[发明专利]一种端点准入防御中的报文控制方法及接入设备

说明书

技术领域

本发明属于数据通信技术领域，尤其涉及一种端点准入防御(Endpoint Admission Defense，EAD)中的报文控制方法及接入设备。

背景技术

EAD的基本功能是通过安全客户端、安全联动设备(如交换机、路由器)、 安全策略服务器以及防病毒服务器、补丁服务器的联动实现的，其基本原理如 图1所示：

(1)用户终端试图接入网络时，首先通过安全客户端由安全联动设备(接 入设备)和安全策略服务器配合进行用户身份认证，非法用户将被拒绝接入网 络；

(2)安全策略服务器对合法用户下发安全策略，并要求合法用户进行安 全状态认证；

(3)安全客户端对合法用户的补丁版本、病毒库版本等进行检测，并将 安全策略检查的结果上报安全策略服务器；

(4)安全策略服务器根据检查结果控制用户的访问权限：

安全状态不合格的用户将被安全联动设备隔离到隔离区，进入隔离区的用 户只能访问指定的资源，例如，补丁服务器、病毒服务器、内部的FTP服务 器等(通过访问控制列表(Access Control List，ACL)来控制)，并通过访问 这些指定的资源来进行系统的修复和补丁、病毒库的升级，直到安全状态合格；

安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全 联动设备提供基于身份的网络服务，此时，用户能够访问大部分网络资源(通 过ACL来控制)。

从EAD的主要功能和基本原理可以看出，EAD将终端防病毒、补丁修复 等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联 动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整 个网络变被动防御为主动防御，变单点防御为全面防御，变分散管理为集中策 略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

当前EAD的实现方式，对用户的访问控制都是通过在接入端口下发大量 的ACL来实现。例如，在某个实际应用场景下，对于每个处于隔离区的用户 终端，需要在该用户终端的接入端口下发如下的12条ACL来进行访问控制：

acl number 3099

  rule 0 deny ip

  rule 1 permit udp destination-port eq bootps

  rule 2 permit udp destination-port eq bootpc

  rule 3 permit ip destination 10.153.0.1240

  rule 4 permit ip destination 10.153.0.1230

  rule 5 permit ip destination 10.154.240.110

  rule 6 permit ip destination 10.72.65.360

  rule 7 permit ip destination 10.153.0.620

  rule 8 permit ip destination 10.153.0.600

  rule 9 permit ip destination 10.153.0.610

  rule 10 permit ip destination 10.72.66.360

  rule 11 permit ip destination 10.72.66.370

可见，目前的实现过于依赖ACL。在复杂的应用环境下，每个用户上线 后，接入设备都要下发多条ACL，一般可以高达10-15条。而接入设备的硬件 芯片所能支持的ACL资源有限，在每个用户都需要接入设备下发多条ACL时， 其能够接入的用户数将大大减少。

发明内容

本发明所要解决的技术问题是提供一种端点准入防御中的报文控制方法 及接入设备，以减少接入设备下发ACL的数量，进而增加接入设备对用户终 端的接入能力。

为解决上述技术问题，本发明提供技术方案如下：

一种端点准入防御中的报文控制方法，包括如下步骤：