[发明专利]一种基于网桥模式对局域网数据报文进行控制的方法

说明书

技术领域

本发明涉及的是一种在共享式、交互式网络环境中对局域网主机公网报文进行管理的方法。

背景技术

当前国内网络管理系统对局域网主机的监控管理，一般是通过虚拟路由技术或者通过旁路模式来实现的。虚拟路由技术也即虚拟网关技术，是通过在局域网的一台电脑上发送ARP广播包给局域网的所有电脑，这种ARP广播包里面将此电脑的MAC地址虚拟成局域网真正的网关的MAC地址，从而使得局域网的电脑的ARP表里面存在的正确的网关地址被更改为发ARP包的电脑的MAC地址，使得局域网的电脑在发送公网报文的时候会发给此电脑，此电脑通过部署抓包工具对经过此电脑的网卡的报文进行捕获和分析，在实施一些过滤政策后决定是否转发给真正的路由器，以此来对局域网电脑的公网访问进行控制。但是这种模式由于局域网的装控制软件的电脑相当于局域网的代理服务器，通过转发过程会极大地影响局域网电脑的上网速度，并且也为ARP病毒的传播提供了便捷条件，此外，由于现在各种防火墙都带有这种防止ARP欺骗的功能，所以采用类似这样架构的监控软件正在走向失效，不能达到监控的目的。而通过旁路模式对局域网的电脑进行监控，一般是通过部署带端口镜像的交换机、代理服务器或者HUB来实现的，但是由于这种监控模式是基于对数据报文传输的HTTP协议来实现的，从而在监控的时候无法对P2P协议的报文进行有效的拦截和控制，从而无法有效控制对局域网影响非常严重的各种P2P软件、聊天软件等等。本发明独到之处就是绕过了这两种监控模式的不足，将软件部署在局域网的网络桥上，也就是在局域网上网所用的交换机和路由设备之间部署一台电脑，在这台电脑上安装双网卡，一个网卡用来连接局域网电脑上网用的交换机，一个电脑用来连接局域网电脑上网用的路由设备，然后将此双网卡桥接成网络桥，并把监控软件部署在此网络桥上进行监控。这样，由于局域网的电脑发送的所有的公网报文都要经过此网络桥才能最终发送到公网，从而使得软件可以非常容易地实现对数据报文的捕获和分析，通过应用各种控制规则来决定是否对局域网电脑的公网访问进行拦截和方行，从而可以控制局域网电脑的各种公网访问。此外，这种方式可以避免发送ARP欺骗报文对局域网进行控制的不足，又可以轻松地拦截局域网电脑的HTTP协议、P2P协议等各种协议的报文传输，从而可以有效地控制各种P2P软件。

发明内容

随着网络技术的发展，企业大都踏上了互联网的快车，纷纷采用各种网络技术、电子技术来通过网络进行工作：但是由于网络的无限开放性，以及对网络有效管理的缺失，给广大企业事业单位带来极大的网络管理问题。如：员工在工作时间在网络上用各种P2P软件下载大量的娱乐资料，这些P2P工具可以耗尽企业的带宽，导致了企业正常的网络无法使用；同时，员工还浏览大量与工作无关的网址，如色情、反动、暴力等，造成了极坏的影响，浪费了工作时间，还容易导致网络病毒泛滥，严重影响企业的正常工作，降低了工作效率；同时，由于网络传输的便捷性，使得高速的资料传输成为可能，某些员工通过邮件、HTTP/FTP传输、聊天等方式把企业重要的商业机密、专有技术盗取并谋取私利，严重危害了企业的利益，给企业带来重大损失。综上所述，一套行之有效的网络管理系统就成为企业网络管理的必需。