[发明专利]一种防止非法访问内网的内网保护方法

摘要

本发明公开了一种防止非法访问内网的内网保护方法，设立终端路由器、内网服务器和交换机，将内网服务器和交换机分别与终端路由器进行连接，将员工设备与交换机进行连接，并将员工设备MAC地址与账号进行绑定；将访问的IP网段分为服务器网段、员工网段、访客网段防止了非法访问，通过终端路由器和内网服务器对访问设备的IP和网段进行分类判定，并进行相应的接入处理，设立相应的功能开关，当未绑定MAC地址的设备手动设置为服务器网段和员工网段地址时触发ARP欺骗保护机制，保护内网安全。本发明防止了非法接入访问，保护了内网安全。

主权项

1.一种防止非法访问内网的内网保护方法，其特征在于，包括以下步骤：(S1)设立终端路由器、内网服务器和交换机，将内网服务器和交换机分别与终端路由器进行连接，将员工设备与交换机进行连接；(S2)在内网服务器设立每个员工的内网网络的内网账号和与内网账号对应的密码，设立与内网账号相对应的认证表单，将员工设备的IP地址和MAC地址添加于认证表单中进行绑定，建立认证机制；(S3)在终端路由器将IP网段分为服务器网段、员工网段和访客网段，将内网服务器和员工设备IP对应配置于服务器网段和员工网段中，然后在终端路由器上设立用于防止ARP欺骗的ARP欺骗保护机制以及WiFi账号和密码；(S4)设备通过WiFi账号和密码进行内网网络接入，由终端路由器判断设备IP属性，如果设备是动态IP，则进入步骤(S5)；如果设备是静态IP，则终端路由器判断设备IP地址网段进行相应的接入；(S5)由内网服务器判断接入设备MAC地址是否与内网账号绑定，如果已绑定，则终端路由器分配绑定员工网段IP地址，进入步骤(S8)；如果未绑定，则终端路由器分配访客网段IP地址，进入步骤(S6)；(S6)由终端路由器对设备访问网段进行判断，如果访问内网网络，则进入步骤(S7)；如果设备访问外网网络，则根据终端路由器设置的访问权限做相应的接入；(S7)内网服务器认证机制发生响应，设备通过内网账号和相应密码进行认证，通过认证后，临时放行此设备并设置临时放行时间，如果设备通过认证后仍为动态IP的访客网段IP地址，在临时放行时间内，设备向终端路由器发送request续租报文，终端路由器回复设备NACK报文并重新分配员工网段IP地址，并将设备的MAC地址与IP地址进行绑定，进入步骤(S8)；若设备认证未通过，则拒绝该设备的访问；(S8)设备向终端路由器发送自检ARP，终端路由器判断当前设备的MAC和IP是否与终端路由器记录一致，如果不一致，则终端路由器判断该设备静态IP手动设置为服务器网段或员工网段地址从而形成冲突，触发ARP欺骗保护机制，保护内网安全；如果一致且设备IP为员工网段IP地址，则进入步骤(S9)；(S9)内网服务器放行该设备的所有访问。