[发明专利]一种防止非认证计算机设备接入企业内网的保护方法及系统

说明书

技术领域

本发明涉及一种防止非认证计算机设备接入企业内网的保护方法及系统。

背景技术

目前企业内网阻止非认证计算机接入主要有以下几种方式：1、利用网络交换机的标准IEEE802.1x协议功能，对每个接入交换机接口的设备进行认证，认证通过以后再开放端口进行数据包转发。这种方式配置起来十分复杂，需要对所有下属部门的全部二层交换设备的接口进行配置，管理十分不便,经常有不具备IEEE802.1x认证功能的低端交换机在网络接入层形成认证的空白区域，产生安全漏洞。2、在网关出口的位置使用防火墙等访问控制设备，配置静态的访问控制列表，对预先登记的合法IP地址放行，对非预先登记的IP地址进行阻挡。这种方式需要预先统计大量的IP地址表，对于新增或移除IP地址需要大量的审批和维护工作，同时当某个IP主机关机的时候，该IP地址容易被非法计算机盗用。3、使用专门的认证服务器接管网关处的所有网络会话，对经过认证客户端软件认证过的网络会话予以放行，丢弃没有经过客户端软件认证过的网络会话。这种方式需要将所有的网络流量转发到这台认证服务器上，由于认证服务器对网络数据包的转发速度较慢，容易形成网络速度的瓶颈。

发明内容

本发明目的是为了解决目前采用的企业内网阻止非认证计算机接入方法实现底层网络实现全面覆盖操作复杂的问题，和现有的接入系统的维护工作量大、网络出口速度慢的问题，提供了一种防止非认证计算机设备接入企业内网的保护方法及系统。

本发明所述一种防止非认证计算机设备接入企业内网的保护方法，所述方法是基于下述装置实现的，所述装置包括N个计算机终端、服务器和出口路由器网关，所述N个计算机终端中的每个计算机终端的输入输出端分别与服务器的相应的输出输入端连接；所述服务器通过出口路由器网关与企业内网连接；所述N个计算机终端均嵌入合法客户端认证模块；

所述防止非认证计算机设备接入的方法是由嵌入在服务器中的软件实现的，所述方法包括以下步骤：

接收由计算机终端每隔时间m发来的认证结果和IP地址的步骤,所述认证结果和IP地址都是经加密处理的；

对比接收到的认证结果，将经过合法认证的认证结果对应的IP地址定义为合法IP地址的步骤；

将所有合法IP地址对应的计算机终端所发送的数据包配置成正确路由的步骤；

将所有其它的网段都配置成黑洞路由的步骤；

对所有合法IP地址都分别对应一个老化时间n的步骤，其中，n代表从上次接收到该合法IP地址发送过来的合法认证结果到当前时刻所经历的时间；

当n＞3m时，在出口路由网关内删除该合法IP地址对应的有效路由条目的步骤。

一种防止非认证计算机设备接入企业内网的保护系统，包括N个计算机终端、服务器和出口路由器网关，所述N个计算机终端中的每个计算机终端的输入输出端分别与服务器的相应的输出输入端连接；所述服务器通过出口路由器网关与企业内网连接；所述N个计算机终端均嵌入合法客户端认证模块；

所述服务器内部嵌入有软件实现的控制装置，该装置包括：

用于接收由计算机终端每隔时间m发来的认证结果和IP地址的模块,所述认证结果和IP地址都是经加密处理的；

用于对比接收到的认证结果，将经过合法认证的认证结果对应的IP地址定义为合法IP地址的模块；

用于将所有合法IP地址对应的计算机终端所发送的数据包配置成正确路由的模块；

用于将所有其它的网段都配置成黑洞路由的模块；

用于对所有合法IP地址都分别对应一个老化时间n的模块，其中，n代表从上次接收到该合法IP地址发送过来的合法认证结果到当前时刻所经历的时间；

用于当n＞3m时，在出口路由网关内删除该合法IP地址对应的有效路由条目的模块。

本发明的优点：使用本发明的方法对企业内网进行安全接入控制，可以对底层网络实现全面覆盖，实现所有下属单位网络接入的计算机设备如果没有经过本系统的认证都无法通过网关访问企业内网的其它部分；且系统部署完成以后，维护工作极少，网络管理员再也不用为增加或移除某个IP地址去手工配置网络设备。由于控制数据包是否通过的隔离设备仍采用原有网络出口处的路由设备，不需要额外购买新的网络设备，对网络出口速度的影响也微乎其微。

附图说明

图1是本发明所述一种防止非认证计算机设备接入企业内网的保护系统的结构示意图。

具体实施方式