[发明专利]一种防止非法访问内网的内网保护方法

权利要求书

1.一种防止非法访问内网的内网保护方法，其特征在于，包括以下步骤：

(S1)设立终端路由器、内网服务器和交换机，将内网服务器和交换机分别与终端路由器进行连接，将员工设备与交换机进行连接；

(S2)在内网服务器设立每个员工的内网网络的内网账号和与内网账号对应的密码，设立与内网账号相对应的认证表单，将员工设备的IP地址和MAC地址添加于认证表单中进行绑定，建立认证机制；

(S3)在终端路由器将IP网段分为服务器网段、员工网段和访客网段，将内网服务器和员工设备IP对应配置于服务器网段和员工网段中，然后在终端路由器上设立用于防止ARP欺骗的ARP欺骗保护机制以及WiFi账号和密码；

(S4)设备通过WiFi账号和密码进行内网网络接入，由终端路由器判断设备IP属性，如果设备是动态IP，则进入步骤(S5)；如果设备是静态IP，则终端路由器判断设备IP地址网段进行相应的接入；

(S5)由内网服务器判断接入设备MAC地址是否与内网账号绑定，如果已绑定，则终端路由器分配绑定员工网段IP地址，进入步骤(S8)；如果未绑定，则终端路由器分配访客网段IP地址，进入步骤(S6)；

(S6)由终端路由器对设备访问网段进行判断，如果访问内网网络，则进入步骤(S7)；如果设备访问外网网络，则根据终端路由器设置的访问权限做相应的接入；

(S7)内网服务器认证机制发生响应，设备通过内网账号和相应密码进行认证，通过认证后，临时放行此设备并设置临时放行时间，如果设备通过认证后仍为动态IP的访客网段IP地址，在临时放行时间内，设备向终端路由器发送request续租报文，终端路由器回复设备NACK报文并重新分配员工网段IP地址，并将设备的MAC地址与IP地址进行绑定，进入步骤(S8)；若设备认证未通过，则拒绝该设备的访问；

(S8)设备向终端路由器发送自检ARP，终端路由器判断当前设备的MAC和IP是否与终端路由器记录一致，如果不一致，则终端路由器判断该设备静态IP手动设置为服务器网段或员工网段地址从而形成冲突，触发ARP欺骗保护机制，保护内网安全；如果一致且设备IP为员工网段IP地址，则进入步骤(S9)；

(S9)内网服务器放行该设备的所有访问。

2.根据权利要求1所述的一种防止非法访问内网的内网保护方法，其特征在于，所述步骤(S4)中，终端路由器通过设备接入时发送的discover报文判断设备IP属性，如果为无dhcp报文的discover报文，则为静态IP，如果为具有dhcp报文的discover报文，则为动态IP。

3.根据权利要求2所述的一种防止非法访问内网的内网保护方法，其特征在于，所述步骤(S3)中，在终端路由器还设置了用于是否允许访客网段设备访问外网网络的第一功能开关，用于是否允许访客网段设备访问内网网络的第二功能开关；第一功能开关和第二功能开关的打开或关闭均由内网管理员进行设置。

4.根据权利要求3所述的一种防止非法访问内网的内网保护方法，其特征在于，所述步骤(S4)中，终端路由器对静态IP设备判断IP地址网段进行接入的具体过程为：

(S41)由终端路由器对设备IP地址网段进行判断，如果为访客网段，则进入步骤(S6)，如果为服务器网段或员工网段，则进入步骤(S42)；

(S42)由内网服务器判断接入设备MAC地址是否与账号绑定，如果已绑定，则进入步骤(S8)；如果未绑定，则进入步骤(S7)。

5.根据权利要求4所述的一种防止非法访问内网的内网保护方法，其特征在于，所述步骤(S6)中，设备访问外网网络，根据终端路由器设置的访问权限做相应接入的具体过程为：如果第一功能开关打开，表示允许访客网段设备访问外网网络，则进入步骤(S8)，如果第一功能开关关闭，表示不允许访客网段设备访问外网网络，则进入步骤(S7)。

6.根据权利要求5所述的一种防止非法访问内网的内网保护方法，其特征在于，所述步骤(S7)中：如果设备通过认证后IP地址为静态IP的访客网络地址，该设备临时放行时间到期后，认证机制产生响应，设备在认证机制中再次进行认证。