一種基于代理網(wǎng)絡(luò)架構(gòu)的局域網(wǎng)訪問控制方法及管理機的制作方法【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及通信
技術(shù)領(lǐng)域:
���,尤其涉及一種基于代理網(wǎng)絡(luò)架構(gòu)的局域網(wǎng)訪問控制方法及管理機?�!?br>背景技術(shù):
】[0002]隨著計算機技術(shù)和通信技術(shù)的發(fā)展�,網(wǎng)絡(luò)已經(jīng)深入到人們工作����、生活、休閑����、娛樂等各個方面�,成為一個必須的工具���。隨著基于網(wǎng)絡(luò)的應(yīng)用的增加�����,使用網(wǎng)絡(luò)的行為變得越來越混亂���,這對于提高網(wǎng)絡(luò)資源的使用率、提高工作質(zhì)量����、保障網(wǎng)絡(luò)的安全穩(wěn)定帶來了挑戰(zhàn),因此迫切需要一種方便����、快捷、功能強大的局域網(wǎng)訪問控制工具來規(guī)范網(wǎng)絡(luò)的使用行為�����,尤其對于學(xué)校公共機房���、企事業(yè)單位辦公網(wǎng)絡(luò)等���,更需要有效的管控手段來監(jiān)管局域網(wǎng)的使用�����。[0003]目前��,軟件市場上的大部分局域網(wǎng)訪問控制管理軟件���,如網(wǎng)絡(luò)剪刀手、網(wǎng)絡(luò)執(zhí)法官等都是基于ARP(AddressResolut1nProtocol��,地址解析協(xié)議)協(xié)議來實現(xiàn)局域網(wǎng)內(nèi)用戶主機的訪問控制管理的�����。ARP位于TCP/IP協(xié)議棧的網(wǎng)絡(luò)層��,其基本功能是通過目標(biāo)設(shè)備的IP地址�,查詢目標(biāo)設(shè)備的MAC地址,然后組裝數(shù)據(jù)幀��,進行局域網(wǎng)數(shù)據(jù)的發(fā)送和接收��。眾所周知����,局域網(wǎng)內(nèi)主機間的通信是基于MAC地址進行的,但是主機配置的是IP地址�,因此需將主機的IP地址轉(zhuǎn)換為MAC地址。主機發(fā)送信息時將包含目標(biāo)IP地址的ARP請求廣播到網(wǎng)絡(luò)上的所有主機���,并接收返回消息�,以此確定目標(biāo)的物理地址���;收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間��,下次請求時直接查詢ARP緩存���。局域網(wǎng)內(nèi)主機與外網(wǎng)通信時,首先需要獲取網(wǎng)關(guān)的MAC地址����,然后基于MAC地址與網(wǎng)關(guān)通信。如果切斷主機與網(wǎng)關(guān)的聯(lián)系�,使其不能與網(wǎng)關(guān)通信,也就不能連接外網(wǎng)�。ARP協(xié)議是基于局域網(wǎng)內(nèi)主機間互相信任的基礎(chǔ)進行的�����,網(wǎng)絡(luò)上的主機可以自主發(fā)送ARP應(yīng)答消息����,其他主機收到應(yīng)答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存表���。[0004]基于ARP協(xié)議實現(xiàn)網(wǎng)絡(luò)的訪問控制管理的基本原理是通過發(fā)送欺騙性的ARP應(yīng)答數(shù)據(jù)包致使接收者受到數(shù)據(jù)包后更新其ARP緩存表����,從而建立錯誤的IP與MAC對應(yīng)關(guān)系�,以此來切斷與網(wǎng)關(guān)的聯(lián)系,實現(xiàn)訪問控制管理��。[0005]上述訪問控制的功能相對單一���,不能實現(xiàn)更加細化的訪問控制����,如禁止訪問指定的一些網(wǎng)站��,禁止某類網(wǎng)絡(luò)應(yīng)用軟件的使用等等,且容易受到局域網(wǎng)內(nèi)主機安全的安全防護軟件的干擾�����,甚至刪除�����、屏蔽�����?�!?br/>發(fā)明內(nèi)容】[0006]本發(fā)明的實施例提供一種基于代理網(wǎng)絡(luò)架構(gòu)的局域網(wǎng)訪問控制方法及管理機���,可以實現(xiàn)對局域網(wǎng)內(nèi)主機的更加方便、快捷����、細化的訪問控制管理。如���,禁止訪問某些網(wǎng)站����,其他網(wǎng)站正常訪問;禁止某類應(yīng)用�,其他應(yīng)用正常等,能夠?qū)崿F(xiàn)基于協(xié)議�����、端口級別的細化的網(wǎng)絡(luò)訪問控制��;軟件安裝���、部署方便快捷����,不需要在局域網(wǎng)內(nèi)的主機上安裝附加的客戶端軟件�����。[0007]為達到上述目的�����,本發(fā)明的實施例采用如下技術(shù)方案:[0008]一種基于代理網(wǎng)絡(luò)架構(gòu)的局域網(wǎng)訪問控制方法���,包括:[0009]識別代理設(shè)備的類型�,所述代理設(shè)備的類型包括以下三種:路由器、三層交換機�����、Linux服務(wù)器�����;[0010]若所述代理設(shè)備的類型為路由器或三層交換機���,則基于安全套接層SSH協(xié)議建立一條管理機與代理設(shè)備間的安全通道,然后根據(jù)用戶的訪問控制需求自動建立代理設(shè)備的訪問控制列表ACL����,并通過所述安全通道發(fā)送所述ACL到所述代理設(shè)備,使得所述代理設(shè)備觸發(fā)執(zhí)行所述ACL�;[0011]若所述代理設(shè)備的類型為Linux服務(wù)器,則基于SSH協(xié)議建立一條管理機與所述Linux服務(wù)器之間的安全通信通道��,然后根據(jù)用戶需求組裝Iptables訪問控制規(guī)則�����,接著將所述Iptables訪問控制規(guī)則通過所述通信安全通道發(fā)送到所述Linux服務(wù)器,使得所述Linux服務(wù)器立即執(zhí)行所述Iptables訪問控制規(guī)則��。[0012]可選的���,所述方法還包括:[0013]待所述代理設(shè)備執(zhí)行訪問控制結(jié)束時����,將所述代理設(shè)備的控制狀態(tài)自動恢復(fù)至原始狀態(tài)���。[0014]所述方法還包括:[0015]根據(jù)用戶的使用需求�,手動將所述代理設(shè)備的控制狀態(tài)恢復(fù)至原始狀態(tài)�����。[0016]一種管理機��,所述管理機是以路由器���、三層交換機或Linux服務(wù)器為代理設(shè)備的網(wǎng)絡(luò)架構(gòu)的局域網(wǎng)內(nèi)的除了代理設(shè)備和客戶端主機外的任意一臺機器�;所述管理機具有代理設(shè)備的管理權(quán)限����;所述管理機包括訪問控制管理模塊�����,所述訪問控制管理模塊包括:[0017]智能識別子模塊�����,用于識別代理設(shè)備的類型���,所述代理設(shè)備的類型包括以下三種:路由器、三層交換機���、Linux服務(wù)器;[0018]訪問控制規(guī)則組裝子模塊�,用于在所述智能識別模塊識別出所述代理設(shè)備的類型為路由器或三層交換機時,基于安全套接層SSH協(xié)議建立一條管理機與代理設(shè)備間的安全通道����,然后根據(jù)用戶的訪問控制需求自動建立代理設(shè)備的訪問控制列表ACL,并通過所述安全通道發(fā)送所述ACL到所述代理設(shè)備����,使得所述代理設(shè)備觸發(fā)執(zhí)行所述ACL;[0019]所述訪問控制規(guī)則組裝子模塊,還用于在所述智能識別模塊識別出所述代理設(shè)備的類型為Linux服務(wù)器時��,基于SSH協(xié)議建立一條管理機與所述Linux服務(wù)器之間的通信安全通道,然后根據(jù)用戶需求組裝Iptables訪問控制規(guī)則���,接著將所述Iptables訪問控制規(guī)則通過所述通信安全通道發(fā)送到所述Linux服務(wù)器����,使得所述Linux服務(wù)器立即執(zhí)行所述Iptables訪問控制規(guī)則�����。[0020]可選的�����,所述訪問控制管理模塊還包括:[0021]自動恢復(fù)子模塊�����,用于待所述代理設(shè)備執(zhí)行訪問控制結(jié)束時���,將所述代理設(shè)備的控制狀態(tài)自動恢復(fù)至原始狀態(tài)�����。[0022]上述技術(shù)方案提供的基于代理網(wǎng)絡(luò)架構(gòu)的局域網(wǎng)訪問控制方法及管理機�����,對基于代理架構(gòu)的局域網(wǎng)絡(luò)進行細化到協(xié)議����、端口的訪問控制管理。對局域網(wǎng)中的電腦上安裝的病毒防護軟件����、安全防護軟件無任何影響。局域網(wǎng)中的電腦無需安裝附加客戶端程序�����。局域網(wǎng)中的任意一臺電腦都可以安裝管理端軟件�,實施對整個網(wǎng)絡(luò)的訪問控制管理�。此發(fā)明方案部署簡單、快捷����,使用方便,效果良好�。【附圖說明】[0023]圖1為本發(fā)明實施例提供的一種基于代理網(wǎng)絡(luò)架構(gòu)的局域網(wǎng)訪問控制方法的流程不意圖�;[0024]圖2為本發(fā)明實施例提供的一種基于代理的網(wǎng)絡(luò)架構(gòu)的結(jié)構(gòu)框圖��;[0025]圖3為本發(fā)明實施例提供的一種管理機中的訪問控制管理模塊的結(jié)構(gòu)框圖���。【具體實施方式】[0026]下面將結(jié)合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術(shù)方案進行清楚�����、完整地描述�,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例��,而不是全部的實施例��?�;诒景l(fā)明中的實施例��,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例����,都屬于本發(fā)明保護的范圍。[0027]本發(fā)明實施例提供了一種基于代理網(wǎng)絡(luò)架構(gòu)的局域網(wǎng)訪問控制方法,所述方法包括:[0028]S1����、識別代理設(shè)備的類型。[0029]其中��,所述代理設(shè)備的類型包括以下三種:路由器����、三層交換機、Linux服務(wù)器�。[0030]本發(fā)明實施例提供的方法主要針對基于代理的網(wǎng)絡(luò)架構(gòu)的局域網(wǎng)內(nèi)主機進行訪問控制管理。由于IPv4地址資源的限制����,很多單位包括高等教育學(xué)校和一些企事業(yè)單位,局域網(wǎng)絡(luò)都采用代理的架構(gòu)接入互聯(lián)網(wǎng)��,以解決IPv4地址資源相對需要聯(lián)入互聯(lián)網(wǎng)的主機數(shù)量不足的問題����?;诖砑軜?gòu)的互聯(lián)網(wǎng)接入方案,其網(wǎng)絡(luò)架構(gòu)如圖2所示����。[0031]充當(dāng)代理的設(shè)備���,可以是路由器、三層交換機或服務(wù)器��。一般根據(jù)內(nèi)部網(wǎng)絡(luò)的規(guī)模���、單位預(yù)算等因素決定采用哪種設(shè)備充當(dāng)代理���。代理設(shè)備處于內(nèi)部局域網(wǎng)絡(luò)與互聯(lián)網(wǎng)的連接處,一般配置有至少2個網(wǎng)絡(luò)接口�����,一個網(wǎng)絡(luò)接口配置有若干個公網(wǎng)IP地址�,用以接入互聯(lián)網(wǎng);另一個網(wǎng)絡(luò)接口配置內(nèi)部私有地址���,用以接入內(nèi)部局域網(wǎng)�����,并且作為內(nèi)部局域網(wǎng)絡(luò)內(nèi)的主機的網(wǎng)關(guān)�����。代理設(shè)備的主要功能是�,將內(nèi)部網(wǎng)絡(luò)主機發(fā)送的數(shù)據(jù)包的私有地址轉(zhuǎn)換為合法的公有地址,以此實現(xiàn)內(nèi)網(wǎng)主機共享幾個合法的公有地址與互聯(lián)網(wǎng)的有效聯(lián)通�。[0032]通過對基于代理的網(wǎng)絡(luò)架構(gòu)分析發(fā)現(xiàn),代理設(shè)備是內(nèi)�、外網(wǎng)數(shù)據(jù)流通的必經(jīng)之路。如果能在代理設(shè)備上設(shè)置相應(yīng)的訪問控制規(guī)當(dāng)前第1頁1 2