基于端末的网络访问控制系统

1.一种基于端末的网络访问控制系统，其特征在于：包括网络准入控制模块、网络限制模块以及网卡中间层过滤驱动模块；
所述网络准入控制模块根据用户的身份进行网络认证来确定是否允许用户使用的终端设备连接网络；
所述网络限制模块负责将服务器端下发的网络访问控制策略进行解析，并转换成能供所述网卡中间层过滤驱动模块处理的访问控制列表，所述访问控制列表包括IP地址/IP地址范围字段、本地端口范围字段、远程端口范围字段、internet使用的协议类型字段，终端设备中网络数据帧的流量方向字段以及权限字段；将访问控制列表分发给所述网卡中间层过滤驱动模块；所述网络访问控制策略包括：访问的IP地址/IP地址范围信息、本地端口范围信息、远程端口范围信息、internet使用的协议类型信息、终端设备中网络数据帧的流量方向信息、权限信息；所述权限信息包括：允许和禁止，所述终端设备中网络数据帧的流量方向信息包括接收和发送；
所述网卡中间层过滤驱动模块负责对终端设备的网卡接收的网络数据帧进行过滤，拦截所述网络访问控制策略中禁止的网络访问行为；所述网卡中间层过滤驱动模块具体工作如下：
网卡中间层过滤驱动模块对网卡接收的网络数据帧进行识别操作，根据数据帧提取出网络数据包，判断网络数据包是否为IP数据包，否，则将网络数据包进行放行，是，则根据IP数据包的格式，解析出源地址信息、目的地址信息、源端口信息、目的端口信息以及internet使用的协议类型信息；并根据解析的这些信息对所述访问控制列表进行查找比较，如果发现访问控制列表中存在对应的IP数据包解析出来的信息，则判断访问控制列表中对应信息行中的权限信息，如果权限信息为禁止，则丢弃所述IP数据包，如果权限信息为允许，则将IP数据包放行；如果访问控制列表中不存在对应的IP数据包解析出来的信息，则放行IP数据包；其中，所述解析的这些信息对所述访问控制列表进行查找比较时，访问控制列表中的IP地址/IP地址范围、本地端口范围及远程端口范围在不同的所述流量方向上有不同的比较方式：所述终端设备中网络数据帧的流量方向信息为发送时，访问控制列表中的IP地址/IP地址范围、本地端口范围、远程端口范围、internet使用的协议类型需要分别与IP数据包解析出的目的地址、源端口、目的端口及协议类型进行比较是否匹配；所述终端设备中网络数据帧的流量方向信息为接收时，访问控制列表中的IP地址/IP范围、本地端口范围、远程端口范围、internet使用的协议类型需要分别与IP数据包解析出的源地址、目的端口、源端口及协议类型进行比较是否匹配。
2.根据权利要求1所述的基于端末的网络访问控制系统，其特征在于：还包括管理员变更网络访问控制策略模块；该模块是管理员直接在服务器端变更网络访问控制策略后下发变更后的网络访问控制策略触发所述网络限制模块进行操作。

基于端末的网络访问控制系统\n【技术领域】\n[0001] 本发明涉及计算机通讯领域，尤其涉及一种基于端末的网络访问控制系统。\n【背景技术】\n[0002] 传统的网络隔离技术控制，一般通过配置交换机或防火墙来实现，对硬件要求较高，兼容性较差，在用户访问权限需要动态变化的情况下，还需要对频繁交换机进行设置，而交换机又大多分散，配置起来就显得十分麻烦，而且在交换机或防火墙上配置大量ACL(访问控制列表)会对交换机的性能产生影响，导致网络性能下降，部分非网管交换机无法支持此类的配置；同时对于用户外接3G上网卡或无线网卡等上网方式，则无法通过配置交换机或防火墙来达到限制网络访问和控制网络流量。\n[0003] 在传统的网络隔离技术，如果需要限制某台终端对网络访问的权限，则需要去配置防火墙，或者交换机等设备的ACL表或VLAN(虚拟局域网)，对于用户的访问权限需要动态变更，则需要频繁的更改交换机或防火墙的配置，使的硬件的所承载的压力变大，也给管理员的维护带来了难题，同时传统方式只能够限制经过交换机或则防火墙上的数据流量，对于外联的无线网卡，3G上网卡等设备无法做到限制。其传统网络隔离技术上存在大量配置所带来的复杂性与设备兼容性的问题以及以下安全问题：\n[0004] 1)用户计算机中毒，需要禁止其入网，或隔离到网络修复区。需要对用户所接入的交换机进行配置，限制其入网。如果接入层上使用的是非网管交换机，则无法对其进行有效的隔离。\n[0005] 2)用户通过外接3G上网卡或无线网卡等方式上网，则无法通过配置交换机或防火墙来达到限制网络访问和控制网络流量的目的，从而造成安全性隐患。\n[0006] 而且对于不同用户对网络访问权限的差异性，需要管理员单独进行配置，管理维护成本很高，难度很大。\n[0007] 现有技术中提供了一种“安全管理方法、认证客户端、服务器及安全管理系统”，见公开号为：CN102164136A，公开日为：2011.08.24的中国专利，其安全管理方法的特征包括：认证客户端获取服务器下发携带有安全配置标准的安全控制信息；认证客户端根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准；若不符合，则所述认证客户端向所述服务器发送安全配置不符合标准通知，以使所述服务器对所述用户进行网络访问控制。其认证客户端的特征在于，包括：安全控制信息获取模块，用于获取服务器下发携带有安全配置标准的安全控制信息；安全配置检测模块，用于根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准；通知发送模块，用于若所述用户的安全配置不符合所述安全配置标准，则向所述服务器发送安全配置不符合标准通知，以使所述服务器对所述用户进行网络访问控制。该发明的安全管理方法、认证客户端、服务器及安全管理系统能够当同时存在大量用户接入上网时仍确保服务器的高性能；解决了现有技术中判断用户的杀毒软件信息是否合法导致认证服务器性能降低的问题。但该发明不能够根据客户机自身的安全性，动态变更客户机网络访问权限，包括切换内外网；也不能动态配置安全控制信息，以及无法限制客户机外接其他网络绕过网络访问的控制。\n【发明内容】\n[0008] 本发明要解决的技术问题，在于提供一种基于端末的网络访问控制系统，其能在端末上对计算机的网络访问行为进行限制，提高网络的安全性，减少了大量配置交换机所带来的复杂性。\n[0009] 本发明是这样实现的：一种基于端末的网络访问控制系统，包括网络准入控制模块、网络限制模块以及网卡中间层过滤驱动模块；\n[0010] 所述网络准入控制模块根据用户的身份进行网络认证来确定是否允许用户使用的终端设备连接网络；\n[0011] 所述网络限制模块负责将服务器端下发的网络访问控制策略进行解析，并转换成能供所述网卡中间层过滤驱动模块处理的访问控制列表，所述访问控制列表包括IP地址/IP地址范围字段、本地端口范围字段、远程端口范围字段、internet使用的协议类型字段，终端设备中网络数据帧的流量方向字段以及权限字段；将访问控制列表分发给所述网卡中间层过滤驱动模块；所述网络访问控制策略包括：访问的IP地址/IP地址范围信息、本地端口范围信息、远程端口范围信息、internet使用的协议类型信息、终端设备中网络数据帧的流量方向信息、权限信息；所述权限信息包括：允许和禁止，所述终端设备中网络数据帧的流量方向信息包括接收和发送；\n[0012] 所述网卡中间层过滤驱动模块负责对终端设备的网卡接收的网络数据帧进行过滤，拦截所述网络访问控制策略中禁止的网络访问行为。\n[0013] 本发明具有如下优点：1、无需对交换机等设备进行ACL，VLAN等配置，网络限制在端末客户机执行，配置维护简单，不会影响网络设备性能。\n[0014] 2、通过网络限制模块能够限制用户通过外接3G上网卡或无线上网卡等方式进行网络访问。\n[0015] 3、能够根据客户机自身的安全性，动态变更客户机网络访问权限，包括切换内外网。\n[0016] 4、结合网络设备，可实现对企业网络资源访问权限的控制，只有受信的端末设备可访问企业关键资源，保护企业资源访问安全性。\n【附图说明】\n[0017] 图1为本发明系统的工作原理框图。\n【具体实施方式】\n[0018] 请参阅图1所示，本发明一种基于端末的网络访问控制系统，包括网络准入控制模块1、网络限制模块2以及网卡中间层过滤驱动模块3；\n[0019] 所述网络准入控制模块1根据用户的身份进行网络认证来确定是否允许用户使用的终端设备连接网络；\n[0020] 所述网络限制模块2负责将服务器端下发的网络访问控制策略进行解析，并转换成能供所述网卡中间层过滤驱动模块3处理的访问控制列表(即ACL表)，所述访问控制列表包括IP地址/IP地址范围字段、本地端口范围字段、远程端口范围字段、internet使用的协议类型字段，终端设备中网络数据帧的流量方向字段以及权限字段；将访问控制列表分发给所述网卡中间层过滤驱动模块3；所述网络访问控制策略包括：访问的IP地址/IP地址范围信息、本地端口范围信息、远程端口范围信息、internet使用的协议类型信息、终端设备中网络数据帧的流量方向信息、权限信息；所述权限信息包括：允许和禁止，所述终端设备中网络数据帧的流量方向信息包括接收和发送；\n[0021] 所述网卡中间层过滤驱动模块3负责对终端设备的网卡接收的网络数据帧进行过滤，拦截所述网络访问控制策略中禁止的网络访问行为。其中所述网卡中间层过滤驱动模块3具体工作如下：\n[0022] 网卡中间层过滤驱动模块3对网卡接收的网络数据帧进行识别操作，根据数据帧提取出网络数据包，判断网络数据包是否为IP数据包，否，则将网络数据包进行放行，是，则根据IP数据包的格式，解析出源地址信息、目的地址信息、源端口信息、目的端口信息以及internet使用的协议类型(如：传输控制协议TCP、用户数据包协议UDP、Internet控制报文协议ICMP等等)信息；并根据解析的这些信息对所述访问控制列表进行查找比较，如果发现访问控制列表中存在对应的IP数据包解析出来的信息，则判断访问控制列表中对应信息行(即访问控制列表中存储有复数行的数据信息，每个信息行代表一条完整的数据信息)中的权限信息，如果权限信息为禁止，则丢弃所述IP数据包，如果权限信息为允许，则将IP数据包放行；如果访问控制列表中不存在对应的IP数据包解析出来的信息，则放行IP数据包；其中，所述解析的这些信息对所述访问控制列表进行查找比较时，访问控制列表中的IP地址/IP地址范围、本地端口范围以及远程端口范围在不同的所述流量方向上有不同的比较方式：所述终端设备中网络数据帧的流量方向信息为发送时，访问控制列表中的IP地址/IP地址范围、本地端口范围、远程端口范围、internet使用的协议类型需要分别与IP数据包解析出的目的地址、源端口、目的端口及协议类型进行比较是否匹配(其中访问控制列表中本地端口范围、远程端口范围是一个端口范围值，如范围设为80～1024；\n则IP数据包中解析出的对应的源端口、目的端口的值只要在上述范围内都是匹配的)；所述终端设备中网络数据帧的流量方向信息为接收时，访问控制列表中的IP地址/IP范围、本地端口范围、远程端口范围、internet使用的协议类型需要分别与IP数据包解析出的源地址、目的端口、源端口及协议类型进行比较是否匹配。\n[0023] 本发明的系统还包括管理员变更网络访问控制策略模块4；该模块是管理员直接在服务器端变更网络访问控制策略后下发变更后的网络访问控制策略触发所述网络限制模块3进行操作。其中管理服务器在发现终端设备安全等级发现变化的情况下进行下发，如检测到终端设备存在安全漏洞，或存在杀毒软件未安装(管理服务端需配套安全检测软件)，此时会下发所述网络控制策略，触发所述网络限制模块3进行操作，隔离到指定网络中，限制相关网络访问行为。终端设备的访问权限发生变更，如终端设备接入到安全等级较高的网络环境中，此时也会下发相应的网络控制策略触发所述网络限制模块3进行操作。\n[0024] 本发明基于软件方式在端末设备上对计算机的网络访问行为进行限制。基于端末的网络隔离技术，能够在端末上对计算机的网络访问行为进行限制，能够轻易实现不同计算机或用户只能够访问指定网络。在用户安全状态变更情况下(如中毒，被攻击)能够容易的将用户隔离到指定网络区域中，防止对他人造成影响。同时对于用户外接3G上网卡，也同样会得到有效的控制，只能够访问策略所指定的网络范围，只需要调整用户的访问策略，即可实现用户在内网或外网下的切换。\n[0025] 以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。