專利名稱:一種內(nèi)網(wǎng)pc訪問外網(wǎng)的控制方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種內(nèi)網(wǎng)PC訪問外網(wǎng)的控制方法和裝置�。
背景技術(shù):
隨著科學(xué)技術(shù)的進(jìn)步,越來越多的企業(yè)開始意識(shí)到內(nèi)網(wǎng)PC (Personal Computer, 個(gè)人計(jì)算機(jī))的非法外聯(lián)給企業(yè)帶來嚴(yán)重的安全隱患��,從而使用各種各樣的方法來杜絕非法外聯(lián)���,防患于未然���。
其中的一種方法為在交換機(jī)或防火墻等網(wǎng)絡(luò)設(shè)備中進(jìn)行配置�,即配置能夠訪問外網(wǎng)或者限制訪問外網(wǎng)的PC列表��,這樣����,當(dāng)PC訪問外網(wǎng)的數(shù)據(jù)報(bào)文到達(dá)該網(wǎng)絡(luò)設(shè)備時(shí),根據(jù)所述配置判斷該P(yáng)C是否有權(quán)限訪問外網(wǎng)��,若是���,則將數(shù)據(jù)報(bào)文發(fā)送到外網(wǎng)���,否則,丟失該數(shù)據(jù)報(bào)文��。
但是�����,上述方法存在安全隱患�,當(dāng)沒有訪問外網(wǎng)權(quán)限的用戶登錄有訪問外網(wǎng)權(quán)限的內(nèi)網(wǎng)PC后,該用戶便可通過該內(nèi)網(wǎng)PC訪問外網(wǎng)�����。發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的是提供一種內(nèi)網(wǎng)PC訪問外網(wǎng)的控制方法和裝置����,能夠提高內(nèi)網(wǎng)的安全性。
為實(shí)現(xiàn)上述目的�,本發(fā)明提供技術(shù)方案如下
一種內(nèi)網(wǎng)PC訪問外網(wǎng)的控制方法,應(yīng)用于與內(nèi)網(wǎng)PC連接的網(wǎng)絡(luò)設(shè)備上���,所述控制方法包括
接收到用戶通過內(nèi)網(wǎng)PC發(fā)送的認(rèn)證請(qǐng)求報(bào)文時(shí)����,根據(jù)所述認(rèn)證請(qǐng)求報(bào)文對(duì)用戶進(jìn)行身份認(rèn)證�����,認(rèn)證通過時(shí)在網(wǎng)卡驅(qū)動(dòng)中記錄所述內(nèi)網(wǎng)PC的MAC地址和IP地址�;
接收到用戶通過內(nèi)網(wǎng)PC發(fā)送的訪問外網(wǎng)的數(shù)據(jù)報(bào)文時(shí),判斷網(wǎng)卡驅(qū)動(dòng)中是否存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址�����;
當(dāng)網(wǎng)卡驅(qū)動(dòng)中存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí)��,將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到外網(wǎng)���。
上述的控制方法�,其中��,還包括
當(dāng)網(wǎng)卡驅(qū)動(dòng)中不存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí)����,丟棄所述數(shù)據(jù)報(bào)文。
上述的控制方法���,其中���,還包括
當(dāng)用戶退出時(shí),在所述網(wǎng)卡驅(qū)動(dòng)中刪除所述內(nèi)網(wǎng)PC的MAC地址和IP地址���。
一種內(nèi)網(wǎng)PC訪問外網(wǎng)的控制裝置��,應(yīng)用于與內(nèi)網(wǎng)PC連接的網(wǎng)絡(luò)設(shè)備上���,所述控制裝置包括
認(rèn)證單元,用于接收到用戶通過內(nèi)網(wǎng)PC發(fā)送的認(rèn)證請(qǐng)求報(bào)文時(shí)�����,根據(jù)所述認(rèn)證請(qǐng)求報(bào)文對(duì)用戶進(jìn)行身份認(rèn)證,認(rèn)證通過時(shí)在網(wǎng)卡驅(qū)動(dòng)中記錄所述內(nèi)網(wǎng)PC的MAC地址和IP
判斷單元�,用于接收到用戶通過內(nèi)網(wǎng)PC發(fā)送的訪問外網(wǎng)的數(shù)據(jù)報(bào)文時(shí),判斷網(wǎng)卡驅(qū)動(dòng)中是否存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址��;
轉(zhuǎn)發(fā)單元�,用于當(dāng)網(wǎng)卡驅(qū)動(dòng)中存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí),將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到外網(wǎng)�����。
上述的控制裝置����,其中,還包括
丟棄單元����,用于當(dāng)網(wǎng)卡驅(qū)動(dòng)中不存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí), 丟棄所述數(shù)據(jù)報(bào)文���。
上述的控制裝置�����,其中�����,所述認(rèn)證單元還用于
當(dāng)用戶退出時(shí)�,在所述網(wǎng)卡驅(qū)動(dòng)中刪除所述內(nèi)網(wǎng)PC的MAC地址和IP地址���。
本發(fā)明對(duì)試圖通過內(nèi)網(wǎng)PC訪問外網(wǎng)的用戶進(jìn)行身份認(rèn)證�����,在認(rèn)證通過時(shí)�����,在網(wǎng)卡驅(qū)動(dòng)中記錄該內(nèi)網(wǎng)PC的MAC地址和IP地址����,這樣�,在接收到內(nèi)網(wǎng)PC訪問外網(wǎng)的數(shù)據(jù)報(bào)文時(shí),就可以根據(jù)網(wǎng)卡驅(qū)動(dòng)中是否存在對(duì)應(yīng)的MAC地址和IP地址來確定是否將該數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到外網(wǎng)���,從而提高了內(nèi)網(wǎng)的安全性��。
圖I是本發(fā)明實(shí)施例中的組網(wǎng)環(huán)境示意圖2是本發(fā)明實(shí)施例的內(nèi)網(wǎng)PC訪問外網(wǎng)的控制方法流程圖�����。
具體實(shí)施方式
以下結(jié)合附圖對(duì)本發(fā)明進(jìn)行詳細(xì)描述����。
圖I是本發(fā)明實(shí)施例中的組網(wǎng)環(huán)境示意圖。參照?qǐng)D1��,在內(nèi)網(wǎng)中存在多個(gè)PC��,圖中僅示出兩個(gè)�����,即PCl和PC2�,所述多個(gè)PC均連接至網(wǎng)絡(luò)設(shè)備,所述網(wǎng)絡(luò)設(shè)備可以是防火墻�����、交換機(jī)或路由器等����,所述網(wǎng)絡(luò)設(shè)備與外網(wǎng)連接�����。
圖2是本發(fā)明實(shí)施例的內(nèi)網(wǎng)PC訪問外網(wǎng)的控制方法流程圖��。參照?qǐng)D2,所述控制方法應(yīng)用于與內(nèi)網(wǎng)PC連接的網(wǎng)絡(luò)設(shè)備上���,所述控制方法可以包括如下步驟
步驟201����,接收用戶通過內(nèi)網(wǎng)PC發(fā)送的認(rèn)證請(qǐng)求報(bào)文���;
具體地�����,可以在內(nèi)網(wǎng)PC中設(shè)置認(rèn)證客戶端����,在網(wǎng)路設(shè)備中設(shè)置認(rèn)證服務(wù)器�,當(dāng)用戶需要通過內(nèi)網(wǎng)PC訪問外網(wǎng)時(shí),啟動(dòng)所述認(rèn)證客戶端,通過所述認(rèn)證客戶端發(fā)送認(rèn)證請(qǐng)求報(bào)文到所述認(rèn)證服務(wù)器����。
步驟202,根據(jù)所述認(rèn)證請(qǐng)求報(bào)文對(duì)用戶進(jìn)行身份認(rèn)證�,認(rèn)證通過時(shí)在網(wǎng)卡驅(qū)動(dòng)中記錄所述內(nèi)網(wǎng)PC的MAC地址和IP地址;
網(wǎng)絡(luò)設(shè)備中的認(rèn)證服務(wù)器接收到認(rèn)證客戶端發(fā)送的認(rèn)證請(qǐng)求報(bào)文時(shí)�,對(duì)用戶進(jìn)行身份認(rèn)證。其中����,根據(jù)用戶身份或者接入方式的不同,可以有多種不同的認(rèn)證方式����。例如, 可以直接基于用戶輸入的用戶名和密碼進(jìn)行認(rèn)證����,也可以基于密鑰的方式進(jìn)行認(rèn)證。具體采用哪種認(rèn)證方式�,本領(lǐng)域技術(shù)人員可以根據(jù)需要進(jìn)行選擇,本發(fā)明對(duì)此不做限制�,
當(dāng)認(rèn)證成功后,認(rèn)證請(qǐng)求報(bào)文對(duì)應(yīng)內(nèi)網(wǎng)PC的MAC地址和IP地址成為這個(gè)用戶身份的唯一標(biāo)識(shí)���,這些信息會(huì)放進(jìn)網(wǎng)絡(luò)設(shè)備的網(wǎng)卡驅(qū)動(dòng)中���,網(wǎng)絡(luò)設(shè)備可以為該用戶建立一條合法通道��,認(rèn)證成功的用戶可以通過這條合法通道訪問外網(wǎng)��。
例如��,圖I中的PCl通過了認(rèn)證����,則網(wǎng)絡(luò)設(shè)備的網(wǎng)卡驅(qū)動(dòng)中記錄有PCl的MAC地址和IP地址����,圖I中的PC2未如果認(rèn)證�,則網(wǎng)絡(luò)設(shè)備的網(wǎng)卡驅(qū)動(dòng)中未記錄PC2的MAC地址和 IP地址。
步驟203��,接收用戶通過內(nèi)網(wǎng)PC發(fā)送的訪問外網(wǎng)的數(shù)據(jù)報(bào)文�����;
步驟204�,判斷網(wǎng)卡驅(qū)動(dòng)中是否存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址�����,若是�����,進(jìn)入步驟205��,若否����,進(jìn)入步驟206 ��;
步驟205�����,當(dāng)網(wǎng)卡驅(qū)動(dòng)中存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí)��,將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到外網(wǎng)���;
例如�����,從PCl發(fā)送的訪問外網(wǎng)的數(shù)據(jù)報(bào)文到達(dá)網(wǎng)絡(luò)設(shè)備時(shí)����,由于網(wǎng)卡驅(qū)動(dòng)中存在與PCl對(duì)應(yīng)的MAC地址和IP地址,從而可以將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到外網(wǎng)�����,實(shí)現(xiàn)了 PCl對(duì)外網(wǎng)的訪問��。
步驟206�����,當(dāng)網(wǎng)卡驅(qū)動(dòng)中不存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí)���,丟棄所述數(shù)據(jù)報(bào)文。
例如��,從PC2發(fā)送的訪問外網(wǎng)的數(shù)據(jù)報(bào)文到達(dá)網(wǎng)絡(luò)設(shè)備時(shí)����,由于網(wǎng)卡驅(qū)動(dòng)中不存在與PC2對(duì)應(yīng)的MAC地址和IP地址,從而丟棄所述數(shù)據(jù)報(bào)文�,從而實(shí)現(xiàn)了對(duì)PC2訪問外網(wǎng)的限制�。
進(jìn)一步�����,所述控制方法還可以包括當(dāng)用戶退出時(shí)���,在所述網(wǎng)卡驅(qū)動(dòng)中刪除所述內(nèi)網(wǎng)PC的MAC地址和IP地址����。具體地�,用戶退出時(shí),通過認(rèn)證客戶端發(fā)送退出消息到網(wǎng)絡(luò)服務(wù)器����,網(wǎng)絡(luò)服務(wù)器收到該退出消息時(shí),便可以在所述網(wǎng)卡驅(qū)動(dòng)中刪除所述內(nèi)網(wǎng)PC的MAC地址和IP地址����。
根據(jù)本發(fā)明實(shí)施例的上述方法,具有訪問外網(wǎng)權(quán)限的用戶可以從內(nèi)網(wǎng)中的任何一臺(tái)PC訪問外網(wǎng)����,而不具有訪問外網(wǎng)權(quán)限的用戶無論通過哪臺(tái)內(nèi)網(wǎng)PC都不能訪問外網(wǎng),從而提高了內(nèi)網(wǎng)的安全性和用戶訪問外網(wǎng)的靈活性�����。
對(duì)應(yīng)于上述方法,本發(fā)明還提供一種內(nèi)網(wǎng)PC訪問外網(wǎng)的控制裝置�����,應(yīng)用于與內(nèi)網(wǎng) PC連接的網(wǎng)絡(luò)設(shè)備上�,所述控制裝置可以包括
認(rèn)證單元,用于接收到用戶通過內(nèi)網(wǎng)PC發(fā)送的認(rèn)證請(qǐng)求報(bào)文時(shí)����,根據(jù)所述認(rèn)證請(qǐng)求報(bào)文對(duì)用戶進(jìn)行身份認(rèn)證,認(rèn)證通過時(shí)在網(wǎng)卡驅(qū)動(dòng)中記錄所述內(nèi)網(wǎng)PC的MAC地址和IP 地址����;
判斷單元,用于接收到用戶通過內(nèi)網(wǎng)PC發(fā)送的訪問外網(wǎng)的數(shù)據(jù)報(bào)文時(shí)���,判斷網(wǎng)卡驅(qū)動(dòng)中是否存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址����;
轉(zhuǎn)發(fā)單元���,用于當(dāng)網(wǎng)卡驅(qū)動(dòng)中存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí)�����,將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到外網(wǎng)�����。
進(jìn)一步�����,所述控制裝置還可以包括丟棄單元��,用于當(dāng)網(wǎng)卡驅(qū)動(dòng)中不存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí)�,丟棄所述數(shù)據(jù)報(bào)文����。另外,所述認(rèn)證單元還可以用于 當(dāng)用戶退出時(shí)���,在所述網(wǎng)卡驅(qū)動(dòng)中刪除所述內(nèi)網(wǎng)PC的MAC地址和IP地址�����。
綜上所述��,本發(fā)明對(duì)試圖通過內(nèi)網(wǎng)PC訪問外網(wǎng)的用戶進(jìn)行身份認(rèn)證�,在認(rèn)證通過時(shí),在網(wǎng)卡驅(qū)動(dòng)中記錄該內(nèi)網(wǎng)PC的MAC地址和IP地址����,這樣,在接收到內(nèi)網(wǎng)PC訪問外網(wǎng)的數(shù)據(jù)報(bào)文時(shí)��,就可以根據(jù)網(wǎng)卡驅(qū)動(dòng)中是否存在對(duì)應(yīng)的MAC地址和IP地址來確定是否將該數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到外網(wǎng)�����,從而提高了內(nèi)網(wǎng)的安全性�。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內(nèi)�,所做的任何修改、等同替換��、改進(jìn)等�,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
權(quán)利要求
1.一種內(nèi)網(wǎng)PC訪問外網(wǎng)的控制方法�����,應(yīng)用于與內(nèi)網(wǎng)PC連接的網(wǎng)絡(luò)設(shè)備上�����,其特征在于���,所述控制方法包括 接收到用戶通過內(nèi)網(wǎng)PC發(fā)送的認(rèn)證請(qǐng)求報(bào)文時(shí)��,根據(jù)所述認(rèn)證請(qǐng)求報(bào)文對(duì)用戶進(jìn)行身份認(rèn)證���,認(rèn)證通過時(shí)在網(wǎng)卡驅(qū)動(dòng)中記錄所述內(nèi)網(wǎng)PC的MAC地址和IP地址; 接收到用戶通過內(nèi)網(wǎng)PC發(fā)送的訪問外網(wǎng)的數(shù)據(jù)報(bào)文時(shí)���,判斷網(wǎng)卡驅(qū)動(dòng)中是否存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址���; 當(dāng)網(wǎng)卡驅(qū)動(dòng)中存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí),將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到外網(wǎng)�����。
2.如權(quán)利要求I所述的控制方法,其特征在于��,還包括 當(dāng)網(wǎng)卡驅(qū)動(dòng)中不存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí)����,丟棄所述數(shù)據(jù)報(bào)文。
3.如權(quán)利要求I或2所述的控制方法���,其特征在于����,還包括 當(dāng)用戶退出時(shí)����,在所述網(wǎng)卡驅(qū)動(dòng)中刪除所述內(nèi)網(wǎng)PC的MAC地址和IP地址。
4.一種內(nèi)網(wǎng)PC訪問外網(wǎng)的控制裝置�����,應(yīng)用于與內(nèi)網(wǎng)PC連接的網(wǎng)絡(luò)設(shè)備上����,其特征在于,所述控制裝置包括 認(rèn)證單元�,用于接收到用戶通過內(nèi)網(wǎng)PC發(fā)送的認(rèn)證請(qǐng)求報(bào)文時(shí)�����,根據(jù)所述認(rèn)證請(qǐng)求報(bào)文對(duì)用戶進(jìn)行身份認(rèn)證���,認(rèn)證通過時(shí)在網(wǎng)卡驅(qū)動(dòng)中記錄所述內(nèi)網(wǎng)PC的MAC地址和IP地址�����; 判斷單元����,用于接收到用戶通過內(nèi)網(wǎng)PC發(fā)送的訪問外網(wǎng)的數(shù)據(jù)報(bào)文時(shí),判斷網(wǎng)卡驅(qū)動(dòng)中是否存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址��; 轉(zhuǎn)發(fā)單元�����,用于當(dāng)網(wǎng)卡驅(qū)動(dòng)中存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí)���,將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到外網(wǎng)�����。
5.如權(quán)利要求4所述的控制裝置���,其特征在于����,還包括 丟棄單元����,用于當(dāng)網(wǎng)卡驅(qū)動(dòng)中不存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí),丟棄所述數(shù)據(jù)報(bào)文����。
6.如權(quán)利要求4或5所述的控制裝置,其特征在于����,所述認(rèn)證單元還用于 當(dāng)用戶退出時(shí),在所述網(wǎng)卡驅(qū)動(dòng)中刪除所述內(nèi)網(wǎng)PC的MAC地址和IP地址��。
全文摘要
本發(fā)明提供一種內(nèi)網(wǎng)PC訪問外網(wǎng)的控制方法和裝置�����,屬于網(wǎng)絡(luò)通信技術(shù)領(lǐng)域����。所述控制方法包括接收到用戶通過內(nèi)網(wǎng)PC發(fā)送的認(rèn)證請(qǐng)求報(bào)文時(shí)��,根據(jù)所述認(rèn)證請(qǐng)求報(bào)文對(duì)用戶進(jìn)行身份認(rèn)證���,認(rèn)證通過時(shí)在網(wǎng)卡驅(qū)動(dòng)中記錄所述內(nèi)網(wǎng)PC的MAC地址和IP地址;接收到用戶通過內(nèi)網(wǎng)PC發(fā)送的訪問外網(wǎng)的數(shù)據(jù)報(bào)文時(shí)��,判斷網(wǎng)卡驅(qū)動(dòng)中是否存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址�;當(dāng)網(wǎng)卡驅(qū)動(dòng)中存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí)�����,將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到外網(wǎng)�;當(dāng)網(wǎng)卡驅(qū)動(dòng)中不存在與所述內(nèi)網(wǎng)PC對(duì)應(yīng)的MAC地址和IP地址時(shí),丟棄所述數(shù)據(jù)報(bào)文�����。本發(fā)明能夠提高內(nèi)網(wǎng)的安全性�����。
文檔編號(hào)H04L29/06GK102932363SQ20121044813
公開日2013年2月13日 申請(qǐng)日期2012年11月8日 優(yōu)先權(quán)日2012年11月8日
發(fā)明者么學(xué)佳 申請(qǐng)人:杭州迪普科技有限公司