安全监控式内网准入控制方法及系统技术方案

本发明专利技术公开了一种安全监控式内网准入控制方法及系统。安全监控式内网准入控制方法，包括：与网络准入控制系统NAC进行交互，以对管理员进行登录认证；在认证失败的次数达到阈值时，修改交换机的内网准入策略，以允许内网设备不经所述NAC认证就能进入内网。采用本发明专利技术，可以实时监控网络准入控制系统NAC运行状况，在网络准入控制系统不能正常工作或宕机时，用户仍能正常访问内网，以确保内网终端访问权限。限。限。

【技术实现步骤摘要】
安全监控式内网准入控制方法及系统


[0001]本专利技术涉及网络安全
，尤其涉及一种安全监控式内网准入控制方法及系统。

技术介绍

[0002]内网中，当网络准入控制系统不能正常工作或宕机时，必须经过网络准入控制系统认证通过后才能上网的终端无法访问内网服务器等，导致用户短期内无法及时的访问内网，严重影响用户正常上网需求。

技术实现思路

[0003]本专利技术实施例提供一种安全监控式内网准入控制方法及系统，用以解决现有技术中由于网络准入控制系统不能正常工作或宕机导致用户短期内无法及时的访问内网的问题。
[0004]根据本专利技术实施例的安全监控式内网准入控制方法，包括：
[0005]与网络准入控制系统NAC进行交互，以对管理员进行登录认证；
[0006]在认证失败的次数达到阈值时，修改交换机的内网准入策略，以允许内网设备不经所述NAC认证就能进入内网。
[0007]根据本专利技术的一些实施例，所述方法还包括：
[0008]在对管理员进行登录认证之前，通过所述NAC对终端进行注册审核。
[0009]根据本专利技术的一些实施例，所述修改交换机的内网准入策略，以允许内网设备不经所述NAC认证就能进入内网，包括：
[0010]关闭所述交换机的802.1x认证功能。
[0011]根据本专利技术的一些实施例，所述方法还包括：在认证成功后，执行以下策略中的至少一个：
[0012]策略一：修改所述交换机的内网准入策略，以允许所述内网设备不经所述NAC认证就能进入内网；
[0013]策略二：修改所述交换机的内网准入策略，以使所述内网设备需经所述NAC认证才能进入内网；
[0014]策略三：查看任一内网设备的在线用户信息；
[0015]策略四：控制所述任一内网设备的在线用户下线；
[0016]策略五：查看所述任一内网设备上报的告警信息；
[0017]策略六：监控所述NAC运行状态；
[0018]策略七：同步所述NAC至少部分配置信息。
[0019]根据本专利技术实施例的安全监控式内网准入控制系统，包括：
[0020]认证单元，用于与网络准入控制系统NAC进行交互，以对管理员进行登录认证；
[0021]控制单元，用于在认证失败的次数达到阈值时，修改交换机的内网准入策略，以允
许内网设备不经所述NAC认证就能进入内网。
[0022]根据本专利技术的一些实施例，所述系统还包括：
[0023]审核单元，用于在对管理员进行登录认证之前，通过所述NAC对终端进行注册审核。
[0024]根据本专利技术的一些实施例，所述控制单元，用于：
[0025]关闭所述交换机的802.1x认证功能。
[0026]根据本专利技术的一些实施例，所述系统还包括以下单元中的至少一个：
[0027]一键逃生单元，用于在认证成功后，修改所述交换机的内网准入策略，以允许所述内网设备不经所述NAC认证就能进入内网；
[0028]一键恢复单元，用于在认证成功后，修改所述交换机的内网准入策略，以使所述内网设备需经所述NAC认证才能进入内网；
[0029]信息查看单元，用于在认证成功后，查看任一内网设备的在线用户信息；
[0030]在线控制单元，用于在认证成功后，控制所述任一内网设备的在线用户下线；
[0031]告警上报单元，用于在认证成功后，查看所述任一内网设备上报的告警信息；
[0032]状态监控单元，用于在认证成功后，监控所述NAC运行状态；
[0033]同步配置单元，用于在认证成功后，同步所述NAC至少部分配置信息。
[0034]根据本专利技术实施例的计算机可读存储介质，所述计算机可读存储介质上存储有信息传递的实现程序，所述程序被处理器执行时实现如上所述的安全监控式内网准入控制方法的步骤。
[0035]采用本专利技术实施例，可以实时监控网络准入控制系统NAC运行状况，在网络准入控制系统不能正常工作或宕机时，用户仍能正常访问内网，以确保内网终端访问权限。
[0036]上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。
附图说明
[0037]通过阅读下文实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本专利技术的限制。在附图中：
[0038]图1是本专利技术实施例中安全监控式内网准入控制方法流程图；
[0039]图2是本专利技术实施例中安全监控式内网准入控制系统应用示意图；
[0040]图3是本专利技术实施例中安全监控式内网准入控制方法流程图。
具体实施方式
[0041]下面将参照附图更详细地描述本专利技术的示例性实施例。虽然附图中显示了本专利技术的示例性实施例，然而应当理解，可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本专利技术，并且能够将本专利技术的范围完整的传达给本领域的技术人员。另外，在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0042]本专利技术第一方面实施例提出一种安全监控式内网准入控制方法，如图1所述，包括：
[0043]S1，与网络准入控制系统NAC进行交互，以对管理员进行登录认证；
[0044]S2，在认证失败的次数达到阈值时，修改交换机的内网准入策略，以允许内网设备不经所述NAC认证就能进入内网。
[0045]通用网络准入控制系统NAC是一套综合完整的端点安全接入解决方案。用户通过NAC的接入功能，网络准入控制系统NAC通过客户端和策略规则，结合用户网络环境，可以实现上网认证、健康检查、VLAN划分、ACL下发等功能。终端通过NAC的客户端可以实时采集终端的上网行为，及时的向NAC的服务端发送告警行为，NAC的服务端收到后，可以对异常终端进行告警或阻断。终端接入发出入网请求，NAC服务器端做上网验证，若不合法，拒绝接入，如果合法，则进入健康检查(即安全合规检查模块)，检查合规，分配入网权限，否者，终端拉入到隔离区进行修复。终端客户端会实时上报终端异常上网行为给服务端，服务端会对起发起告警或阻断，从而防止内网遭受破坏。
[0046]通用的网络准入控制系统NAC，还可以对不同的终端用户分配不同的网络区域，分配不同的网络访问权限，同时可以对入网请求用户的终端做健康评估并对不满足条件的终端进行修复。
[0047]但是，当网络准入控制系统不能正常工作或宕机时，必须经过网络准入控制系统认证通过后才能上网的终端无法访问内网服务器等，导致用户短期内无法及时的访问内网，严重影响用户正常上网需求。
[0048]采用本专利技术实施例，恰好能够解决由于引入网络准入控制系统可能出现的潜在网络风险，消除客户的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全监控式内网准入控制方法，其特征在于，包括：与网络准入控制系统NAC进行交互，以对管理员进行登录认证；在认证失败的次数达到阈值时，修改交换机的内网准入策略，以允许内网设备不经所述NAC认证就能进入内网。2.如权利要求1所述的方法，其特征在于，所述方法还包括：在对管理员进行登录认证之前，通过所述NAC对终端进行注册审核。3.如权利要求1所述的方法，其特征在于，所述修改交换机的内网准入策略，以允许内网设备不经所述NAC认证就能进入内网，包括：关闭所述交换机的802.1x认证功能。4.如权利要求1所述的方法，其特征在于，所述方法还包括：在认证成功后，执行以下策略中的至少一个：策略一：修改所述交换机的内网准入策略，以允许所述内网设备不经所述NAC认证就能进入内网；策略二：修改所述交换机的内网准入策略，以使所述内网设备需经所述NAC认证才能进入内网；策略三：查看任一内网设备的在线用户信息；策略四：控制所述任一内网设备的在线用户下线；策略五：查看所述任一内网设备上报的告警信息；策略六：监控所述NAC运行状态；策略七：同步所述NAC至少部分配置信息。5.一种安全监控式内网准入控制系统，其特征在于，包括：认证单元，用于与网络准入控制系统NAC进行交互，以对管理员进行登录认证；控制单元，用于在认证失败的次数达到阈值时，...

【专利技术属性】
技术研发人员：张芮，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：