CN109922058B - 一种防止非法访问内网的内网保护方法 - Google Patents
一种防止非法访问内网的内网保护方法 Download PDFInfo
- Publication number
- CN109922058B CN109922058B CN201910146962.0A CN201910146962A CN109922058B CN 109922058 B CN109922058 B CN 109922058B CN 201910146962 A CN201910146962 A CN 201910146962A CN 109922058 B CN109922058 B CN 109922058B
- Authority
- CN
- China
- Prior art keywords
- intranet
- equipment
- network segment
- access
- terminal router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防止非法访问内网的内网保护方法,设立终端路由器、内网服务器和交换机,将内网服务器和交换机分别与终端路由器进行连接,将员工设备与交换机进行连接,并将员工设备MAC地址与账号进行绑定;将访问的IP网段分为服务器网段、员工网段、访客网段防止了非法访问,通过终端路由器和内网服务器对访问设备的IP和网段进行分类判定,并进行相应的接入处理,设立相应的功能开关,当未绑定MAC地址的设备手动设置为服务器网段和员工网段地址时触发ARP欺骗保护机制,保护内网安全。本发明防止了非法接入访问,保护了内网安全。
Description
技术领域
本发明涉及网络安全技术领域,具体地说,是涉及一种防止非法访问内网的内网保护方法。
背景技术
网络安全是指网络***的硬件、软件及其***中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,***连续可靠正常地运行,网络服务不中断。随着互联网技术的发展,在大型企业中通常会建立局域网也就是内网以便进行网络通信,局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息,造成企业信息的泄露,给企业带来重大的损失;因此,如何对内网安全进行保护,防止非法访问入侵,是相关人员亟需解决的问题。
发明内容
本发明的目的在于提供一种防止非法访问内网的内网保护方法,保护内网安全,防止非法接入访问。
为实现上述目的,本发明采用的技术方案如下:
一种防止非法访问内网的内网保护方法,包括以下步骤:
(S1)设立终端路由器、内网服务器和交换机,将内网服务器和交换机分别与终端路由器进行连接,将员工设备与交换机进行连接;
(S2)在内网服务器设立每个员工的内网网络的内网账号和与内网账号对应的密码,设立与内网账号相对应的认证表单,将员工设备的IP地址和MAC地址添加于认证表单中进行绑定,建立认证机制;
(S3)在终端路由器将IP网段分为服务器网段、员工网段和访客网段,将内网服务器和员工设备IP对应配置于服务器网段和员工网段中,然后在终端路由器上设立用于防止ARP欺骗的ARP欺骗保护机制以及WiFi账号和密码;
(S4)设备通过WiFi账号和密码进行内网网络接入,由终端路由器判断设备IP属性,如果设备是动态IP,则进入步骤(S5);如果设备是静态IP,则终端路由器判断设备IP地址网段进行相应的接入;
(S5)由内网服务器判断接入设备MAC地址是否与账号绑定,如果已绑定,则终端路由器分配绑定员工网段IP地址,进入步骤(S8);如果未绑定,则终端路由器分配访客网段IP地址,进入步骤(S6);
(S6)由终端路由器对设备访问网段进行判断,如果访问内网网络,则进入步骤(S7);;如果设备访问外网网络,则根据终端路由器设置的访问权限做相应的接入;
(S7)内网服务器认证机制发生响应,设备通过内网账号和相应密码进行认证,通过认证后,临时放行此设备并设置临时放行时间,如果设备通过认证后仍为动态IP的访客网段IP地址,在临时放行时间内,设备向终端路由器发送request续租报文,终端路由器回复设备NACK报文并重新分配员工网段IP地址,并将设备的MAC地址与IP地址进行绑定,进入步骤(S8);若设备认证未通过,则拒绝该设备的访问。
(S8)设备向终端路由器发送自检ARP,终端路由器判断当前设备的MAC和IP是否与终端路由器记录一致,如果不一致,则终端路由器判断该设备静态IP手动设置为服务器网段或员工网段地址形成冲突,触发ARP欺骗保护机制,保护内网安全;如果一致且设备IP为员工网段IP地址,则进入步骤(S9);
(S9)内网服务器放行该设备的所有访问。
所述步骤(S4)中,终端路由器通过设备接入时发送的discover报文判断设备IP属性,如果为无dhcp报文的discover报文,则为静态IP,如果为具有dhcp报文的discover报文,则为动态IP。
所述步骤(S3)中,在终端路由器还设置了用于是否允许访客网段设备访问外网网络的第一功能开关,用于是否允许访客网段设备访问内网网络的第二功能开关;第一功能开关和第二功能开关的打开或关闭均由内网管理员进行设置。
所述步骤(S4)中,终端路由器对静态IP设备判断IP地址网段进行接入的具体过程为:
(S41)由终端路由器对设备IP地址网段进行判断,如果为访客网段,则进入步骤(S6),如果为服务器网段或员工网段,则进入步骤(S42);
(S42)由内网服务器判断接入设备MAC地址是否与账号绑定,如果已绑定,则进入步骤(S8);如果未绑定,则进入步骤(S7)。
所述步骤(S6)中,设备访问外网网络,根据终端路由器设置的访问权限做相应接入的具体过程为:如果第一功能开关打开,表示允许访客网段设备访问外网网络,则进入步骤(S8),如果第一功能开关关闭,表示不允许访客网段设备访问外网网络,则进入步骤(S7)。
所述步骤(S7)中:如果设备通过认证后IP地址为静态IP的访客网络地址,该设备临时放行时间到期后,认证机制产生响应,设备在认证机制中再次进行认证。
具体地,所述步骤(S9)中,设备进行跨网段数据访问时,其访问数据通过终端路由器进行三层传输,由终端路由器进行控制。所述交换机为二层交换机,针对二层数据也就是内网数据之间的传输,通过二层交换机进行传输。
具体地,所述步骤(S7)中的认证方式包括WEB认证、portal认证和微信认证。所述步骤(S2)一个账号的认证表单中,可以添加多台设备的MAC地址和IP地址进行绑定。
与现有技术相比,本发明具有以下有益效果:
(1)本发明通过先在内网服务器设立账号和与之对应的密码,设备进行内网访问时先需要通过WiFi密码连接,之后未绑定的访客网段的设备则需要通过账号和密码进行认证,通过认证后的设备才能进行内网访问,初步防止了非法入侵内网,给内网提供了第一层保护。
(2)本发明通过将设备MAC地址与账号进行绑定,未绑定的设备进行功能开关判断或其他操作才能对内网进行访问;如此下来,即使员工的账号密码泄露,因为其未绑定账号,依然不能接入内网,给内网提供了第二层安全保障,而一个账号可以绑定多个设备MAC地址,给日常员工的使用提供了便利。
(3)本发明通过设立第一功能开关和第二功能开关,可以人工控制开关是否允许未绑定的设备进行相应的访问,操作灵活,便于之后员工设备的接入以及安全访客对内网的访问,提供了便利。
(4)本发明将设备IP分为服务器网段、员工网段和访客网段,在对设备接入内网时进行相应的处理,绑定账号的服务器网段或员工网段的设备可直接进行访问,未绑定账号的服务器网段或员工网段的设备则需要通过认证进行绑定接入,而未绑定账号的访客网段设备则需要通过功能开关处理并进行认证,而如果判断为未绑定MAC地址的设备手动设置为服务器网段或员工网段地址,则会触发ARP欺骗保护机制,保护内网安全。
(5)本发明通过设立交换机和终端路由器对数据进行传输,针对二层数据也就是内网数据之间的传输,通过二层交换机进行传输,而跨网段访问的数据通过终端路由器成为三层传输,让二层数据直接通讯的不可控模式,变为三层的可控模式,以便终端路由器对这些跨网段访问的数据进行控制,防止了非法数据访问。
附图说明
图1为本发明访问方法流程示意图。
具体实施方式
下面结合附图说明和实施例对本发明作进一步说明,本发明的方式包括但不仅限于以下实施例。
实施例
如图1所示,一种防止非法访问内网的内网保护方法,包括以下步骤:
(S1)设立终端路由器、内网服务器和交换机,将内网服务器和交换机分别与终端路由器进行连接,将员工设备与交换机进行连接。
(S2)在内网服务器设立每个员工的内网网络的内网账号和与内网账号对应的密码,设立与内网账号相对应的认证表单,将员工设备的IP地址和MAC地址添加于认证表单中进行绑定,建立认证机制。
(S3)在终端路由器将IP网段分为服务器网段、员工网段和访客网段,将内网服务器和员工设备IP对应配置于服务器网段和员工网段中,然后在终端路由器上设立用于防止ARP欺骗的ARP欺骗保护机制以及WiFi账号和密码,设置用于是否允许访客网段设备访问外网网络的第一功能开关,用于是否允许访客网段设备访问内网网络的第二功能开关;第一功能开关和第二功能开关的打开或关闭均由内网管理员提前进行设置。
(S4)设备通过WiFi账号和密码进行内网网络接入,终端路由器通过设备接入时发送的discover报文判断设备IP属性,如果为无dhcp报文的discover报文,则为静态IP,由终端路由器对设备IP地址网段进行判断,如果为访客网段,则进入步骤(S6),如果为服务器网段或员工网段,由内网服务器判断接入设备MAC地址是否与账号绑定,如果已绑定,则进入步骤(S8),如果未绑定,则进入步骤(S7);如果为具有dhcp报文的discover报文,则为动态IP,进入步骤(S5)。
(S5)由内网服务器判断接入设备MAC地址是否与账号绑定,如果已绑定,则终端路由器分配绑定员工网段IP地址,进入步骤(S8);如果未绑定,则终端路由器分配访客网段IP地址,进入步骤(S6);
(S6)由终端路由器对设备访问网段进行判断,如果访问内网网络,则进入步骤(S7);如果设备访问外网网络,则根据第一功能开关进行相应处理,如果第一功能开关打开,表示允许访客网段设备访问外网网络,则进入步骤(S8),如果第一功能开关关闭,表示不允许访客网段设备访问外网网络,则进入步骤(S7)。
(S7)内网服务器认证机制发生响应,设备通过内网账号和相应密码进行认证,通过认证后,临时放行此设备并设置临时放行时间,如果设备通过认证后仍为动态IP的访客网段IP地址,在临时放行时间内,设备向终端路由器发送request续租报文,终端路由器回复设备NACK报文并重新分配员工网段IP地址,并将设备的MAC地址与IP地址进行绑定,进入步骤(S8);如果设备通过认证后IP地址为静态IP的访客网络地址,该设备临时放行时间到期后,认证机制产生相应,设备在认证机制中再次进行认证;若设备认证未通过,则拒绝该设备的访问。
(S8)设备向终端路由器发送自检ARP,终端路由器判断当前设备的MAC和IP是否与终端路由器记录一致,如果不一致,则终端路由器判断具有恶意设备静态IP手动设置为服务器网段或员工网段地址形成冲突,触发ARP欺骗保护机制,保护内网安全;如果一致且设备IP为员工网段IP地址,则进入步骤(S9);
(S9)内网服务器放行该设备的所有访问,设备进行跨网段数据访问时,其访问数据通过终端路由器进行三层传输,由终端路由器进行控制。
为了便于对员工的管理,员工网段的设备进行访问时,内网服务器将设备的MAC地址登陆天数进行记录。
在实际对内网的配置中,其交换机为二层交换机,在内网服务器设置相应的认证机制;终端路由器将网段进行划分,内网服务器和员工设备IP对应配置于服务器网段和员工网段中,并将其IP地址和MAC地址通过认证表单进行记录和绑定,设立功能开关和ARP欺骗保护机制;为了保护内网安全,设置较短的访客网络的续租时间,在续租时间内,通过认证后的访客网段地址设备可以进行短时间的放行,续租时间过后则需要再次进行相应的认证。而连接内网的所有设备,均需要向终端路由器发送自检ARP,终端路由器判断当前设备的MAC和IP是否与终端路由器记录一致,不一致则触发ARP欺骗保护内网。同时,根据实际需求,还可以设置相应的网络服务平台,员工在网络服务平台内绑定其内网账号,当有新设备绑定该内网账号时,内网服务器将该设备信息反馈至网络服务平台,给日常使用提供便利,也防止了恶意设备的入侵。
本发明通过上述设计,有效地阻止了非法入侵的内网的情况发生,保证了内网的安全。
上述实施例仅为本发明的优选实施方式之一,不应当用于限制本发明的保护范围,但凡在本发明的主体设计思想和精神上做出的毫无实质意义的改动或润色,其所解决的技术问题仍然与本发明一致的,均应当包含在本发明的保护范围之内。
Claims (9)
1.一种防止非法访问内网的内网保护方法,其特征在于,包括以下步骤:
(S1)设立终端路由器、内网服务器和交换机,将内网服务器和交换机分别与终端路由器进行连接,将员工设备与交换机进行连接;
(S2)在内网服务器设立每个员工的内网网络的内网账号和与内网账号对应的密码,设立与内网账号相对应的认证表单,将员工设备的IP地址和MAC地址添加于认证表单中进行绑定,建立认证机制;
(S3)在终端路由器将IP网段分为服务器网段、员工网段和访客网段,将内网服务器和员工设备IP对应配置于服务器网段和员工网段中,然后在终端路由器上设立用于防止ARP欺骗的ARP欺骗保护机制以及WiFi账号和密码;
(S4)设备通过WiFi账号和密码进行内网网络接入,由终端路由器判断设备IP属性,如果设备是动态IP,则进入步骤(S5);如果设备是静态IP,则终端路由器判断设备IP地址网段进行相应的接入;
(S5)由内网服务器判断接入设备MAC地址是否与内网账号绑定,如果已绑定,则终端路由器分配绑定员工网段IP地址,进入步骤(S8);如果未绑定,则终端路由器分配访客网段IP地址,进入步骤(S6);
(S6)由终端路由器对设备访问网段进行判断,如果访问内网网络,则进入步骤(S7);如果设备访问外网网络,则根据终端路由器设置的访问权限做相应的接入;
(S7)内网服务器认证机制发生响应,设备通过内网账号和相应密码进行认证,通过认证后,临时放行此设备并设置临时放行时间,如果设备通过认证后仍为动态IP的访客网段IP地址,在临时放行时间内,设备向终端路由器发送request续租报文,终端路由器回复设备NACK报文并重新分配员工网段IP地址,并将设备的MAC地址与IP地址进行绑定,进入步骤(S8);若设备认证未通过,则拒绝该设备的访问;
(S8)设备向终端路由器发送自检ARP,终端路由器判断当前设备的MAC和IP是否与终端路由器记录一致,如果不一致,则终端路由器判断该设备静态IP手动设置为服务器网段或员工网段地址从而形成冲突,触发ARP欺骗保护机制,保护内网安全;如果一致且设备IP为员工网段IP地址,则进入步骤(S9);
(S9)内网服务器放行该设备的所有访问。
2.根据权利要求1所述的一种防止非法访问内网的内网保护方法,其特征在于,所述步骤(S4)中,终端路由器通过设备接入时发送的discover报文判断设备IP属性,如果为无dhcp报文的discover报文,则为静态IP,如果为具有dhcp报文的discover报文,则为动态IP。
3.根据权利要求2所述的一种防止非法访问内网的内网保护方法,其特征在于,所述步骤(S3)中,在终端路由器还设置了用于是否允许访客网段设备访问外网网络的第一功能开关,用于是否允许访客网段设备访问内网网络的第二功能开关;第一功能开关和第二功能开关的打开或关闭均由内网管理员进行设置。
4.根据权利要求3所述的一种防止非法访问内网的内网保护方法,其特征在于,所述步骤(S4)中,终端路由器对静态IP设备判断IP地址网段进行接入的具体过程为:
(S41)由终端路由器对设备IP地址网段进行判断,如果为访客网段,则进入步骤(S6),如果为服务器网段或员工网段,则进入步骤(S42);
(S42)由内网服务器判断接入设备MAC地址是否与账号绑定,如果已绑定,则进入步骤(S8);如果未绑定,则进入步骤(S7)。
5.根据权利要求4所述的一种防止非法访问内网的内网保护方法,其特征在于,所述步骤(S6)中,设备访问外网网络,根据终端路由器设置的访问权限做相应接入的具体过程为:如果第一功能开关打开,表示允许访客网段设备访问外网网络,则进入步骤(S8),如果第一功能开关关闭,表示不允许访客网段设备访问外网网络,则进入步骤(S7)。
6.根据权利要求5所述的一种防止非法访问内网的内网保护方法,其特征在于,所述步骤(S7)中:如果设备通过认证后IP地址为静态IP的访客网络地址,该设备临时放行时间到期后,认证机制产生响应,设备在认证机制中再次进行认证。
7.根据权利要求6所述的一种防止非法访问内网的内网保护方法,其特征在于,所述步骤(S7)中的认证方式包括WEB认证、portal认证和微信认证。
8.根据权利要求7所述的一种防止非法访问内网的内网保护方法,其特征在于,所述步骤(S9)中,设备进行跨网段数据访问时,其访问数据通过终端路由器进行三层传输,由终端路由器进行控制。
9.根据权利要求8所述的一种防止非法访问内网的内网保护方法,其特征在于,所述步骤(S2)一个账号的认证表单中,可以添加多台设备的MAC地址和IP地址进行绑定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910146962.0A CN109922058B (zh) | 2019-02-27 | 2019-02-27 | 一种防止非法访问内网的内网保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910146962.0A CN109922058B (zh) | 2019-02-27 | 2019-02-27 | 一种防止非法访问内网的内网保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109922058A CN109922058A (zh) | 2019-06-21 |
| CN109922058B true CN109922058B (zh) | 2021-01-05 |
Family
ID=66962690
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910146962.0A Active CN109922058B (zh) | 2019-02-27 | 2019-02-27 | 一种防止非法访问内网的内网保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109922058B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244570B (zh) * | 2021-11-18 | 2023-12-22 | 广东电网有限责任公司 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238548A (zh) * | 2011-08-09 | 2011-11-09 | 陈佳阳 | 内外网分离架构的无线路由器及其共享无线网络的方法 |
| CN103269326A (zh) * | 2012-12-22 | 2013-08-28 | 潘铁军 | 一种面向泛在网的安全设备、多应用***和安全方法 |
| CN104579626A (zh) * | 2014-08-13 | 2015-04-29 | 中铁信安(北京)信息安全技术有限公司 | 一种基于单向传输的电子文档输出管控***及方法 |
| CN104618310A (zh) * | 2013-11-04 | 2015-05-13 | 国家电网公司 | 一种内网信息保护方法与*** |
| EP2328319B1 (en) * | 2008-09-19 | 2015-09-09 | Huawei Digital Technologies (Cheng Du) Co. Limited | Method, system and server for realizing the secure access control |
| CN106714176A (zh) * | 2017-01-04 | 2017-05-24 | 北京百度网讯科技有限公司 | 一种内网服务的访问控制方法及装置 |
-
2019
- 2019-02-27 CN CN201910146962.0A patent/CN109922058B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2328319B1 (en) * | 2008-09-19 | 2015-09-09 | Huawei Digital Technologies (Cheng Du) Co. Limited | Method, system and server for realizing the secure access control |
| CN102238548A (zh) * | 2011-08-09 | 2011-11-09 | 陈佳阳 | 内外网分离架构的无线路由器及其共享无线网络的方法 |
| CN103269326A (zh) * | 2012-12-22 | 2013-08-28 | 潘铁军 | 一种面向泛在网的安全设备、多应用***和安全方法 |
| CN104618310A (zh) * | 2013-11-04 | 2015-05-13 | 国家电网公司 | 一种内网信息保护方法与*** |
| CN104579626A (zh) * | 2014-08-13 | 2015-04-29 | 中铁信安(北京)信息安全技术有限公司 | 一种基于单向传输的电子文档输出管控***及方法 |
| CN106714176A (zh) * | 2017-01-04 | 2017-05-24 | 北京百度网讯科技有限公司 | 一种内网服务的访问控制方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 孙晓峰,刘晓棠.动态智能IP地址管理模式分析.《网络天地》.2015,全文. * |
| 赵颖.大数据时代计算机网络信息安全及防护策略研究.《信息与电脑》.2018,(第23期),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109922058A (zh) | 2019-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109729180B (zh) | 全体系智慧社区平台 | |
| KR101314445B1 (ko) | 통합된 네트워크 및 물리적 구내 접근 제어 서버 | |
| US6745333B1 (en) | Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself | |
| KR101910605B1 (ko) | 무선 단말의 네트워크 접속 제어 시스템 및 방법 | |
| CN106792684B (zh) | 一种多重防护的无线网络安全防护***及防护方法 | |
| CN101436934A (zh) | 一种控制用户上网的方法、***及设备 | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| CN104202338A (zh) | 一种适用于企业级移动应用的安全接入方法 | |
| CN109067937A (zh) | 终端准入控制方法、装置、设备、***及存储介质 | |
| CN101188557A (zh) | 管理用户上网行为的方法、客户端、服务器和*** | |
| KR101252787B1 (ko) | 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법 | |
| CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控*** | |
| US20140150069A1 (en) | Method for distinguishing and blocking off network node | |
| CN109995769A (zh) | 一种多级异构跨区域的全实时安全管控方法 | |
| CN101599977A (zh) | 网络业务的管理方法和*** | |
| CN109150853A (zh) | 基于角色访问控制的入侵检测***及方法 | |
| CN102055748B (zh) | 电子公告板管理方法和*** | |
| CN109922058B (zh) | 一种防止非法访问内网的内网保护方法 | |
| CN107360178A (zh) | 一种使用白名单控制网络访问的方法 | |
| KR102510093B1 (ko) | 네트워크에서의 접근 통제 시스템 및 그 방법 | |
| CN105681352B (zh) | 一种无线网络访问安全管控方法和*** | |
| CN102316119B (zh) | 一种安全控制方法和设备 | |
| US10298588B2 (en) | Secure communication system and method | |
| EP3769554B1 (de) | Verfahren und system zur autorisierung der kommunikation eines netzwerkknotens |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |