[发明专利]基于端末的网络访问控制系统

权利要求书

1.一种基于端末的网络访问控制系统，其特征在于：包括网络准入控制模块、网络限制模块以及网卡中间层过滤驱动模块；

所述网络准入控制模块根据用户的身份进行网络认证来确定是否允许用户使用的终端设备连接网络；

所述网络限制模块负责将服务器端下发的网络访问控制策略进行解析，并转换成能供所述网卡中间层过滤驱动模块处理的访问控制列表，所述访问控制列表包括IP地址/IP地址范围字段、本地端口范围字段、远程端口范围字段、internet使用的协议类型字段，终端设备中网络数据帧的流量方向字段以及权限字段；将访问控制列表分发给所述网卡中间层过滤驱动模块；所述网络访问控制策略包括：访问的IP地址/IP地址范围信息、本地端口范围信息、远程端口范围信息、internet使用的协议类型信息、终端设备中网络数据帧的流量方向信息、权限信息；所述权限信息包括：允许和禁止，所述终端设备中网络数据帧的流量方向信息包括接收和发送；

所述网卡中间层过滤驱动模块负责对终端设备的网卡接收的网络数据帧进行过滤，拦截所述网络访问控制策略中禁止的网络访问行为。

2.根据权利要求1所述的基于端末的网络访问控制系统，其特征在于：所述网卡中间层过滤驱动模块具体工作如下：

网卡中间层过滤驱动模块对网卡接收的网络数据帧进行识别操作，根据数据帧提取出网络数据包，判断网络数据包是否为IP数据包，否，则将网络数据包进行放行，是，则根据IP数据包的格式，解析出源地址信息、目的地址信息、源端口信息、目的端口信息以及internet使用的协议类型信息；并根据解析的这些信息对所述访问控制列表进行查找比较，如果发现访问控制列表中存在对应的IP数据包解析出来的信息，则判断访问控制列表中对应信息行中的权限信息，如果权限信息为禁止，则丢弃所述IP数据包，如果权限信息为允许，则将IP数据包放行；如果访问控制列表中不存在对应的IP数据包解析出来的信息，则放行IP数据包；其中，所述解析的这些信息对所述访问控制列表进行查找比较时，访问控制列表中的IP地址/IP地址范围、本地端口范围及远程端口范围在不同的所述流量方向上有不同的比较方式：所述终端设备中网络数据帧的流量方向信息为发送时，访问控制列表中的IP地址/IP地址范围、本地端口范围、远程端口范围、internet使用的协议类型需要分别与IP数据包解析出的目的地址、源端口、目的端口及协议类型进行比较是否匹配；所述终端设备中网络数据帧的流量方向信息为接收时，访问控制列表中的IP地址/IP范围、本地端口范围、远程端口范围、internet使用的协议类型需要分别与IP数据包解析出的源地址、目的端口、源端口及协议类型进行比较是否匹配。

3.根据权利要求1所述的基于端末的网络访问控制系统，其特征在于：还包括管理员变更网络访问控制策略模块；该模块是管理员直接在服务器端变更网络访问控制策略后下发变更后的网络访问控制策略触发所述网络限制模块进行操作。