隔离终端DHCP准入管控方法、装置、电子设备及存储介质制造方法及图纸

技术编号：40874798 阅读：4 留言：0更新日期：2024-04-08 16:43

本公开实施例公开了一种隔离终端DHCP准入管控方法、装置、电子设备及存储介质。其中，隔离终端DHCP准入管控方法包括：在内部网络各子网内的路由网关上部署探针；隔离终端发出查询网关的ARP请求；所述探针接收所述ARP请求，回复本机IP地址；对所述隔离终端发出的报文进行目的判断；所述探针对访问白名单服务器的报文进行转发；所述探针对访问其他隔离终端的报文进行阻断；所述探针对查询其他隔离终端的报文进行欺骗。该方法/系统能够通过对DHCP信息的控制，以及对多网络路由、报文等控制，以达到对隔离终端进行准入控制，方便了DHCP方式的准入管控实施落地，并且可以提高管控的及时性，降低准入管控实施的错误排查复杂度。

全部详细技术资料下载

【技术实现步骤摘要】

本公开涉及网络安全，尤其涉及一种隔离终端dhcp准入管控方法、装置、电子设备及存储介质。

技术介绍

1、dhcp是一种常用的ip分配协议，它允许在局域网内动态地为用户分配ip地址，从而避免了手动设置ip地址的麻烦。在网络准入控制的技术选择上，易于采用dhcp准入管控方式，可以比较容易利用已有的网络设施和网络配置。

2、在网络拓扑结构方面，当网络被划分为了多个三层网络，通过路由将各个子网进行连接时，通过dhcp将未经授权的设备可以设置为隔离网段的ip地址，但是需要对各子网进行进一步管控，无法对隔离终端进行进一步的流量引导，以便其采取有效步骤进行合规入网，也无法将同一个二层域内的隔离终端阻断其之间的互相访问。

技术实现思路

1、有鉴于此，本公开实施例提供了一种隔离终端dhcp准入管控方法、装置、电子设备及存储介质，能够对所有接入网络的终端进行以dhcp为基础的准入控制。

2、第一方面，本公开实施例提供了一种对隔离终端进行dhcp准入管控方法，采用如下技术方案：

3、在内部网络各子网内部署探针；

4、隔离终端发出查询隔离网关的arp请求；

5、所述探针接收所述arp请求，向所述隔离终端回复本机ip地址，以使所述探针作为所述隔离终端的隔离网关；

6、所述探针接收所述隔离终端发出的报文，进行目的判断；

7、若所述报文为访问白名单服务器的第一报文，则所述探针对所述第一报文进行转发；

8、若所述报文为

9、若所述报文为查询其他隔离终端的第三报文，则所述探针对所述第三报文进行欺骗。

10、可选地，所述探针对tcp报文发送tcp rst进行阻断，对其他类型报文发送干扰报文。

11、可选地，所述第三报文为arp报文，所述探针对所述第三报文定向回复本机ip地址。

12、可选地，所述探针对所述第一报文进行转发，包括：所述探针修改所述第一报文的源ip地址为本机ip地址，修改所述第一报文的源端口为所述探针的转发端口，并将所述第一报文发送至所述路由网关。

13、可选地，其特征在于，还包括：所述探针接收由所述白名单服务器发出的应答报文，判断是否存在于所述应答报文对应的网络会话，若存在，则对所述应答报文进行转发，若不存在，则不对所述应答报文进行处理。

14、可选地，所述探针接收所述隔离终端发出的报文，进行目的判断，包括：

15、若所述报文为osi参考模型中4层及4层以上，且访问白名单服务器的网络协议报文，则所述报文为访问白名单服务器的第一报文。

16、可选地，还包括：若所述报文为osi参考模型中3层及3层以下网络协议报文，或者，4层及4层以上访问受控资源的报文，则所述探针不进行转发。

17、第二方面，本公开实施例还提供了一种对隔离终端进行dhcp准入管控装置，采用如下技术方案：

18、设置在核心交换机上的准入网关；

19、探针，用于判断隔离终端发出的报文的目的；对访问白名单服务器的报文进行转发；对访问其他隔离终端的报文进行阻断；对查询其他隔离终端的报文进行欺骗。

20、第三方面，本公开实施例还提供了一种电子设备，采用如下技术方案：

21、所述电子设备包括：

22、至少一个处理器；以及，

23、与所述至少一个处理器通信连接的存储器；其中，

24、所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行以上任一所述的隔离终端dhcp准入管控方法。

25、第四方面，本公开实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储计算机指令，该计算机指令用于使计算机执行以上任一所述的隔离终端dhcp准入管控方法。

26、本公开实施例提供的隔离终端dhcp准入管控方法、装置、电子设备及存储介质，可以在对多路由子网的这种内部网络进行实施dhcp方式准入管控时，通过对dhcp信息的控制，以及对多网络路由、报文等控制，以达到对隔离终端进行准入控制，不必再依赖旁路管控、arp管控等方式进行配合，即可对此复杂网络进行全面的管控，方便了dhcp方式的准入管控实施落地，并且可以提高管控的及时性，降低准入管控实施的错误排查复杂度。

27、上述说明仅是本公开技术方案的概述，为了能更清楚了解本公开的技术手段，而可依照说明书的内容予以实施，并且为让本公开的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图，详细说明如下。

本文档来自技高网...

【技术保护点】

1.一种隔离终端DHCP准入管控方法，其特征在于，包括：

2.根据权利要求1所述的隔离终端DHCP准入管控方法，其特征在于，

3.根据权利要求1所述的隔离终端DHCP准入管控方法，其特征在于，

4.根据权利要求1所述的隔离终端DHCP准入管控方法，其特征YY+231893P

5.根据权利要求4所述的隔离终端DHCP准入管控方法，其特征在于，还包括：

6.根据权利要求1所述的隔离终端DHCP准入管控方法，其特征在于，所述探针接收所述隔离终端发出的报文，进行目的判断，包括：

7.根据权利要求6所述的隔离终端DHCP准入管控方法，其特征在于，还包括：

8.一种隔离终端进行DHCP准入管控装置，其特征在于，包括：

9.一种电子设备，其特征在于，所述电子设备包括：

10.一种计算机可读存储介质，其特征在于，该计算机可读存储介质存储计算机指令，该计算机指令用于使计算机执行权利要求1-7任一所述的隔离终端DHCP准入管控方法。

【技术特征摘要】

1.一种隔离终端dhcp准入管控方法，其特征在于，包括：

2.根据权利要求1所述的隔离终端dhcp准入管控方法，其特征在于，

3.根据权利要求1所述的隔离终端dhcp准入管控方法，其特征在于，

4.根据权利要求1所述的隔离终端dhcp准入管控方法，其特征yy+231893p

5.根据权利要求4所述的隔离终端dhcp准入管控方法，其特征在于，还包括：

6.根据权利要求1所述的隔离终端dhcp准入管控方法，...

【专利技术属性】
技术研发人员：林皓，王明云，
申请(专利权)人：北京北信源软件股份有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人