[发明专利]一种访问网络的控制方法及装置

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种访问网络的控制方法及装置。

背景技术

目前，为了保证网络的安全性，在很多应用场景下，都需要禁止多个终端通过同一个网络互连协议（Internet Protocol，IP）地址访问网络，如图1所示。

图1为现有技术中多个终端通过同一个IP地址访问网络的组网结构示意图。在图1中，终端1、终端2、终端3均与路由器相连，路由器与网络地址转换（Network Access Translation，NAT）服务器相连，NAT服务器又与Internet网络相连。通过如图1所示的系统，终端1、终端2、终端3在访问Internet网络时，将各自生成的IP数据包依次通过路由器、NAT服务器发送给Internet网络。对于终端1而言，当终端1生成的IP数据包尚未经过路由器的转发时，该IP数据包中携带的IP地址为终端1的IP地址，但是，当终端1生成的IP数据包经过路由器转发后，路由器转发的该IP数据包中携带的IP地址就会变为路由器的IP地址。相应的，终端2和终端3生成的IP数据包经过路由器转发后，路由器转发的终端2和终端3生成的IP数据包中携带的IP地址也会变为该路由器的IP地址。因此，如图1所示的终端1、终端2、终端3在访问网络时，就是通过同一个IP地址访问网络的。当然，在如图1所示的系统中，NAT服务器还可以采用代理服务器替换。

但是，为了保证网络的安全性，需要控制终端对网络的访问，以禁止如图1所示的多个终端通过同一个IP地址访问网络的情况。

在实际应用中，由于在windows操作系统下的终端发送的各IP数据包的数据包标识存在着一定的规律，例如按照发送各IP数据包的先后顺序，将各IP数据包的数据包标识依次递增，因此，现有技术中的一种对终端进行访问网络的控制方法具体为：网络侧设备分析携带相同IP地址的各IP数据包的数据包标识，如果存在至少两个携带相同IP地址的IP数据包的数据包标识相同，则可以确定存在至少两个终端通过该IP地址访问网络，从而采用预设的规则对这些IP数据包进行相应的放行或者阻断。

但是，该方法只针对windows操作系统下的终端有效，对于linux操作系统下的终端，其发送的各IP数据包的数据包标识几乎没有任何规律可循，因此将方法应用于对linux操作系统下的终端进行访问网络的控制时，会出现严重的误报，导致终端无法正常访问网络。

现有技术中的另一种对终端进行访问网络控制的方法是根据IP数据包的生存时间（Time To Live，TTL）值的变化特性，来判断是否存在至少两个终端通过同一个IP地址访问网络。但是，该方法也存在很高的误报率，也会导致终端无法正常访问网络。

发明内容

本发明实施例提供一种访问网络的控制方法及装置，用以解决现有技术中对终端进行访问网络的控制时会出现误报，导致终端无法正常访问网络的问题。

本发明实施例提供的一种访问网络的控制方法，包括：

指示终端发送携带认证Cookie的网络互连协议IP数据包，接收所述终端发送的IP数据包，确定所述IP数据包中携带的IP地址信息；

判断所述IP数据包中是否携带认证Cookie；

若是，则查找保存的所述IP地址信息对应的认证Cookie，并判断所述IP数据包中携带的认证Cookie与查找到的认证Cookie是否相同，若相同，则放行所述IP数据包，若不同，则阻断所有携带所述IP地址信息的IP数据包；

否则，为所述终端设定唯一的认证Cookie，并指示所述终端重新发送携带为所述终端设定的认证Cookie的IP数据包。

本发明实施例提供的一种访问网络的控制装置，包括：

数据包接收模块，用于指示终端发送携带认证Cookie的网络互连协议IP数据包，接收所述终端发送的IP数据包，确定所述IP数据包中携带的IP地址信息；

Cookie携带状态判断模块，用于判断所述IP数据包中是否携带认证Cookie；

数据包控制模块，用于当所述Cookie携带状态判断模块的判断结果为是时，查找保存的所述IP地址信息对应的认证Cookie，并判断所述IP数据包中携带的认证Cookie与查找到的认证Cookie是否相同，若相同，则放行所述IP数据包，若不同，则阻断所有携带所述IP地址信息的IP数据包；