[发明专利]接入网络的方法和装置

说明书

本发明公开了接入网络的方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：从终端接收检测信息，所述检测信息是经由所述终端上的代理Agent实体对所述终端进行检测而生成的；经由策略服务PS利用所述检测信息生成所述终端的网络访问策略；以及经由IP过滤服务根据所述网络访问策略对从所述终端接收的数据进行过滤。该实施方式降低了硬件成本，提高了终端接入网络的安全性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种接入网络的方法和装置。

背景技术

企业可以只允许合法的、信任的设备(例如PC、服务器、移动设备)接入网络，访问具有敏感数据的网络资源，而不允许其它设备接入网络或者不允许访问具有敏感数据的网络资源。

目前的实现方式，往往需要对企业已经有的网络架构或网络设备进行改造。例如，采用IP-MAC实名绑定的方案，在企业不需要IP绑定的场景下无法灵活调整网络架构；对于已稳定运行的没有IP-MAC绑定方案的网络系统，则需要大规模地改造网络。采用旁路部署的方案，则需要交换机功能的支持，老旧的交换机无法支持这种方案，需要大范围地更新硬件设备。这些方式产生高昂的硬件改造成本。

除了硬件成本之外，改造网络需要处理的数据量大，风险极高，甚至会成为系统瓶颈。例如，基于NAT的网络准入方法，需要解析网络数据包，处理数据量大。并且在设备接入网络前，没有对设备做安全检查控制，带来风险隐患。

发明内容

有鉴于此，本发明实施例提供一种接入网络的方法和装置，采用代理(Agent)、策略服务(Policy Service)和IP过滤相结合的方法，有效对接入网络的终端进行安全检查，实现基于IP的网络接入管理，防范风险、降低要处理的数据量并且降低硬件成本。

为实现上述目的，根据本发明实施例的一个方面，提供了一种接入网络的方法，包括：

从终端接收检测信息，所述检测信息是经由所述终端上的代理Agent实体对所述终端进行检测而生成的；

经由策略服务PS利用所述检测信息生成所述终端的网络访问策略；以及

经由IP过滤服务根据所述网络访问策略对从所述终端接收的数据进行过滤。

根据本发明实施例的一个方面，提供了一种接入网络的方法，其特征在于，所述经由策略服务PS利用所述检测信息生成所述终端的网络访问策略包括：

所述策略服务基于接收到检测信息确定所述终端的入网权限；

在所述入网权限符合入网条件的情况下，根据所述入网权限确定所述网络访问策略并将所述网络访问策略发送至所述IP过滤服务实体；

在所述入网权限不符合入网条件的情况下，向所述终端返回不符合入网条件的原因。

根据本发明实施例的一个方面，提供了一种接入网络的方法，其特征在于，所述对所述终端进行检测包括以下中的一个或多个：

企业固定资产检测、黑名单进程检测、病毒库更新时间检测、域帐户检测、终端防火墙状态检测、终端IP检测、以及终端硬件信息检测。

根据本发明实施例的一个方面，提供了一种接入网络的方法，其特征在于，还包括：

IP过滤服务实体根据接收到的所述网络访问策略为所述终端设置IP访问规则列表。

根据本发明实施例的一个方面，提供了一种接入网络的方法，其特征在于，所述IP访问规则列表包括所述终端的IP和所述终端能够访问的IP段、所述终端不能够访问的IP段。

根据本发明实施例的一个方面，其特征在于，所述检测信息是通过UDP报文发送至所述PS实体的。

根据本发明实施例的一个方面，提供了一种接入网络的装置，其特征在于，包括：