一种按照终端安全级别，将违规终端置入相应隔离区的方法技术

所有网络准入控制类系统都使用隔离Vlan的技术来解决终端违规的问题，可是此类技术存在严重的不足：就是当终端因为违反定义的入网策略，违规入网后，将被置到同一个隔离区内，此时这个隔离区内可能存在较低安全级别的终端，也可能存在较高安全级别的终端，按规定，不同安全级别的终端是不能进行互访的，但是他们因为在一个隔离区内，所以他们之间可以直接互访，造成严重的违规行为。为了解决上述存在的问题，我们专门研发了一种能够根据终端安全级别或者终端使用人的安全级别将违规终端置入相应隔离区的方法。各种安全级别的终端在各自对应的安全级别的隔离区内，不能夸隔离区互访，杜绝了不同安全级别的终端在隔离区能够互访的严重问题。

【技术实现步骤摘要】

本专利技术涉及网络安全技术，特别涉及一种按照终端安全级别将违规终端置入相应隔离区的方法，是一种能将接入网络的终端，因为终端安全原因，或者接入信息不合法等因素，根据终端安全级别或者终端使用人的安全级别将终端置入相应隔离区的方法。
技术介绍
当前被国家安全领域合法定义的网络准入技术为802.1x技术，大部分网络准入控制类系统都使用的此技术，在802.1x技术中，有一项技术为隔离Vlan技术，就是当终端认证失败时，会被交换机自动置入隔离Vlan，也叫GuestVlan。所有网络准入控制类系统都使用隔离Vlan的技术来解决终端违规的问题，可是此类技术存在严重的不足：就是当终端因为违反定义的入网策略，违规入网后，将被置到同一个隔离区内，此时这个隔离区内可能存在较低安全级别的终端，也可能存在较高安全级别的终端，按规定，不同安全级别的终端是不能进行互访的，但是他们因为在一个隔离区内，所以他们之间可以直接互访，造成严重的违规行为。
技术实现思路
为了解决上述存在的问题，我们专门研发了一种能够根据终端安全级别或者终端使用人的安全级别将违规终端置入相应隔离区的方法。各种安全级别的终端在各自对应的安全级别的隔离区内，不能夸隔离区互访，杜绝了不同安全级别的终端在隔离区能够互访的严重问题。本专利技术提供了多种隔离区的设置，可对任何单位中自定义的安全级别进行设置，比如分别设置普通隔离区、内部隔离区、秘密隔离区、机密隔离区、绝密隔离区等。本专利技术提供终端安全级别与人员安全级别列表，可由接口直接同步终端与人员安全级别或进行人工维护。本专利技术提供一种隔离方法，可将入违规终端使用动态Vlan推送的方式，将违规终端置入对应密级的隔离区。附图说明图1为现有802.1x处理违规终端逻辑图。图2为本专利技术处理违规终端逻辑图。图3为本专利技术处理违规终端流程图。具体实施方式为了使本专利技术的创作特征、技术手段与达成目的易于明白理解，以下结合具体实施例进一步阐述本专利技术：实施例：本专利技术中涉及一项关键技术为动态Vlan技术。此技术是根据终端用户的MAC地址，决定终端数据哪一个Vlan，而以前的静态Vlan是根据交换机的端口划分Vlan：step1：一台终端开机连接网线进入网络S01step2：此终端先进性标准的802.1x认证，交换机将其终端信息发送至验证服务器。S02step3：验证服务器验证其用户身份的正确性。当身份合法后，验证其入网策略与终端策略,并获取数据库中此终端的安全级别。S03step4：判断当前终端的入网策略与终端策略是否有任一项违规。S04step5：如未违规，此时向交换机发送认证成功的指令，并根据此终端的对应的Vlan，向交换机推送动态Vlan，终端进入正常Vlan。S05step6：若此终端违规，则向交换机发送认证成功指令，一并推送此终端的隔离Vlan信息。S06step7：终端进入对应安全级别的隔离Vlan中。S07本文档来自技高网...

【技术保护点】
一种按照终端安全级别，将违规终端置入相应隔离区的方法，其特征在于，弥补当前802.1x标准中 Guest Vlan功能的不足，根据终端或者终端使用人的安全级别，将违规终端推送至相应安全级别的隔离域中，保障保密工作。

【技术特征摘要】
1.一种按照终端安全级别，将违规终端置入相应隔离区的方法，其特征在于，弥补当前802.1x标准中GuestVlan功能的不足，根据终端或者终端使用人的安全级别，将违规终端推送至相应安全级别的隔离域中，保障保密工作。2.根据权利要求1所述的方法，其特征在于，提供人员与设备的安全级别列表。3.根据权利要求1-2所述的方法，其特征在于，使用动态Vlan的方式对交换机端口进行对应安全级别的动态授权。4.根据权利要求1-3所述的方法，其特征在于，提供标准的8...

【专利技术属性】
技术研发人员：王兴华，李涛，
申请(专利权)人：西安云雀软件有限公司，
类型：发明
国别省市：陕西;61