[发明专利]一种控制主机接入的方法、系统及装置

说明书

技术领域

本发明涉及网络安全领域，特别是涉及一种控制主机接入的方法、系统及装置。

背景技术

防火墙即能控制Inernet对企业内网的访问，也控制内网主机对Internet的访问。企业内网连接Internet的出口带宽，一般都是有带宽控制的，属于有限资源。为了管理和合理利用有限的出口带宽，需要在防火墙上设置一定的访问策略，以控制内网主机对Internet的访问。

参见图1所示，防火墙的典型部署位置在Internet与内部网络之间。传统防火墙上，可以有诸多访问控制策略，如可以针对内网用户的IP地址、网卡MAC地址等，有的还实现了身份认证的验证机制。

但是，现有的防火墙控制内网主机接入Internet的技术存在以下缺点：

其一，由于用户可以自己修改IP地址，或经路由器后数据包MAC地址会发生变化，所以不利于确定访问用户的真实身份，进而不能有效控制主机接入。

其二，现有基于身份认证的机制，大多要在用户机上安装认证软件，不利于移动用户或公司客户等临时接入的需求，而且用户主机系统的多样化，使得用户主机上认证软件很难统一部署和管理。

发明内容

本发明提供一种控制主机接入的方法、系统及装置，用以解决现有技术不能有效控制主机接入的问题。

本发明的一种控制主机接入的方法，包括下列步骤：防火墙收到主机的连接请求后，向该主机的外接认证系统请求验证信息；防火墙以访问策略对获得的验证信息进行认证；若认证通过，则允许访问目的连接；若认证未通过，则阻断该连接请求。

本发明的一种控制主机接入的系统，包括：主机，与主机相连的外接认证系统，以及部署于主机和互联网之间的防火墙；其中，主机，用于发起连接请求；防火墙，用于在收到主机的连接请求后，向该主机的外接认证系统请求验证信息，并以访问策略对获得的验证信息进行认证；若认证通过，则允许访问目的连接；若认证未通过，则阻断该连接请求；外接认证系统，用于为防火墙提供与其相连的主机的验证信息。

本发明的一种防火墙，包括：验证管理模块，用于在防火墙收到主机的连接请求后，向与该主机相连并且独立于该主机的外接认证系统请求验证信息；并以访问策略对获得的验证信息进行认证；连接跟踪模块，在认证通过时被触发，用于为主机连接到访问目的连接；阻断模块，在认证未通过时被触发，用于阻断该连接请求。

本发明有益效果如下：

本发明技术中验证信息的获取不依赖于访问请求、IP地址、MAC地址等，而是根据主机的外接认证系统，可以将验证信息加密保存在外接认证系统(如USB盘)里。认证的处理过程对主机透明，不需要在主机上安装认证软件，利于移动客户端的接入管理。进而可有效控制主机接入。

附图说明

图1为现有技术中防火墙的典型部署示意图；

图2为本发明实施例中的方法步骤流程图；

图3为本发明实施例中的系统结构示意图；

图4为本发明实施例中的防火墙结构示意图；

图5为本发明实施例中的防火墙与主机USB通信流程图。

具体实施方式

防火墙的部署位置决定了其是网络安全的第一道安全屏障，所以其自身的软件安全要求是极高的，所用操作系统也是专有的或经过安全加固的。USB(Universal Serial BUS通用串行总线)接口是现代主机系统上标准外设接口，具有通用性和广泛性。本发明主要思路是利用防火墙与主机USB系统通信，实现用户的身份认证机制，从而有效控制主机接入，使非授权内网主机不能访问Internet。

参见图2所示，本发明实施例中提供了一种控制主机接入的方法，包括下列主要步骤：

S1、防火墙收到内网主机发起的连接请求。

防火墙收到连接请求后，根据该连接请求的数据包内容，获得该主机的IP地址信息。

S2、防火墙向该主机的外接认证系统请求验证信息。具体的是根据S1中获得的IP地址信息向该IP地址请求验证信息；外接认证系统可以是独立于主机的USB认证系统，并通过USB接口与主机相连，所以防火墙向该IP地址请求验证信息时，先由主机接收，再转发给USB认证系统，之后USB认证系统通过主机向防火墙提供验证信息或者通过无线网或其它网络直接向防火墙提供验证信息。

S3、防火墙以访问策略对获得的验证信息进行认证；若认证通过，则转入S4，否则转入S5。

S4、允许访问目的连接，流程终结。

S5、阻断该连接请求，还可记录该连接请求的信息，流程终结。