專利名稱:網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)合法性的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)管理技術(shù)領(lǐng)域����,特別涉及網(wǎng)絡(luò)安全控制服務(wù)器的控制管理技術(shù)領(lǐng) 域,具體是網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)合法性的方法�����。
背景技術(shù):
〔0002〕 隨著社會(huì)信息化程度不斷提高��,企業(yè)規(guī)模越來(lái)越大�,企業(yè)中所擁有的計(jì)算機(jī)數(shù)量 也越來(lái)越多。對(duì)終端計(jì)算機(jī)進(jìn)行管理的要求也越來(lái)越高���,為了有效的管理終端計(jì)算機(jī)��,需要 在局域網(wǎng)中安裝網(wǎng)絡(luò)安全控制服務(wù)器���,通過(guò)網(wǎng)絡(luò)安全控制服務(wù)器來(lái)判斷入網(wǎng)終端計(jì)算機(jī)是 否合法。
〔0003〕 現(xiàn)有技術(shù)中�����,網(wǎng)絡(luò)安全控制服務(wù)器通過(guò)識(shí)別終端計(jì)算機(jī)的I���?地址判斷終端計(jì)算 機(jī)是否合法���,對(duì)非法終端計(jì)算機(jī)發(fā)送的扣����?數(shù)據(jù)包進(jìn)行阻斷���。但這種技術(shù)有明顯的缺點(diǎn)�,就 是當(dāng)終端計(jì)算機(jī)與網(wǎng)絡(luò)安全控制服務(wù)器之間設(shè)置嫩I地址轉(zhuǎn)換設(shè)備(網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備X 終端計(jì)算機(jī)向互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器所發(fā)送的扣���?數(shù)據(jù)包在經(jīng)過(guò)嫩I地址轉(zhuǎn)換設(shè)備后����,10����?數(shù) 據(jù)包的源I����?地址(即終端計(jì)算機(jī)的I?地址)轉(zhuǎn)換為嫩了1��?地址〔嫩!'地址轉(zhuǎn)換設(shè)備指定的 I?地址〉�,10?數(shù)據(jù)包的源端口(即終端計(jì)算機(jī)的端口)轉(zhuǎn)換成嫩I端口�,網(wǎng)絡(luò)安全控制服務(wù) 器接收到扣?數(shù)據(jù)包后����,無(wú)法通過(guò)識(shí)別終端計(jì)算機(jī)的I?地址的方法區(qū)分出是哪臺(tái)終端計(jì)算 機(jī)發(fā)送的�����,因此無(wú)法識(shí)別終端計(jì)算機(jī)是否合法�。
發(fā)明內(nèi)容
〔0004〕 為了克服上述現(xiàn)有技術(shù)的不足,本發(fā)明提供一種網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì) 算機(jī)合法性的方法�����,網(wǎng)絡(luò)安全控制服務(wù)器以扣����?數(shù)據(jù)包的連接為單位,對(duì)終端計(jì)算機(jī)向互 聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器建立的每個(gè)扣�?連接進(jìn)行合法性判斷,解決了由于在終端計(jì)算機(jī)與網(wǎng)絡(luò) 安全控制服務(wù)器之間設(shè)置嫩I地址轉(zhuǎn)換設(shè)備,網(wǎng)絡(luò)安全控制服務(wù)器無(wú)法通過(guò)識(shí)別終端計(jì)算 機(jī)的I���?地址的方法區(qū)分出是哪臺(tái)終端計(jì)算機(jī)發(fā)送的�����,因此無(wú)法識(shí)別終端計(jì)算機(jī)是否合法 的問(wèn)題����。
〔0005〕 為了實(shí)現(xiàn)上述目的�,本發(fā)明采用如下技術(shù)方案
網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)合法性的方法,包括如下步驟
網(wǎng)絡(luò)安全控制服務(wù)器默認(rèn)阻斷所有終端計(jì)算機(jī)通過(guò)扣���?連接發(fā)送的數(shù)據(jù)包
網(wǎng)絡(luò)安全控制服務(wù)器默認(rèn)阻斷所有終端計(jì)算機(jī)向互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器通過(guò)扣�����?連接 發(fā)送的數(shù)據(jù)包����,允許所有終端計(jì)算機(jī)向互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器通過(guò)扣�?連接發(fā)送的握手包, 目的用于阻斷非法終端計(jì)算機(jī)向互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器通過(guò)扣����?連接發(fā)送的數(shù)據(jù)包;
匕終端計(jì)算機(jī)與互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器建立扣���?連接�,發(fā)送握手包
終端計(jì)算機(jī)訪問(wèn)互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器�,新建立一個(gè)扣?連接�,向互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器 發(fā)送握手包,該握手包信息包括終端計(jì)算機(jī)的I���?地址����、目的I�?地址、終端計(jì)算機(jī)的端口�、 目的端口、握手包中I���?協(xié)議層的標(biāo)識(shí)����;
網(wǎng)絡(luò)安全控制服務(wù)器接收經(jīng)過(guò)嫩I地址轉(zhuǎn)換設(shè)備后扣?連接的握手包nattcptcp m&
nat mmm^,pm tcpip mmm%
NATIP jéJah, TCPNAT m P,i MiM^
a nat mmmtcptcp i :natip ìéìil
g m IP JéJahNAT èm p > g M nip mXB WfeiK, tcp iafêff
d.mm%±m(xù)m^mpmmì-\-m)i^^i; ■.
mmmìfimmmmtmmmjt tcp mm%m m
WlWíQ,TCP fêiAiiHff M iRM
d2A. ^Miftcp■.
^MifTCP;
d3A. mrnm^famm%±m(xù)m^RmTcpmmikimM, ■.
tcpg éKj ip tit> g à^mP>iS^Mtì^
ip tijàlMWfeiK#* tcp mmximM,,Rm^mm%±m(xù)m&zm7iki£ -, d4A. mm^±m(xù)m^mmmì-\-mmmm tcp■.
mm%±m(xù)m^zmmmì-\-mmmm tcp mmxìmM,, #um% tcp mmxiiHftm tcp giAiiHff j. ati tcp#
mM TCP m&f éMi ^^'íí; ;
d5A. rnmiftcp■.
^MifTCP 3afê2èi2i jf g^ J^#£ ;
d6A. mmì-Yifi/uia tcp mmumm-MQ ■. mmi-Ymmm^ tcp-,
d7A. mm%±m(xù)m&zmmmìmtmj±7cpmmtRmùmM& ■.
d8A.■.
mm^±m(xù)m^mmmmmm.j± tcpm natip a il g m
IPifeèt>NAT^P> g W MP N^^^fê ^rt^^ JcilJX^ê^TCPêTT& TCP iafêff J., miM^mif J¥ l/l^è,J¥ l/UIil TCP '&&il^mif If W!£^#ìM tcp '&&
Rmm§kM&, kXnmfamm%±m(xù)m^zRmTcp 3amimi,iK3ij*$ ^è
diB. mmif i/um tcp■.
mrn-Ymmm^ tcp-,
d2B. mm%±m(xù)m^mmmimtmj±TcpmmtRmmmM& ■.
d3B.■.
mm^±m(xù)m^mmmmmm.j± tcpnatip a il g w
IP Jé lhNAT M P > g M P,TCP fêff ,1, êTü端計(jì)算機(jī)無(wú)法向網(wǎng)絡(luò)安全控制服務(wù)器發(fā)送TCP連接認(rèn)證信息�����,并且TCP連接信息已經(jīng)默認(rèn) 標(biāo)記為非法�����,則該終端計(jì)算機(jī)非法�����,阻斷該終端計(jì)算機(jī)通過(guò)TCP連接發(fā)送的數(shù)據(jù)包�。本發(fā)明通過(guò)終端計(jì)算機(jī)與網(wǎng)絡(luò)安全控制服務(wù)器之間對(duì)終端計(jì)算機(jī)發(fā)送的TCP連 接信息進(jìn)行交互認(rèn)證的識(shí)別方法,解決了終端計(jì)算機(jī)與網(wǎng)絡(luò)安全控制服務(wù)器之間設(shè)置NAT 地址轉(zhuǎn)換設(shè)備����,終端計(jì)算機(jī)向互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器所發(fā)送的TCP數(shù)據(jù)包在經(jīng)過(guò)NAT地址轉(zhuǎn) 換設(shè)備后,TCP數(shù)據(jù)包的源IP地址轉(zhuǎn)換為NATIP地址��,TCP數(shù)據(jù)包的源端口轉(zhuǎn)換成NAT端 口��,網(wǎng)絡(luò)安全控制服務(wù)器接收到TCP數(shù)據(jù)包后�,無(wú)法通過(guò)識(shí)別終端計(jì)算機(jī)的IP地址的方法 區(qū)分出是哪臺(tái)終端計(jì)算機(jī)發(fā)送的,因此無(wú)法識(shí)別終端計(jì)算機(jī)是否合法的問(wèn)題����。
圖I為本發(fā)明的識(shí)別終端計(jì)算機(jī)合法性的方法的流程圖2為本發(fā)明的實(shí)施例的應(yīng)用環(huán)境示意圖�。
具體實(shí)施例方式下面將結(jié)合附圖及實(shí)施例�����,對(duì)本發(fā)明做進(jìn)一步詳細(xì)描述�。本發(fā)明的網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)合法性的方法�����,本實(shí)施例的應(yīng)用環(huán) 境如圖2所示�����,包括互聯(lián)網(wǎng)���、路由器��、交換機(jī)����、網(wǎng)絡(luò)安全控制服務(wù)器�����、NAT路由器、終端計(jì)算機(jī) I���、終端計(jì)算機(jī)2;
所述路由器的一端連接互聯(lián)網(wǎng)�����,另一端連接交換機(jī)的以太網(wǎng)端口 J1�,該交換機(jī)的以太 網(wǎng)端口 J2連接網(wǎng)絡(luò)安全控制服務(wù)器W1��,該交換機(jī)的以太網(wǎng)端口 J3連接NAT路由器的以太 網(wǎng)端口 NI���,所述NAT路由器的以太網(wǎng)端口 N2連接終端計(jì)算機(jī)I��,所述NAT路由器的以太網(wǎng) 端口 N3連接終端計(jì)算機(jī)2 ;交換機(jī)的以太網(wǎng)端口 J2是對(duì)以太網(wǎng)端口 Jl的鏡像��,因此���,當(dāng)終 端計(jì)算機(jī)I或終端計(jì)算機(jī)2訪問(wèn)互聯(lián)網(wǎng)時(shí),終端計(jì)算機(jī)發(fā)送的TCP數(shù)據(jù)包通過(guò)交換機(jī)的以 太網(wǎng)端口 Jl時(shí)����,會(huì)被鏡像到交換機(jī)的以太網(wǎng)端口 J2上�����,此時(shí)網(wǎng)絡(luò)安全控制服務(wù)器通過(guò)交換 機(jī)的以太網(wǎng)端口 J2可以接收到終端計(jì)算機(jī)I或終端計(jì)算機(jī)2訪問(wèn)互聯(lián)網(wǎng)時(shí)發(fā)送的TCP數(shù) 據(jù)包��,并對(duì)接收到的TCP數(shù)據(jù)包進(jìn)行分析����、處理����。本實(shí)施例具體采用如下設(shè)備
路由器TP-LINK TL-R4148 ��;
交換機(jī)Huawei Quidway S3900 ����;
網(wǎng)絡(luò)安全控制服務(wù)器航天聯(lián)志2000R ;
NAT 路由器H3C Aolynk WBR204g����。
實(shí)施例本實(shí)施例,其中終端計(jì)算機(jī)I已安裝合法的應(yīng)用軟件����,終端計(jì)算機(jī)2未安裝合法的 應(yīng)用軟件
當(dāng)終端計(jì)算機(jī)I訪問(wèn)互聯(lián)網(wǎng)時(shí)����,具體工作過(guò)程如下
I.網(wǎng)絡(luò)安全控制服務(wù)器默認(rèn)阻斷通過(guò)TCP連接發(fā)送的數(shù)據(jù)包
網(wǎng)絡(luò)安全控制服務(wù)器默認(rèn)阻斷終端計(jì)算機(jī)I向互聯(lián)網(wǎng)通過(guò)TCP連接發(fā)送的數(shù)據(jù)包���,允 許終端計(jì)算機(jī)I向互聯(lián)網(wǎng)通過(guò)TCP連接發(fā)送的握手包�;目的用于阻斷非法終端計(jì)算機(jī)向互聯(lián)網(wǎng)通過(guò)TCP連接發(fā)送的數(shù)據(jù)包�����;
2.終端計(jì)算機(jī)1與互聯(lián)網(wǎng)建立TCP連接�,發(fā)送握手包
終端計(jì)算機(jī)1訪問(wèn)互聯(lián)網(wǎng),新建立一個(gè)TCP連接��,向互聯(lián)網(wǎng)發(fā)送握手包����,該握手包信息 包括終端計(jì)算機(jī)1的IP地址(192. 168. 0. 2)、目的IP地址(220. 181. 111. 85)����、終端計(jì)算 機(jī)1的端口(50436)、目的端口(80)�����、握手包中IP協(xié)議層的標(biāo)識(shí)(32124);
3.網(wǎng)絡(luò)安全控制服務(wù)器接收經(jīng)過(guò)NAT地址轉(zhuǎn)換設(shè)備后TCP連接的握手包
網(wǎng)絡(luò)安全控制服務(wù)器接收經(jīng)過(guò)NAT地址轉(zhuǎn)換設(shè)備后TCP連接的握手包����,因?yàn)門CP連接 的握手包經(jīng)過(guò)NAT地址轉(zhuǎn)換設(shè)備,所以TCP連接的握手包中的終端計(jì)算機(jī)1的IP地址轉(zhuǎn)換 為NATIP地址�,TCP連接的握手包中的源端口轉(zhuǎn)換成NAT端口,網(wǎng)絡(luò)安全控制服務(wù)器記錄該 經(jīng)過(guò)NAT地址轉(zhuǎn)換設(shè)備轉(zhuǎn)換的TCP連接的握手包信息作為該TCP連接信息����,包括NATIP地 址(192. 168. 1. 100)、目的 IP 地址(220. 181. 111. 85)�����、NAT 端 口 (30463)�����、目的端 口 (80)���、 握手包中IP協(xié)議層的標(biāo)識(shí)(32124),并將該TCP連接默認(rèn)標(biāo)記為非法�����,并以鏈表形式保存到 網(wǎng)絡(luò)安全控制服務(wù)器內(nèi)存中���;
4.網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)1是否合法
因?yàn)榻K端計(jì)算機(jī)1已安裝合法的應(yīng)用軟件�,該終端計(jì)算機(jī)1能夠攔截通過(guò)TCP連接發(fā) 送的數(shù)據(jù)包�����,也能夠向網(wǎng)絡(luò)安全控制服務(wù)器發(fā)送TCP連接認(rèn)證信息���,識(shí)別已安裝合法的應(yīng) 用軟件的終端計(jì)算機(jī)1是否合法步驟如下��;
4. 1A.終端計(jì)算機(jī)1將所述的握手包信息以鏈表形式保存到終端計(jì)算機(jī)1的內(nèi)存中���; 4. 2A.終端計(jì)算機(jī)1攔截通過(guò)TCP連接發(fā)送的數(shù)據(jù)包
終端計(jì)算機(jī)1采用驅(qū)動(dòng)攔截通過(guò)該TCP連接發(fā)送的數(shù)據(jù)包;
4. 3A.終端計(jì)算機(jī)1向網(wǎng)絡(luò)安全控制服務(wù)器發(fā)送TCP連接認(rèn)證信息
終端計(jì)算機(jī)1從其內(nèi)存中找到該TCP連接信息中的目的IP地址(220. 181. 111. 85)�����、目 的端口(80)��、握手?jǐn)?shù)據(jù)包中IP協(xié)議層的標(biāo)識(shí)(32124)作為TCP連接認(rèn)證信息�,并發(fā)送給網(wǎng) 絡(luò)安全控制服務(wù)器進(jìn)行認(rèn)證;
4. 4A.網(wǎng)絡(luò)安全控制服務(wù)器接收終端計(jì)算機(jī)1發(fā)送的TCP連接認(rèn)證信息
網(wǎng)絡(luò)安全控制服務(wù)器接收終端計(jì)算機(jī)1發(fā)送的TCP連接認(rèn)證信息,并根據(jù)接收到該TCP 連接認(rèn)證信息在網(wǎng)絡(luò)安全控制服務(wù)器的內(nèi)存中�����,找到該TCP連接認(rèn)證信息對(duì)應(yīng)的TCP連接 信息�����,并將該TCP連接信息標(biāo)記為合法���;
4. 5A.終端計(jì)算機(jī)1取消攔截通過(guò)TCP連接發(fā)送的數(shù)據(jù)包 終端計(jì)算機(jī)1采用驅(qū)動(dòng)取消攔截通過(guò)該TCP連接發(fā)送的數(shù)據(jù)包�;
4. 6A.終端計(jì)算機(jī)1通過(guò)TCP連接發(fā)送數(shù)據(jù)包
終端計(jì)算機(jī)1通過(guò)該TCP連接向互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)包�;
4. 7A.網(wǎng)絡(luò)安全控制服務(wù)器接收終端計(jì)算機(jī)1通過(guò)TCP連接發(fā)送的數(shù)據(jù)包
4. A8.網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)1合法
網(wǎng)絡(luò)安全控制服務(wù)器根據(jù)接收到的通過(guò)TCP連接發(fā)送的數(shù)據(jù)包中的NATIP地址 (192. 168. 1. 100)、目的 IP地址(220. 181. 111. 85)����、NAT 端口(30463)����、目的端口(80),在網(wǎng) 絡(luò)安全控制服務(wù)器內(nèi)存中找到對(duì)應(yīng)的TCP連接信息���,因?yàn)樵揟CP連接已標(biāo)記為合法�,則該終 端計(jì)算機(jī)1合法,允許終端計(jì)算機(jī)1通過(guò)TCP連接發(fā)送的數(shù)據(jù)包�。 當(dāng)終端計(jì)算機(jī)2訪問(wèn)互聯(lián)網(wǎng)時(shí),具體工作過(guò)程如下1.網(wǎng)絡(luò)安全控制服務(wù)器默認(rèn)阻斷通過(guò)TCP連接發(fā)送的數(shù)據(jù)包
網(wǎng)絡(luò)安全控制服務(wù)器默認(rèn)阻斷終端計(jì)算機(jī)2向互聯(lián)網(wǎng)通過(guò)TCP連接發(fā)送的數(shù)據(jù)包��,允 許終端計(jì)算機(jī)2向互聯(lián)網(wǎng)通過(guò)TCP連接發(fā)送的握手包���;目的用于阻斷非法終端計(jì)算機(jī)向互 聯(lián)網(wǎng)通過(guò)TCP連接發(fā)送的數(shù)據(jù)包���;
2.終端計(jì)算機(jī)2與互聯(lián)網(wǎng)建立TCP連接,發(fā)送握手包
終端計(jì)算機(jī)2訪問(wèn)互聯(lián)網(wǎng)��,新建立一個(gè)TCP連接�,向互聯(lián)網(wǎng)發(fā)送握手包,該握手包包括 終端計(jì)算機(jī)2的IP地址(192. 168. 0. 3)����、目的IP地址(220. 181. 111. 85)、終端計(jì)算機(jī)2的 端口(50457)���、目的端口(80)�����、握手包中IP協(xié)議層的標(biāo)識(shí)(32189)�����;
3.網(wǎng)絡(luò)安全控制服務(wù)器接收新建立的TCP連接的握手包
網(wǎng)絡(luò)安全控制服務(wù)器接收經(jīng)過(guò)NAT地址轉(zhuǎn)換設(shè)備后TCP連接的握手包��,因?yàn)門CP連接 的握手包經(jīng)過(guò)NAT地址轉(zhuǎn)換設(shè)備����,所以TCP連接的握手包中的終端計(jì)算機(jī)2的IP地址轉(zhuǎn)換 為NATIP地址,TCP連接的握手包中的源端口轉(zhuǎn)換成NAT端口���,網(wǎng)絡(luò)安全控制服務(wù)器記錄該 經(jīng)過(guò)NAT地址轉(zhuǎn)換設(shè)備轉(zhuǎn)換的TCP連接的握手包信息作為該TCP連接信息����,包括NATIP地 址(192. 168. 1. 100)��、目的 IP 在址(220. 181. 111. 85)�����、NAT 端口 (20487)����、目的端口 (80)���、握 手包中IP協(xié)議層的標(biāo)識(shí)(32189)��,并將該TCP連接信息默認(rèn)標(biāo)記為非法�����,并以鏈表形式保存 到網(wǎng)絡(luò)安全控制服務(wù)器內(nèi)存中��;
4.網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)2是否合法
因?yàn)榻K端計(jì)算機(jī)2未安裝合法的應(yīng)用軟件���,該終端計(jì)算機(jī)2不能夠攔截通過(guò)TCP連接 發(fā)送的數(shù)據(jù)包�,也不能夠向網(wǎng)絡(luò)安全控制服務(wù)器發(fā)送TCP連接認(rèn)證信息�,識(shí)別未安裝合法 的應(yīng)用軟件的終端計(jì)算機(jī)2是否合法步驟如下
4. 1B.終端計(jì)算機(jī)2通過(guò)TCP連接發(fā)送數(shù)據(jù)包
終端計(jì)算機(jī)2通過(guò)該TCP連接向互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)包;
4. 2B.網(wǎng)絡(luò)安全控制服務(wù)器接收終端計(jì)算機(jī)2通過(guò)TCP連接發(fā)送的數(shù)據(jù)包
4. 3B.網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)2非法
網(wǎng)絡(luò)安全控制服務(wù)器根據(jù)接收到的通過(guò)TCP連接發(fā)送的數(shù)據(jù)包中的NATIP地址 (192. 168. 1. 100)��、目的 IP 在址(220. 181. 111. 85)�、NAT 端口(20487)、目的端口(80)���,在網(wǎng) 絡(luò)安全控制服務(wù)器內(nèi)存中找到對(duì)應(yīng)的TCP連接信息�����,由于終端計(jì)算機(jī)2無(wú)法向網(wǎng)絡(luò)安全控 制服務(wù)器發(fā)送TCP連接認(rèn)證信息�,并且TCP連接信息已經(jīng)默認(rèn)標(biāo)記為非法,則該終端計(jì)算機(jī) 2非法���,則阻斷終端計(jì)算機(jī)2通過(guò)TCP連接發(fā)送的數(shù)據(jù)包����。 上述方法通過(guò)終端計(jì)算機(jī)與網(wǎng)絡(luò)安全控制服務(wù)器之間對(duì)終端計(jì)算機(jī)發(fā)送的TCP 連接信息進(jìn)行交互認(rèn)證的識(shí)別方法���,解決了終端計(jì)算機(jī)與網(wǎng)絡(luò)安全控制服務(wù)器之間設(shè)置 NAT地址轉(zhuǎn)換設(shè)備�,無(wú)法識(shí)別終端計(jì)算機(jī)是否合法的問(wèn)題����。
權(quán)利要求
1.一種網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)合法性的方法,包括如下步驟 a.網(wǎng)絡(luò)安全控制服務(wù)器默認(rèn)阻斷所有終端計(jì)算機(jī)通過(guò)TCP連接發(fā)送的數(shù)據(jù)包 網(wǎng)絡(luò)安全控制服務(wù)器默認(rèn)阻斷所有終端計(jì)算機(jī)向互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器通過(guò)TCP連接發(fā)送的數(shù)據(jù)包��,允許所有終端計(jì)算機(jī)向互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器通過(guò)TCP連接發(fā)送的握手包��,目的用于阻斷非法終端計(jì)算機(jī)向互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器通過(guò)TCP連接發(fā)送的數(shù)據(jù)包��; b.終端計(jì)算機(jī)與互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器建立TCP連接��,發(fā)送握手包 終端計(jì)算機(jī)訪問(wèn)互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器���,新建立ー個(gè)TCP連接�����,向互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器發(fā)送握手包��,該握手包信息包括終端計(jì)算機(jī)的IP地址�、目的IP地址��、終端計(jì)算機(jī)的端ロ�、目的端ロ、握手包中IP協(xié)議層的標(biāo)識(shí)�����; c.網(wǎng)絡(luò)安全控制服務(wù)器接收經(jīng)過(guò)NAT地址轉(zhuǎn)換設(shè)備后TCP連接的握手包 網(wǎng)絡(luò)安全控制服務(wù)器接收經(jīng)過(guò)NAT地址轉(zhuǎn)換設(shè)備后TCP連接的握手包�,因?yàn)門CP連接的握手包經(jīng)過(guò)NAT地址轉(zhuǎn)換設(shè)備,所以TCP連接的握手包中的終端計(jì)算機(jī)的IP地址轉(zhuǎn)換為NATIP地址�����,TCP連接的握手包中的源端ロ轉(zhuǎn)換成NAT端ロ����,網(wǎng)絡(luò)安全控制服務(wù)器記錄該經(jīng)過(guò)NAT地址轉(zhuǎn)換設(shè)備轉(zhuǎn)換的TCP連接的握手包信息作為該TCP連接信息,包括=NATIP地址�、目的IP地址�、NAT端ロ�����、目的端ロ��、握手包中IP協(xié)議層的標(biāo)識(shí)��,并將該TCP連接信息默認(rèn)標(biāo)記為非法���,并以鏈表形式保存到網(wǎng)絡(luò)安全控制服務(wù)器內(nèi)存中��; d.網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)是否合法 如果終端計(jì)算機(jī)已安裝合法的應(yīng)用軟件�����,該終端計(jì)算機(jī)能夠攔截通過(guò)TCP連接發(fā)送的數(shù)據(jù)包��,也能夠向網(wǎng)絡(luò)安全控制服務(wù)器發(fā)送TCP連接認(rèn)證信息��,識(shí)別已安裝合法的應(yīng)用軟件的終端計(jì)算機(jī)是否合法步驟如下����; dlA.終端計(jì)算機(jī)將所述握手包信息以鏈表形式保存到終端計(jì)算機(jī)的內(nèi)存中; d2A.終端計(jì)算機(jī)攔截通過(guò)TCP連接發(fā)送的數(shù)據(jù)包 d3A.終端計(jì)算機(jī)向網(wǎng)絡(luò)安全控制服務(wù)器發(fā)送TCP連接認(rèn)證信息 終端計(jì)算機(jī)從內(nèi)存中找到該TCP連接信息中的目的IP地址���、目的端ロ����、握手?jǐn)?shù)據(jù)包中IP協(xié)議層的標(biāo)識(shí)作為TCP連接認(rèn)證信息���,發(fā)送給網(wǎng)絡(luò)安全控制服務(wù)器進(jìn)行認(rèn)證;d4A.網(wǎng)絡(luò)安全控制服務(wù)器接收終端計(jì)算機(jī)發(fā)送的TCP連接認(rèn)證信息 網(wǎng)絡(luò)安全控制服務(wù)器接收終端計(jì)算機(jī)發(fā)送的TCP連接認(rèn)證信息��,井根據(jù)該TCP連接認(rèn)證信息���,在網(wǎng)絡(luò)安全控制服務(wù)器內(nèi)存中�,找到該TCP連接認(rèn)證信息對(duì)應(yīng)的TCP連接信息�,并將該TCP連接信息標(biāo)記為合法; d5A.終端計(jì)算機(jī)取消攔截通過(guò)TCP連接發(fā)送的數(shù)據(jù)包 d6A.終端計(jì)算機(jī)通過(guò)TCP連接發(fā)送數(shù)據(jù)包 終端計(jì)算機(jī)通過(guò)該TCP連接向互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器發(fā)送數(shù)據(jù)包����; d7A.網(wǎng)絡(luò)安全控制服務(wù)器接收終端計(jì)算機(jī)通過(guò)TCP連接發(fā)送的數(shù)據(jù)包 d8A網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)合法 網(wǎng)絡(luò)安全控制服務(wù)器根據(jù)接收到的通過(guò)TCP連接發(fā)送的數(shù)據(jù)包中的NATIP地址、目的IP地址����、NAT端ロ、目的端ロ,在網(wǎng)絡(luò)安全控制服務(wù)器內(nèi)存中找到對(duì)應(yīng)的TCP連接信息�,由于該TCP連接信息已經(jīng)標(biāo)記為合法,則該終端計(jì)算機(jī)合法���,并允許該終端計(jì)算機(jī)通過(guò)TCP連接發(fā)送的數(shù)據(jù)包�����; 如果終端計(jì)算機(jī)未安裝合法的應(yīng)用軟件�,該終端計(jì)算機(jī)不能夠攔截通過(guò)TCP連接發(fā)送的數(shù)據(jù)包�����,也不能夠向網(wǎng)絡(luò)安全控制服務(wù)器發(fā)送TCP連接認(rèn)證信息��,識(shí)別未安裝合法的應(yīng)用軟件的終端計(jì)算機(jī)是否合法步驟如下��; dlB.終端計(jì)算機(jī)通過(guò)TCP連接發(fā)送數(shù)據(jù)包 終端計(jì)算機(jī)通過(guò)該TCP連接向互聯(lián)網(wǎng)或數(shù)據(jù)服務(wù)器發(fā)送數(shù)據(jù)包�; d2B.網(wǎng)絡(luò)安全控制服務(wù)器接收終端計(jì)算機(jī)通過(guò)TCP連接發(fā)送的數(shù)據(jù)包 d3B.網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)非法 網(wǎng)絡(luò)安全控制服務(wù)器根據(jù)接收到的通過(guò)TCP連接發(fā)送的數(shù)據(jù)包中的NATIP地址、目的 IP地址�、NAT端ロ、目的端ロ����,網(wǎng)絡(luò)安全控制服務(wù)器內(nèi)存中找到對(duì)應(yīng)的TCP連接信息,由于終端計(jì)算機(jī)無(wú)法向網(wǎng)絡(luò)安全控制服務(wù)器發(fā)送TCP連接認(rèn)證信息,并且TCP連接信息已經(jīng)默認(rèn)標(biāo)記為非法����,則該終端計(jì)算機(jī)非法,阻斷該終端計(jì)算機(jī)通過(guò)TCP連接發(fā)送的數(shù)據(jù)包�����。
2.如權(quán)利要求I所述的網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)合法性的方法����,其特征在于 所述步驟d2A終端計(jì)算機(jī)攔截通過(guò)TCP連接發(fā)送的數(shù)據(jù)包����,終端計(jì)算機(jī)是通過(guò)驅(qū)動(dòng)攔截通過(guò)該TCP連接發(fā)送的數(shù)據(jù)包。
3.如權(quán)利要求I所述的網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)合法性的方法�����,其特征在干所述步驟d5A終端計(jì)算機(jī)取消攔截通過(guò)TCP連接發(fā)送的數(shù)據(jù)包��,終端計(jì)算機(jī)是通過(guò)驅(qū)動(dòng)取消對(duì)通過(guò)該TCP連接發(fā)送的數(shù)據(jù)包的攔截�����。
全文摘要
本發(fā)明公開(kāi)了網(wǎng)絡(luò)安全控制服務(wù)器識(shí)別終端計(jì)算機(jī)合法性的方法,該方法以TCP數(shù)據(jù)包的連接為單位對(duì)終端計(jì)算機(jī)的每個(gè)TCP連接進(jìn)行合法性判斷�,解決了在終端計(jì)算機(jī)與網(wǎng)絡(luò)安全控制服務(wù)器之間放置NAT地址轉(zhuǎn)換設(shè)備,使終端計(jì)算機(jī)所發(fā)送的TCP數(shù)據(jù)包的源IP地址發(fā)生了轉(zhuǎn)換�����,網(wǎng)絡(luò)安全控制服務(wù)器從而無(wú)法判斷終端計(jì)算機(jī)合法性的問(wèn)題�。本發(fā)明可以廣泛應(yīng)用于各種網(wǎng)絡(luò)結(jié)構(gòu)。
文檔編號(hào)H04L29/06GK102664890SQ201210119838
公開(kāi)日2012年9月12日 申請(qǐng)日期2012年4月23日 優(yōu)先權(quán)日2012年4月23日
發(fā)明者張博, 潘琳琳, 金魁 申請(qǐng)人:沈陽(yáng)通用軟件有限公司