本实用新型专利技术公开了一种用于局域网络的网络准入系统,局域网络包括与外部网络相连的核心网络交换机,与核心网络交换机网络连接的多个客户端和至少一个应用服务器;网络准入系统,包括应用控制网关、管理服务器、控制服务器,应用控制网关串接部署或者旁路部署在局域网络的入口处,管理服务器和控制服务器均与核心网络交换机网络连接。本实用新型专利技术,能对访问局域网络的网络行为进行有效管理。
【技术实现步骤摘要】
本技术涉及数字通信
,具体涉及一种用于局域网络的网络准入系统。
技术介绍
目前,绝大多数政府机构、企业、金融机构、教育机构、NGO非政府机构,将自己的业务数据化,并将业务数据存储在自己的应用服务器、专业工作站、及用户客户端。并按照一定的网络拓扑结构将应用服务器、专业工作站、及成百上千的客户端网络连接起来,构成局域网络。再通过业务流程再造,将业务流程网络化。为了便于和外部单位进行业务交流或者整合,该局域网络,还需通过路由器与外部互联网互联互通。数据资源共享和数据资源有效利用为目的的计算机网络,开放性是其最大的特点。开放性也导致计算机网络具有与生俱来的体系脆弱性。同时,计算机网络的物理支撑结构、通信计算机运行的操作系统与应用软件、网络通信协议均存在缺陷,上述缺陷的存在,进一步加深计算机网络的脆弱性。计算机网络的脆弱性,容易造成来自计算机网络内部或者外部的网络攻击,网络攻击会造成计算机网络瘫痪,造成运行在计算机网络上的业务中断。对于局域网络来说,来自内部的网络攻击,主要由于政府机构、企业、金融机构、教育机构、NGO非政府机构等单位缺乏有效的技术手段,对局域网络内的服务器、工作站、客户端的设置情况进行有效管控,及员工的网络安全意识淡薄,不对客户端的操作系统设置密码,不进行系统更新及防毒软件病毒库更新;同时,员工为了个人方便,私自修改电脑安全设置,使用P2P下载工具,如BT、电驴下载网络数据,采用代理浏览与工作无关的网站,导致钓鱼网站的插件植入,及黑客借助浏览器或者应用软件的安全漏洞入驻内部客户端。一旦,黑客控制内部客户端,就可以采用内部客户端,对内部局域网进行攻击,窃取或者篡改业务数据,损坏局域网络的网络环境。目前,基于内部局域网的安全管理,主要在外部互联网与局域网络之间设置网络防火墙,在应用服务器、专业工作站、及用户客户端上安装相应的防火墙软件,通过网络防火墙阻断网络入侵,基于安全策略的网络防火墙对于新出现的网络攻击类型或者现有网络攻击的变种的防御能力较差。因此,有实力的单位还在内部局域网内设置入侵检测系统和漏洞扫描器,通过漏洞扫描器及时发现局域网络内的安全漏洞,通过入侵检测系统及时发现网络攻击。上述技术方案能解决绝大多数外部攻击和入侵,但如果黑客通过蠕虫或者木马变种进入内部局域网后,从局域网络内部进行网络攻击,就无法对局域网络实现有效的安全管理,因此,管
理内部客户端的网络行为,对杜绝来自局域网络内部的网络攻击非常重要。
技术实现思路
本技术所要解决的技术问题是提供一种能对访问局域网络的网络行为进行有效管理的用于局域网络的网络准入系统,从而进一步大幅降低从内部局域网进行网络攻击的可能性,进一步提高内部局域网的网络安全性。本技术解决技术问题所采用的技术方案是:用于局域网络的网络准入系统,局域网络包括与外部网络相连的核心网络交换机,与核心网络交换机网络连接的多个客户端和至少一个应用服务器;网络准入系统,包括应用控制网关、管理服务器、控制服务器,应用控制网关串接部署或者旁路部署在局域网络的入口处,管理服务器和控制服务器均与核心网络交换机网络连接。进一步,控制服务器包括一台主用控制服务器和一台备用控制服务器,主用控制服务器和备用控制服务器均与核心网络交换机网络连接。进一步,应用控制网关为具有逃生通道的应用控制网关。进一步,应用控制网关通过与核心网络交换机网络连接的方式旁路部署在局域网络的入口处。进一步,核心网络交换机和应用控制网关数量一样,且均为至少两台,至少两台应用控制网关采用和至少两台核心网络交换机对应网络连接的方式旁路部署在局域网络的入口处,至少两台应用控制网关之间网络连接。本技术的用于局域网络的网络准入系统适用于政府机构、企事业单位、金融机构、非政府组织的内部局域网的准入管理。与现有技术相比,本技术的有益效果是:1、本技术的用于局域网络的网络准入系统,使局域网络内的计算机客户端均达到了统一的安全设置标准,杜绝了计算机用户有意无意违反局域网络内客户端安全管理的相关规章制度。同时,在用户访问网络的整个过程中,网络准入系统均可实时对各项策略进行检查,一旦发现与预定义的策略不符,系统可以及时改变该用户访问网络资源的权限或者禁用该客户端用户接入网络,从根本上防止用户在网络使用过程中,随意改变客户端安全策略情况的发生,很好地满足了局域网络的安全管理需求。技术实现客户端安全方案在局域网络内的强制执行,将来自局域网络内部的安全威胁降至最低,大幅度提升了局域网络安全水平。2、本技术的用于局域网络的网络准入系统,由于通过优化控制服务器的设计方案,在管理服务器的管理下,实现控制服务器的双机热备及故障下的服务不间断自动切换,从而进一步提高网络准入系统的可靠性和有效性,也相应提高局域网络的网络安全性;由于通过
优化应用控制网关,使网络准入系统具有良好的故障应急能力,从而进一步提高网络准入系统的可靠性和有效性;由于通过优化应用控制网关的接入方式,避免出现应用控制网关故障带来局域网络无法与外部网络通信,从而进一步提高局域网络的可靠性;由于通过采用应用控制网关与局域网络内的核心网络交换机相匹配的技术方案,当其中一台应用控制网关失效后,另外一台应用控制网关能够通过热备份链路接管失效应用控制网关的控制功能,从而进一步提高网络准入系统的可靠性和有效性,也相应提高局域网络的网络安全性。附图说明图1为应用控制网关串接部署的本技术的用于局域网络的网络准入系统的结构框图。图2为应用控制网关旁路部署的本技术的用于局域网络的网络准入系统的结构框图。图3为具有主用控制服务器和用控制服务器的本技术的用于局域网络的网络准入系统的结构框图。图4具有两台核心网络交换机和应用控制网关的本技术的用于局域网络的网络准入系统的结构框图。具体实施方式下面结合附图和实施例对本技术进一步说明。如图1、图2所示,本技术的用于局域网络的网络准入系统,局域网络包括与外部网络相连的核心网络交换机,与核心网络交换机网络连接的多个客户端和至少一个应用服务器;网络准入系统,包括应用控制网关、管理服务器、控制服务器,应用控制网关串接部署或者旁路部署在局域网络的入口处,管理服务器和控制服务器均与核心网络交换机网络连接。上述应用控制网关,为硬件控制网关,如华三通信的H3CSecPathACG系列产品。应用控制网关,用于向隶属不同角色及不同安全状况的客户端用户开放不同的权限,也即根据控制服务器反馈的信息控制内部局域网络的客户端对内部局域网络和外部互联网的访问权限,及控制外部互联网的客户端对内部局域网络的访问权限。防止外部互联网的非授权的客户端访问内部局域网络;防止内部局域网络的合法但不安全的客户端访问内部局域网络;隔离连接到内部局域网络但没有进行安全认证的客户端访问。上述管理服务器,具有现有的网络准入控制软件系统,为网络准入系统的控制中心,负责系统的管理及日常维护。网络管理员可通过IE浏览器登录管理服务器进行日常维护操作,进行网络准入系统配置、组织人员管理、安全策略管理、补了管理、软件分发、资产管理、公告管理以及报表管理等操作。上述控制服务器,负责验证客户端用户的身份,对客户端主机进行安全检查,与应用控本文档来自技高网...
【技术保护点】
用于局域网络的网络准入系统,所述局域网络包括与外部网络相连的核心网络交换机,与核心网络交换机网络连接的多个客户端和至少一个应用服务器;其特征在于,所述网络准入系统,包括应用控制网关、管理服务器、控制服务器,所述应用控制网关串接部署或者旁路部署在局域网络的入口处,所述管理服务器和控制服务器均与核心网络交换机网络连接。
【技术特征摘要】
1.用于局域网络的网络准入系统,所述局域网络包括与外部网络相连的核心网络交换机,与核心网络交换机网络连接的多个客户端和至少一个应用服务器;其特征在于,所述网络准入系统,包括应用控制网关、管理服务器、控制服务器,所述应用控制网关串接部署或者旁路部署在局域网络的入口处,所述管理服务器和控制服务器均与核心网络交换机网络连接。2.根据权利要求1所述的用于局域网络的网络准入系统,其特征在于,所述控制服务器包括一台主用控制服务器和一台备用控制服务器,所述主用控制服务器和备用控制服务器均与核心网络交换机网络连接。3.根据权利...
【专利技术属性】
技术研发人员:郑杰,
申请(专利权)人:电子科技大学,重庆电子工程职业学院,
类型:新型
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。