[发明专利]内联网计算机与因特网未授权连接监测系统及方法

说明书

技术领域

本发明涉及计算机网络安全领域，具体地说，是在一个要求与因特网隔离的内联网上监测内联网上是否有计算机与因特网进行未授权连接的系统。此外，本发明还公开了其监测方法。

背景技术

对于有机密数据或运行关键服务的内联网，一般采取一定的措施来保证内联网的安全，就是尽量与不受信任的因特网隔离开，避免受到外部的因特网的攻击，或者数据泄露。这种安全措施根据保密的程度，采用的方法有：

1、使用物理隔离的方法，也就是使内联网与因特网没有物理线

   路的连接。

2、在网络的边界安装防火墙等访问控制设备。防火墙的作用是

   设置一定的访问权限，只有访问权限之内的用户才能够通过

   防火墙进行访问，如果不在访问权限之内，就被防火墙挡住。

这两种方法的缺点是：内联网用户可能通过调制解调器拨号等方法直接连入因特网，来破坏内联网与因特网物理隔绝性，或避开访问控制的权限要求。如图1所示。正常的内联网是使用防火墙作为访问控制设备来控制局域网内机器与不受信任的广域网上的机器的通讯，所有进出局域网的通讯都需要等到防火墙的授权。防火墙保证了局域网免受来自广域网的攻击，保护内联网内的中重要服务的正常运行，防止机密数据被泄漏。图1右侧线路下面的器件就是一个防火墙，图1底下的一排线路是内联网及网上的用户，上面的结构表示因特网，防火墙上面的是一个路由器，图1左侧表示一台内联网的计算机通过一台调制解调器拨号直接接入因特网，这时，因特网通过该计算机与内联网的通讯将没有任何访问控制机制，防火墙就失去了其应有的作用。因特网上可以发起对该计算机的攻击，如果攻击成功，还可以进一步对整个内联网进行攻击。

为了监测和防止这种违反安全策略直接与因特网相连的情况出现，采用的方式一般有两种方式：

一是在集团的电话程控交换机上禁止因特网服务提供商的拨入电话号码，这种方法的缺点是因特网服务提供商是在不断变化的，其电话号码也可能不断变化，不大可能禁止所有的因特网服务提供商拨入电话号码。加上随着技术的发展，现在接入因特网方法越来越多，可以使用无线上网卡或手机上网的方式，集团的电话程控交换机就无能为力了。

另一种方法是使用一台计算机控制调制解调器给所有怀疑的集团电话拨号，根据被拨号电话的反应来判断该电话是否被用于进行拨号。这种方法的缺点除了上述的接入因特网的方法不一定使用集团的电话外，还会影响对被探测电话的使用者。根据检索结果，还未见有使用网络方法来监测内联网上计算机直接与因特网相连的产品、设备和方法。

发明内容

本发明的目的是提供一种内联网计算机与因特网未授权连接监测系统及方法，无论内联网计算机通过哪一种方式接入因特网，都能被网络发现，实时探测出被监控网段上所有存在未授权外联的计算机的IP地址。

为实现上述目的，本发明的解决方案是：一种内联网计算机与因特网未授权连接监测系统，它包括：

在与因特网隔离的支持TCP/IP协议的内联网中设置的内网服务器，用于发送欺骗的探测网络数据到内联网内的目标计算机；

连接在因特网上的外网服务器，用于接收目标计算机对探测网络数据的应答，根据是否收到应答来判断被监测的目标计算机是否接入因特网或与因特网断开。

其中，探测网络数据其IP帧头中，源IP地址使用外网服务器绑定的IP地址，目的IP地址为内联网内目标计算机的IP地址。

本发明的内联网计算机与因特网未授权连接监测方法包括：

a、内网服务器连接于内联网，外网服务器绑定于与因特网相连的一个IP地址，事先获取内网服务器的MAC地址和外网服务器绑定的IP地址；

b、内网服务器按获取的上述配置信息伪造探测网络数据；

c、内网服务器向目标计算机发送上述探测网络数据；

d、外网服务器根据返回的探测网络数据的应答数据来判断目标计算机是否直接与因特网相连：外网服务器如果收不到任何应答数据则表示该计算机没有直接与因特网相连；如果收到应答数据，则判断是否是通过授权的路由进行应答，如果是，则该计算机没有与因特网相连，如果不是，则可断定其与因特网相连。