[发明专利]基于端末的网络访问控制系统

说明书

【技术领域】

本发明涉及计算机通讯领域，尤其涉及一种基于端末的网络访问控制系统。

【背景技术】

传统的网络隔离技术控制，一般通过配置交换机或防火墙来实现，对硬件要求较高，兼容性较差，在用户访问权限需要动态变化的情况下，还需要对频繁交换机进行设置，而交换机又大多分散，配置起来就显得十分麻烦，而且在交换机或防火墙上配置大量ACL(访问控制列表)会对交换机的性能产生影响，导致网络性能下降，部分非网管交换机无法支持此类的配置；同时对于用户外接3G上网卡或无线网卡等上网方式，则无法通过配置交换机或防火墙来达到限制网络访问和控制网络流量。

在传统的网络隔离技术，如果需要限制某台终端对网络访问的权限，则需要去配置防火墙，或者交换机等设备的ACL表或VLAN(虚拟局域网)，对于用户的访问权限需要动态变更，则需要频繁的更改交换机或防火墙的配置，使的硬件的所承载的压力变大，也给管理员的维护带来了难题，同时传统方式只能够限制经过交换机或则防火墙上的数据流量，对于外联的无线网卡，3G上网卡等设备无法做到限制。其传统网络隔离技术上存在大量配置所带来的复杂性与设备兼容性的问题以及以下安全问题：

1)用户计算机中毒，需要禁止其入网，或隔离到网络修复区。需要对用户所接入的交换机进行配置，限制其入网。如果接入层上使用的是非网管交换机，则无法对其进行有效的隔离。

2)用户通过外接3G上网卡或无线网卡等方式上网，则无法通过配置交换机或防火墙来达到限制网络访问和控制网络流量的目的，从而造成安全性隐患。

而且对于不同用户对网络访问权限的差异性，需要管理员单独进行配置，管理维护成本很高，难度很大。

现有技术中提供了一种“安全管理方法、认证客户端、服务器及安全管理系统”，见公开号为：CN102164136A，公开日为：2011.08.24的中国专利，其安全管理方法的特征包括：认证客户端获取服务器下发携带有安全配置标准的安全控制信息；认证客户端根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准；若不符合，则所述认证客户端向所述服务器发送安全配置不符合标准通知，以使所述服务器对所述用户进行网络访问控制。其认证客户端的特征在于，包括：安全控制信息获取模块，用于获取服务器下发携带有安全配置标准的安全控制信息；安全配置检测模块，用于根据所述安全控制信息检测用户的安全配置是否符合所述安全配置标准；通知发送模块，用于若所述用户的安全配置不符合所述安全配置标准，则向所述服务器发送安全配置不符合标准通知，以使所述服务器对所述用户进行网络访问控制。该发明的安全管理方法、认证客户端、服务器及安全管理系统能够当同时存在大量用户接入上网时仍确保服务器的高性能；解决了现有技术中判断用户的杀毒软件信息是否合法导致认证服务器性能降低的问题。但该发明不能够根据客户机自身的安全性，动态变更客户机网络访问权限，包括切换内外网；也不能动态配置安全控制信息，以及无法限制客户机外接其他网络绕过网络访问的控制。

【发明内容】

本发明要解决的技术问题，在于提供一种基于端末的网络访问控制系统，其能在端末上对计算机的网络访问行为进行限制，提高网络的安全性，减少了大量配置交换机所带来的复杂性。

本发明是这样实现的：一种基于端末的网络访问控制系统，包括网络准入控制模块、网络限制模块以及网卡中间层过滤驱动模块；

所述网络准入控制模块根据用户的身份进行网络认证来确定是否允许用户使用的终端设备连接网络；

所述网络限制模块负责将服务器端下发的网络访问控制策略进行解析，并转换成能供所述网卡中间层过滤驱动模块处理的访问控制列表，所述访问控制列表包括IP地址/IP地址范围字段、本地端口范围字段、远程端口范围字段、internet使用的协议类型字段，终端设备中网络数据帧的流量方向字段以及权限字段；将访问控制列表分发给所述网卡中间层过滤驱动模块；所述网络访问控制策略包括：访问的IP地址/IP地址范围信息、本地端口范围信息、远程端口范围信息、internet使用的协议类型信息、终端设备中网络数据帧的流量方向信息、权限信息；所述权限信息包括：允许和禁止，所述终端设备中网络数据帧的流量方向信息包括接收和发送；

所述网卡中间层过滤驱动模块负责对终端设备的网卡接收的网络数据帧进行过滤，拦截所述网络访问控制策略中禁止的网络访问行为。

本发明具有如下优点：1、无需对交换机等设备进行ACL，VLAN等配置，网络限制在端末客户机执行，配置维护简单，不会影响网络设备性能。