[发明专利]实现网络终端安全接入公共网络的方法和系统及其专用网络接入控制器

说明书

技术领域

本发明涉及计算机网络安全技术，特别涉及一种实现网络终端安全接入公共网络的方法和系统。 

背景技术

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。简单的来讲，防火墙是一种功能，它使得内部网络和外部网络或Internet互相隔离，以此来保护内部网络或主机。从功能上讲，其主要完成包过滤，包的透明转发，阻挡外部攻击，记录外部攻击等功能。 

为了保证某一网络终端在接入公共IP网络进行网络访问时的安全，一般使用防火墙技术，目前，防火墙技术的实现方法大致可以分为两类：防火墙硬件设备和防火墙软件系统。 

防火墙硬件设备：这里说的硬件防火墙基于专用的硬件平台，或者是基于PC架构的计算机，这些计算机上运行一些专用的操作系统和防火墙软件，使用这类防火墙，需要用户对所工作的操作系统平台和硬件平台都比较熟悉才能对其进行配置和管理，独立的硬件设备成本高，并且该设备存在于网络拓扑结构中，有被恶意入侵的可能。 

防火墙软件系统：软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙软件占用网络终端本身的处理器资源，使用该防火墙软件系统需要用户对所工作的操作系统平台比较熟悉，并且该软件系统有被恶意入侵的可能。 

在目前的防火墙技术和应用中，有部分防火墙产品具备远程配置功能，用户可以基于该防火墙在网络中的IP地址对其进行远程访问和配置，但在网络拓扑结构中被分配了相应IP地址的防火墙设备存在被恶意入侵的可能，并且都有配置另外的硬件和复杂性操作系统的需要，在使用和日常维护的工作中需要有专业技术人员的配置和管理。而对于一般小型的企业型计算机网络和个人或家庭计算机网络来说，不全部具备对当前市场上提供防火墙产品的管理和维护的技术基础，也无法承担聘请专业技术人员进行防火墙产品管理和维护所带来的成本。 

发明内容

本发明要解决的技术问题是，既能确保网络终端安全接入公共网络，又能方便用户使用。 

为解决上述技术问题，本发明提供了一种实现网络终端安全接入公共网络的方法，其特征在于，包括以下步骤： 

步骤一、网络终端(NT：Net Terminal)用户安装一网络接入控制器 (NTAC：NT Access Controller)，将网络接入控制器串接在网络终端和公共网络之间的链路上，公共网络上接入一网络接入控制服务器(Server)； 

步骤二、当网络终端用户需要对网络接入控制器的防火墙策略库进行配置时，进入步骤三；否则进入步骤十； 

步骤三、网络终端用户登录网络接入控制服务器，在网络终端、网络接入控制器和网络接入控制服务器之间建立链路； 

步骤四、网络接入控制服务器对网络终端用户和网络接入控制器进行验证； 

步骤五、网络终端用户向网络接入控制服务器提交配置请求信息； 

步骤六、网络接入控制服务器根据配置请求信息生成相应的一组配置命令数据包； 

步骤七、网络接入控制服务器发送该组配置命令数据包到网络终端，并由串接在步骤一所述数据链路上的网络接入控制器截获该组配置命令数据包； 

步骤八、网络接入控制器从截获的配置命令数据包中解析出对应的配置命令，并执行该配置命令，完成对防火墙策略配置的更新； 

步骤九、网络终端接收该组配置命令数据包，确认其完整性，并将确认结果返回到网络接入控制服务器； 

步骤十、网络终端用户在网络接入控制器配置的防火墙策略的安全保护下，访问公共网络。