jì)算機(jī)客戶端需要安裝的軟件,網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)支持將軟件通過(guò)手工或按計(jì)劃分發(fā)到客戶端主機(jī),并支持按部門、按操作系統(tǒng)、按IP地址段進(jìn)行分發(fā);網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)可自動(dòng)收集客戶端軟、硬件資產(chǎn)信息,統(tǒng)計(jì)輸出企業(yè)計(jì)算機(jī)資產(chǎn)狀態(tài)報(bào)表。另外,系統(tǒng)通過(guò)跟蹤資產(chǎn)變更,輸出變更報(bào)表,實(shí)現(xiàn)資產(chǎn)管理IT化,保障企業(yè)信息資產(chǎn)可控可管。
[0033]以上是本實(shí)用新型的基礎(chǔ)實(shí)施方式。從上述實(shí)施過(guò)程可以看出:本實(shí)用新型的各組件在技術(shù)上相互關(guān)聯(lián)、功能上相互支持、使用上相互配合,通過(guò)網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),使局域網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)客戶端均達(dá)到了統(tǒng)一的安全設(shè)置標(biāo)準(zhǔn),杜絕了計(jì)算機(jī)用戶有意無(wú)意違反局域網(wǎng)絡(luò)內(nèi)客戶端安全管理的相關(guān)規(guī)章制度。同時(shí),在用戶訪問(wèn)網(wǎng)絡(luò)的整個(gè)過(guò)程中,網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)均可實(shí)時(shí)對(duì)各項(xiàng)策略進(jìn)行檢查,一旦發(fā)現(xiàn)與預(yù)定義的策略不符,系統(tǒng)可以及時(shí)改變?cè)撚脩粼L問(wèn)網(wǎng)絡(luò)資源的權(quán)限或者禁用該客戶端用戶接入網(wǎng)絡(luò),從根本上防止用戶在網(wǎng)絡(luò)使用過(guò)程中,隨意改變客戶端安全策略情況的發(fā)生,很好地滿足了局域網(wǎng)絡(luò)的安全管理需求。實(shí)用新型實(shí)現(xiàn)客戶端安全方案在局域網(wǎng)絡(luò)內(nèi)的強(qiáng)制執(zhí)行,將來(lái)自局域網(wǎng)絡(luò)內(nèi)部的安全威脅降至最低,大幅度提升了局域網(wǎng)絡(luò)安全水平。
[0034]控制服務(wù)器直接控制局域網(wǎng)絡(luò)內(nèi)外客戶端的數(shù)據(jù)交換服務(wù),其可靠性,直接關(guān)系到網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)能否正常工作。為了提高控制服務(wù)器工作的可靠性,本實(shí)用新型在基礎(chǔ)實(shí)施方式的基礎(chǔ)上作進(jìn)一步改進(jìn),如圖3所示,本實(shí)用新型的第一優(yōu)選實(shí)施方式為,控制服務(wù)器包括一臺(tái)主用控制服務(wù)器和一臺(tái)備用控制服務(wù)器,主用控制服務(wù)器和備用控制服務(wù)器均與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接。
[0035]實(shí)施時(shí),如圖3所示,本領(lǐng)域的技術(shù)人員,采用一臺(tái)主用控制服務(wù)器和一臺(tái)備用控制服務(wù)器協(xié)同配合,來(lái)控制局域網(wǎng)絡(luò)內(nèi)外客戶端的數(shù)據(jù)交換服務(wù)。首先,將主用控制服務(wù)器和備用控制服務(wù)器均與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接,再進(jìn)行網(wǎng)絡(luò)設(shè)置,使主用控制服務(wù)器和備用控制服務(wù)器之間能夠自動(dòng)實(shí)時(shí)地備份數(shù)據(jù)。正常狀態(tài)下,由主用控制服務(wù)器負(fù)責(zé)局域網(wǎng)絡(luò)內(nèi)外客戶端的數(shù)據(jù)交換服務(wù)。當(dāng)主用控制服務(wù)器發(fā)生故障時(shí),管理服務(wù)器能夠監(jiān)聽到故障并通知系統(tǒng)數(shù)據(jù)交換自動(dòng)切換到備用控制服務(wù)器上,此時(shí)備用控制服務(wù)器提供客戶端的數(shù)據(jù)交換服務(wù),實(shí)現(xiàn)控制服務(wù)器的雙機(jī)熱備及故障下的服務(wù)不間斷自動(dòng)切換,從而進(jìn)一步提尚網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的可靠性和有效性,也相應(yīng)提尚局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全性。
[0036]本實(shí)用新型的第一優(yōu)先實(shí)施方式,通過(guò)優(yōu)化控制服務(wù)器的設(shè)計(jì)方案,在管理服務(wù)器的管理下,實(shí)現(xiàn)控制服務(wù)器的雙機(jī)熱備及故障下的服務(wù)不間斷自動(dòng)切換,從而進(jìn)一步提尚網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的可罪性和有效性,也相應(yīng)提尚局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全性。
[0037]為了確保應(yīng)用控制網(wǎng)關(guān)出現(xiàn)故障時(shí)局域網(wǎng)絡(luò)內(nèi)的業(yè)務(wù)處理正常進(jìn)行,本實(shí)用新型在基礎(chǔ)實(shí)施方式或者第一優(yōu)選實(shí)施方式的基礎(chǔ)上作進(jìn)一步改進(jìn),本實(shí)用新型的第二優(yōu)選實(shí)施方式為,應(yīng)用控制網(wǎng)關(guān)為具有逃生通道的應(yīng)用控制網(wǎng)關(guān)。
[0038]實(shí)施時(shí),本領(lǐng)域的技術(shù)人員,選擇具有逃生通道的應(yīng)用控制網(wǎng)關(guān)作為本實(shí)用新型的應(yīng)用控制網(wǎng)關(guān)。本第二優(yōu)選實(shí)施方式的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),投入使用時(shí),當(dāng)出現(xiàn)控制服務(wù)器發(fā)生嚴(yán)重故障,無(wú)法承擔(dān)正常的身份認(rèn)證和安全認(rèn)證時(shí),控制服務(wù)器與應(yīng)用控制網(wǎng)關(guān)之間的心跳協(xié)議能夠及時(shí)檢測(cè)故障,并打開逃生通道,準(zhǔn)入系統(tǒng)自動(dòng)開放外部互聯(lián)網(wǎng)的訪問(wèn)權(quán)限,以保證業(yè)務(wù)正常開展;當(dāng)心跳協(xié)議發(fā)現(xiàn)控制服務(wù)器從故障中恢復(fù)后,應(yīng)用控制網(wǎng)關(guān)將會(huì)自動(dòng)關(guān)閉逃生通道,安全接入控制機(jī)制重新生效。
[0039]本實(shí)用新型的第二優(yōu)先實(shí)施方式,通過(guò)優(yōu)化應(yīng)用控制網(wǎng)關(guān),使網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)具有良好的故障應(yīng)急能力,從而進(jìn)一步提尚網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的可靠性和有效性。
[0040]為了優(yōu)化應(yīng)用控制網(wǎng)關(guān)的接入方式,本實(shí)用新型在基礎(chǔ)實(shí)施方式、第一優(yōu)選實(shí)施方式、第二優(yōu)選實(shí)施方式中任意一個(gè)實(shí)施方式的基礎(chǔ)上作進(jìn)一步改進(jìn),如圖2所示,本實(shí)用新型的第三優(yōu)選實(shí)施方式為,應(yīng)用控制網(wǎng)關(guān)通過(guò)與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接的方式旁路部署在局域網(wǎng)絡(luò)的入口處。
[0041]實(shí)施時(shí),如圖2所示,本領(lǐng)域的技術(shù)人員,通過(guò)與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接的方式旁路部署應(yīng)用控制網(wǎng)關(guān),相較于串接部署,旁路部署應(yīng)用控制網(wǎng)關(guān),不會(huì)影響局域網(wǎng)絡(luò)的現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu),不會(huì)增加新的可能出現(xiàn)的網(wǎng)絡(luò)故障點(diǎn)。因此,有利于提高局域網(wǎng)絡(luò)的可靠性。
[0042]本實(shí)用新型的第三優(yōu)先實(shí)施方式,通過(guò)優(yōu)化應(yīng)用控制網(wǎng)關(guān)的接入方式,避免出現(xiàn)應(yīng)用控制網(wǎng)關(guān)故障帶來(lái)局域網(wǎng)絡(luò)無(wú)法與外部網(wǎng)絡(luò)通信,從而進(jìn)一步提高局域網(wǎng)絡(luò)的可靠性。
[0043]為了降低應(yīng)用控制網(wǎng)關(guān)故障帶來(lái)的局域網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn),本實(shí)用新型在基礎(chǔ)實(shí)施方式、第一至第三優(yōu)選實(shí)施方式中任意一個(gè)實(shí)施方式的基礎(chǔ)上作進(jìn)一步改進(jìn),如圖4所示,本實(shí)用新型的第四優(yōu)選實(shí)施方式為,核心網(wǎng)絡(luò)交換機(jī)和應(yīng)用控制網(wǎng)關(guān)數(shù)量一樣,且均為至少兩臺(tái),至少兩臺(tái)應(yīng)用控制網(wǎng)關(guān)采用和至少兩臺(tái)核心網(wǎng)絡(luò)交換機(jī)對(duì)應(yīng)網(wǎng)絡(luò)連接的方式旁路部署在局域網(wǎng)絡(luò)的入口處,至少兩臺(tái)應(yīng)用控制網(wǎng)關(guān)之間網(wǎng)絡(luò)連接。
[0044]較大型的局域網(wǎng)絡(luò),都會(huì)具有至少兩臺(tái)核心網(wǎng)絡(luò)交換機(jī)。假如在局域網(wǎng)絡(luò)內(nèi)具有兩臺(tái)核心網(wǎng)絡(luò)交換機(jī),分別為核心網(wǎng)絡(luò)交換機(jī)I和核心網(wǎng)絡(luò)交換機(jī)2,兩臺(tái)應(yīng)用控制網(wǎng)關(guān),分別為應(yīng)用控制網(wǎng)關(guān)I和應(yīng)用控制網(wǎng)關(guān)2,將網(wǎng)絡(luò)交換機(jī)I和應(yīng)用控制網(wǎng)關(guān)I網(wǎng)絡(luò)連接,核心網(wǎng)絡(luò)交換機(jī)2和應(yīng)用控制網(wǎng)關(guān)2網(wǎng)絡(luò)連接,將應(yīng)用控制網(wǎng)關(guān)I和應(yīng)用控制網(wǎng)關(guān)2之間網(wǎng)絡(luò)連接,建立應(yīng)用控制網(wǎng)關(guān)I和應(yīng)用控制網(wǎng)關(guān)2之間的熱備份鏈路。在核心網(wǎng)絡(luò)交換機(jī)I和核心網(wǎng)絡(luò)交換機(jī)2上設(shè)置路由策略將網(wǎng)絡(luò)數(shù)據(jù)流引向應(yīng)用控制網(wǎng)關(guān)I和應(yīng)用控制網(wǎng)關(guān)2。網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),投入使用時(shí),應(yīng)用控制網(wǎng)關(guān)I負(fù)責(zé)網(wǎng)絡(luò)交換機(jī)I所接客戶端的訪問(wèn)準(zhǔn)入控制,應(yīng)用控制網(wǎng)關(guān)2負(fù)責(zé)網(wǎng)絡(luò)交換機(jī)2所接客戶端的訪問(wèn)準(zhǔn)入控制,當(dāng)其中一臺(tái)應(yīng)用控制網(wǎng)關(guān)失效后,另外一臺(tái)應(yīng)用控制網(wǎng)關(guān)能夠通過(guò)熱備份鏈路接管失效應(yīng)用控制網(wǎng)關(guān)的控制功能,從而進(jìn)一步提尚網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的可罪性和有效性,也相應(yīng)提尚局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全性。
[0045]本實(shí)用新型的第四優(yōu)先實(shí)施方式,通過(guò)采用應(yīng)用控制網(wǎng)關(guān)與局域網(wǎng)絡(luò)內(nèi)的核心網(wǎng)絡(luò)交換機(jī)相匹配的技術(shù)方案,當(dāng)其中一臺(tái)應(yīng)用控制網(wǎng)關(guān)失效后,另外一臺(tái)應(yīng)用控制網(wǎng)關(guān)能夠通過(guò)熱備份鏈路接管失效應(yīng)用控制網(wǎng)關(guān)的控制功能,從而進(jìn)一步提高網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的可靠性和有效性,也相應(yīng)提高局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全性。
[0046]以上是本實(shí)用新型的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的實(shí)施過(guò)程。從上述實(shí)施過(guò)程可以看出,本實(shí)用新型,采用網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),來(lái)進(jìn)行內(nèi)部用戶身份認(rèn)證、對(duì)內(nèi)部用戶的接入設(shè)備進(jìn)行狀態(tài)評(píng)估,實(shí)現(xiàn)對(duì)內(nèi)部用戶屬性、在線狀態(tài)、流量限制的管控。
【主權(quán)項(xiàng)】
1.用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),所述局域網(wǎng)絡(luò)包括與外部網(wǎng)絡(luò)相連的核心網(wǎng)絡(luò)交換機(jī),與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接的多個(gè)客戶端和至少一個(gè)應(yīng)用服務(wù)器;其特征在于, 所述網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),包括應(yīng)用控制網(wǎng)關(guān)、管理服務(wù)器、控制服務(wù)器,所述應(yīng)用控制網(wǎng)關(guān)串接部署或者旁路部署在局域網(wǎng)絡(luò)的入口處,所述管理服務(wù)器和控制服務(wù)器均與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接。2.根據(jù)權(quán)利要求1所述的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),其特征在于,所述控制服務(wù)器包括一臺(tái)主用控制服務(wù)器和一臺(tái)備用控制服務(wù)器,所述主用控制服務(wù)器和備用控制服務(wù)器均與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接。3.根據(jù)權(quán)利要求1所述的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),其特征在于,所述應(yīng)用控制網(wǎng)關(guān)為具有逃生通道的應(yīng)用控制網(wǎng)關(guān)。4.根據(jù)權(quán)利要求1至3中任意一項(xiàng)權(quán)利要求所述的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),其特征在于,所述應(yīng)用控制網(wǎng)關(guān)通過(guò)與核心網(wǎng)絡(luò)交換機(jī)網(wǎng)絡(luò)連接的方式旁路部署在局域網(wǎng)絡(luò)的入口處。5.根據(jù)權(quán)利要求4所述的用于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),其特征在于,所述核心網(wǎng)絡(luò)交換機(jī)和應(yīng)用控制網(wǎng)關(guān)數(shù)量一樣,且均為至少兩臺(tái),至少兩臺(tái)應(yīng)用控制網(wǎng)關(guān)采用和至少兩臺(tái)核心網(wǎng)絡(luò)交換機(jī)對(duì)應(yīng)網(wǎng)絡(luò)連接的方式旁路部署在局域網(wǎng)絡(luò)的入口處,至少兩臺(tái)所述應(yīng)用控制網(wǎng)關(guān)之間網(wǎng)絡(luò)連接。
【文檔編號(hào)】H04L29/06GK205510108SQ201620271559
【公開日】2016年8月24日
【申請(qǐng)日】2016年4月2日
【發(fā)明人】鄭杰
【申請(qǐng)人】電子科技大學(xué), 重慶電子工程職業(yè)學(xué)院