[发明专利]一种NAT环境下的终端准入控制方法及装置

说明书

本发明实施例公开一种NAT环境下的终端准入控制方法及装置，方法包括：通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到网络地址转换NAT环境下的任一终端与该交换机建立通信连接，则获取该终端发送给交换机的网络数据包并进行协议解析，以判断该网络数据包是不是NAT流数据包；若是NAT流数据包，则判断该网络数据包中是否包含水印标记，该水印标记为终端所添加的，用于对终端进行唯一标识；若该网络数据包中包含水印标记，则基于水印标记，通过对本次连接进行连接跟踪，判断本次连接是否合法；若合法则放行，以允许该终端的接入。本发明实施例能对NAT环境下的终端准入进行控制，提高NAT环境下的终端准入的安全性。

技术领域

本发明实施例涉及计算机网络安全技术领域，具体涉及一种NAT环境下的终端准入控制方法及装置。

背景技术

随着互联网的快速普及，局域网已经在政府及企事业单位广泛应用。局域网在带来便利的同时，也面临着各种各样的威胁。

目前，传统的网络安全准入技术一般是在接入层通过802.1x技术或者通过WEB-portal模式进行终端准入认证，这种传统技术无法管控NAT(网络地址转换)模式下的终端。802.1x技术是基于接入层交换机提出端口级别的准入技术，在NAT模式下上联接入层交换机的端口无法准确识别NAT内网中合法终端，造成NAT下面有一台合法终端认证后，所有NAT下的终端都可以正常接入网络，从而造成严重的安全管理漏洞。基于WEB-portal的准入技术是在汇聚层或核心层通过串联或旁路模式最入网终端进行准入控制的一种技术，这种技术方案是通过IP(网络之间互连的协议)来唯一标识一个合法终端的，对于NAT模式下的终端来说，出口IP都是统一的，因而会造成出口IP认证后，所有内网终端都可以访问网络，造成安全隐患。

鉴于此，如何提高NAT环境下的终端准入的安全性成为目前需要解决的技术问题。

发明内容

由于现有方法存在上述问题，本发明实施例提出一种NAT环境下的终端准入控制方法及装置。

第一方面，本发明实施例提出一种NAT环境下的终端准入控制方法，包括：

通过旁路模式部署到汇聚层或用户接入层的交换机上的准入管控服务器若监测到网络地址转换NAT环境下的任一终端与所述交换机建立通信连接，则获取所述终端发送给所述交换机的网络数据包；

对所述网络数据包进行协议解析，以判断所述网络数据包是不是NAT流数据包；

若所述网络数据包是NAT流数据包，则判断所述网络数据包中是否包含水印标记，其中，所述水印标记为所述终端所添加的，用于对所述终端进行唯一标识；

若所述网络数据包中包含水印标记，则基于所述水印标记，通过对本次连接进行连接跟踪，判断本次连接是否合法；

若本次连接合法，则放行，以允许所述终端的接入。

可选地，所述若所述网络数据包中包含水印标记，则基于所述水印标记，通过对本次连接进行连接跟踪，判断本次连接是否合法，包括：

若所述网络数据包中包含水印标记，则对本次连接进行连接跟踪，判断本次连接的双向是否均有所述水印标记；若是，则确定本次连接合法；若否，则确定本次连接不合法。

可选地，在判断获知本次连接合法之后，所述方法还包括：

将本次连接的信息添加到预先建立的网络准入控制NAC合法连接信息池中。

可选地，所述方法还包括：

若判断获知所述网络数据包不是NAT流数据包，或者判断获知所述网络数据包中不包含水印标记，则

根据预先建立的网络准入控制NAC合法连接信息池，判断本次连接是否合法，若本次连接合法，则放行，以允许所述终端的接入。