一种同时支持多种终端接入的网络安全准入系统技术方案

本发明专利技术提供一种同时支持多种终端接入的网络安全准入系统，包括终端设备、路由器、接入层交换机、核心交换机、运行维护管理平台、网络准入控制服务器和终端设备身份认证服务器；终端设备上安装有NAC客户端，终端设备与路由器通信连接；接入层交换机与路由器通信连接；核心交换机与接入层交换机通信连接；运行维护管理平台与核心交换机通讯连接；网络准入控制服务器以旁路部署的方式与核心交换机通信连接，网络准入控制服务器用于终端设备和NAC客户端的安全认证及接入控制；终端设备身份认证服务器分别与核心交换机、网络准入控制服务器和运行维护管理平台通信连接，终端身份认证服务器用于终端设备的身份认证。本发明专利技术能够提升网络的安全可靠性。的安全可靠性。的安全可靠性。

【技术实现步骤摘要】
一种同时支持多种终端接入的网络安全准入系统


[0001]本专利技术涉及网络安全
，尤其是涉及一种同时支持多种终端接入的网络安全准入系统。

技术介绍

[0002]在网络安全管理过程中，部分企业对企业内网与终端接入之间的控制工作缺乏重视，未能针对性地检查和限制终端用户在内网中的访问操作，配置的杀毒软件、防火墙系统等存在较多薄弱点，导致内网极易在终端感染病毒木马的情况下遭到入侵，进而对企业内网的安全可靠性产生严重影响。

技术实现思路

[0003]本专利技术为解决上述技术问题，提供了一种同时支持多种终端接入的网络安全准入系统，能够提升网络的安全可靠性。
[0004]本专利技术采用的技术方案如下：
[0005]一种同时支持多种终端接入的网络安全准入系统，包括：终端设备、路由器、接入层交换机、核心交换机、运行维护管理平台、网络准入控制服务器和终端设备身份认证服务器；所述终端设备上安装有NAC客户端，所述终端设备与所述路由器通信连接；所述接入层交换机与所述路由器通信连接；所述核心交换机与所述接入层交换机通信连接；所述运行维护管理平台与所述核心交换机通讯连接；所述网络准入控制服务器以旁路部署的方式与所述核心交换机通信连接，所述网络准入控制服务器用于所述终端设备和所述NAC客户端的安全认证及接入控制；所述终端设备身份认证服务器分别与所述核心交换机、所述网络准入控制服务器和所述运行维护管理平台通信连接，所述终端身份认证服务器用于所述终端设备的身份认证。
[0006]进一步地，所述运行维护管理平台包括管理员模块、注册审核模块、注册信息存储库和网络设备管理模块。
[0007]进一步地，所述册审核模块用于对所述NAC客户端的注册信息进行审核，并将注册信息存储到所述注册信息储存库中；所述网络设备管理模块用于网络设备信息的录入、查询和管理；所述网络设备管理模块用于网络设备的管理、状态监控及报警提醒。
[0008]进一步地，所述网络设备管理模块包括路由器管理单元、交换机管理单元、网络设备状态监控单元和报警单元，其中，所述交换机管理单元用于交换机的登录和密码更改；所述网络设备状态监控单元用于监控所述网络设备的工作状态，所述网络设备工作状态出现异常时，所述报警单元进行报警提醒。
[0009]进一步地，所述注册信息包括终端设备类型、名称和IP地址。
[0010]进一步地，所述网络准入控制服务器包括第一数据获取模块、安装引导模块、终端及客户端安全监控模块和网络准入控制模块，所述第一数据获取模块和所述终端及客户端安全监控模块分别与所述安装和修复引导模块相连，所述网络准入控制模块用于控制所述
终端设备接入内网。
[0011]进一步地，所述第一数据获取模块用于获取所述核心交换机与所述接入层交换机检测得到的所述终端设备及所述NAC客户端数据信息，若所述第一数据获取模块获取不到所述NAC客户端的数据信息，所述第一数据获取模块向所述安装和修复引导模块发送指令，所述安装和修复引导模块通过所述核心交换机、所述应用层交换机和所述路由器向所述终端设备发送安装包，引导操作人员在所述终端设备上安装所述NAC客户端并完成相应的信息注册；所述终端及客户端安全监控模块用于实时监控所述终端设备和所述NAC客户端的安全状态，若所述终端设备或/和所述NAC客户端处于不安全状态，所述终端及客户端安全监控模块向所述安装和修复引导模块发送指令，所述安装和修复引导模块通过所述核心交换机、所述应用层交换机和所述路由器向所述终端设备下发安全修复策略，引导操作人员完成对所述终端设备或/和所述NAC客户端的安全修复工作，若所述终端及客户端安全监控模块监控不到所述终端设备和所述NAC客户端存在安全风险，即所述终端设备和所述NAC客户端安全认证通过。
[0012]进一步地，所述终端设备身份认证服务器包括第二数据获取模块和IP地址更新模块。
[0013]进一步地，所述第二获取模块用于获取请求接入网络的所述终端设备的注册信息，将获取的所述终端设备的注册信息与所述运行维护管理平台中所述注册信息存储库中存储的所述终端设备的注册信息进行一一比对，若获取的所述终端设备的注册信息与所述注册信息存储库中存储的所述终端设备的IP地址不一致，所述终端设备身份认证服务器通过所述核心交换机、所述应用层交换机和所述路由器向所述终端设备发送更新策略，操作人员通过所述IP地址更新模块对所述终端设备的IP地址进行更新，若所述终端设备接入内网若获取的所述终端设备的注册信息与所述注册信息存储库中存储的所述终端设备的注册信息相一致，则所述终端设备的身份认证通过，所述终端设备身份认证服务器向所述网络准入控制模块发送指令，准许所述终端设备接入网络。
[0014]本专利技术的有益效果：
[0015]本专利技术同时支持多种终端接入的网络安全准入系统通过安全认证和身份认证的双重认证和安全状态实时监控来提升网络的安全可靠性；具体地，对请求接入网络的多种终端设备及终端设备上安装的NAC客户端先进行安全认证，当终端设备和NAC客户端安全认证通过之后，再对终端设备的身份进行认证，只有当安全认证和身份认证均通过之后才能接入网络，在终端设备接入网络之后，终端及客户端安全监控模块依然会实时监控终端设备和NAC客户端的安全状态，保证接入到内网中的终端设备和NAC客户端自身始终保持是安全的。
附图说明
[0016]图1为本专利技术实施例的一种同时支持多种终端接入的网络安全准入系统的方框示意图；
[0017]图2为本专利技术一个实施例的运行维护管理平台的方框示意图；
[0018]图3为本专利技术一个实施例的网络准入控制服务器的方框示意图；
[0019]图4为本专利技术一个实施例的终端设备身份认证服务器的方框示意图。
具体实施方式
[0020]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0021]如图1
‑
图4所示，本专利技术提供一种同时支持多种终端接入的网络安全准入系统，包括：终端设备、路由器、接入层交换机、核心交换机、运行维护管理平台、网络准入控制服务器和终端设备身份认证服务器。所述终端设备上安装有NAC客户端；所述终端设备与所述路由器通信连接；所述接入层交换机与所述路由器通信连接；所述核心交换机与所述接入层交换机通信连接，所述核心交换机配置有终端访问内网的流量镜像端口；所述运行维护管理平台与所述核心交换机通讯连接；所述网络准入控制服务器用于所述终端设备和所述NAC客户端的安全认证及接入控制，所述网络准入控制服务器以旁路部署的方式与所述核心交换机通信连接，具体地，所述网络准入控制服务器与所述核心交换机的所述流量镜像端口相连；所述终端设备身份认证服务器分别与所述核心交换机、所述网络准入控制服务器和所述运行维护管理平台通信连接，所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种同时支持多种终端接入的网络安全准入系统，其特征在于，包括：终端设备、路由器、接入层交换机、核心交换机、运行维护管理平台、网络准入控制服务器和终端设备身份认证服务器；所述终端设备上安装有NAC客户端，所述终端设备与所述路由器通信连接；所述接入层交换机与所述路由器通信连接；所述核心交换机与所述接入层交换机通信连接；所述运行维护管理平台与所述核心交换机通讯连接；所述网络准入控制服务器以旁路部署的方式与所述核心交换机通信连接，所述网络准入控制服务器用于所述终端设备和所述NAC客户端的安全认证及接入控制；所述终端设备身份认证服务器分别与所述核心交换机、所述网络准入控制服务器和所述运行维护管理平台通信连接，所述终端身份认证服务器用于所述终端设备的身份认证。2.根据权利要求1所述的同时支持多种终端接入的网络安全准入系统，其特征在于，所述运行维护管理平台包括管理员模块、注册审核模块、注册信息存储库和网络设备管理模块。3.根据权利要求2所述的同时支持多种终端接入的网络安全准入系统，其特征在于，所述册审核模块用于对所述NAC客户端的注册信息进行审核，并将注册信息存储到所述注册信息储存库中；所述网络设备管理模块用于网络设备信息的录入、查询和管理；所述网络设备管理模块用于网络设备的管理、状态监控及报警提醒。4.根据权利要求3所述的同时支持多种终端接入的网络安全准入系统，其特征在于，所述网络设备管理模块包括路由器管理单元、交换机管理单元、网络设备状态监控单元和报警单元，其中，所述交换机管理单元用于交换机的登录和密码更改；所述网络设备状态监控单元用于监控所述网络设备的工作状态，所述网络设备工作状态出现异常时，所述报警单元进行报警提醒。5.根据权利要求4所述的同时支持多种终端接入的网络安全准入系统，其特征在于，所述注册信息包括终端设备类型、名称和IP地址。6.根据权利要求5所述的同时支持多种终端接入的网络安全准入系统，其特征在于，所述网络准入控制服务器包括第一数据获取模块、安装和修复引导模块、终端及客户端安全监控模块和网络准入控制模块，所述第一数据获取模块和所述终端及客户端安全监控模块分别与所述安装和修复引导模块相连，所述网络准入控制模块用于控制所述终端设备接...

【专利技术属性】
技术研发人员：吾斯曼江，
申请(专利权)人：新疆信息产业有限责任公司，
类型：发明
国别省市：