System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
本公开涉及网络安全,尤其涉及一种隔离终端dhcp准入管控方法、装置、电子设备及存储介质。
技术介绍
1、dhcp是一种常用的ip分配协议,它允许在局域网内动态地为用户分配ip地址,从而避免了手动设置ip地址的麻烦。在网络准入控制的技术选择上,易于采用dhcp准入管控方式,可以比较容易利用已有的网络设施和网络配置。
2、在网络拓扑结构方面,当网络被划分为了多个三层网络,通过路由将各个子网进行连接时,通过dhcp将未经授权的设备可以设置为隔离网段的ip地址,但是需要对各子网进行进一步管控,无法对隔离终端进行进一步的流量引导,以便其采取有效步骤进行合规入网,也无法将同一个二层域内的隔离终端阻断其之间的互相访问。
技术实现思路
1、有鉴于此,本公开实施例提供了一种隔离终端dhcp准入管控方法、装置、电子设备及存储介质,能够对所有接入网络的终端进行以dhcp为基础的准入控制。
2、第一方面,本公开实施例提供了一种对隔离终端进行dhcp准入管控方法,采用如下技术方案:
3、在内部网络各子网内部署探针;
4、隔离终端发出查询隔离网关的arp请求;
5、所述探针接收所述arp请求,向所述隔离终端回复本机ip地址,以使所述探针作为所述隔离终端的隔离网关;
6、所述探针接收所述隔离终端发出的报文,进行目的判断;
7、若所述报文为访问白名单服务器的第一报文,则所述探针对所述第一报文进行转发;
8、若所述报文为
9、若所述报文为查询其他隔离终端的第三报文,则所述探针对所述第三报文进行欺骗。
10、可选地,所述探针对tcp报文发送tcp rst进行阻断,对其他类型报文发送干扰报文。
11、可选地,所述第三报文为arp报文,所述探针对所述第三报文定向回复本机ip地址。
12、可选地,所述探针对所述第一报文进行转发,包括:所述探针修改所述第一报文的源ip地址为本机ip地址,修改所述第一报文的源端口为所述探针的转发端口,并将所述第一报文发送至所述路由网关。
13、可选地,其特征在于,还包括:所述探针接收由所述白名单服务器发出的应答报文,判断是否存在于所述应答报文对应的网络会话,若存在,则对所述应答报文进行转发,若不存在,则不对所述应答报文进行处理。
14、可选地,所述探针接收所述隔离终端发出的报文,进行目的判断,包括:
15、若所述报文为osi参考模型中4层及4层以上,且访问白名单服务器的网络协议报文,则所述报文为访问白名单服务器的第一报文。
16、可选地,还包括:若所述报文为osi参考模型中3层及3层以下网络协议报文,或者,4层及4层以上访问受控资源的报文,则所述探针不进行转发。
17、第二方面,本公开实施例还提供了一种对隔离终端进行dhcp准入管控装置,采用如下技术方案:
18、设置在核心交换机上的准入网关;
19、探针,用于判断隔离终端发出的报文的目的;对访问白名单服务器的报文进行转发;对访问其他隔离终端的报文进行阻断;对查询其他隔离终端的报文进行欺骗。
20、第三方面,本公开实施例还提供了一种电子设备,采用如下技术方案:
21、所述电子设备包括:
22、至少一个处理器;以及,
23、与所述至少一个处理器通信连接的存储器;其中,
24、所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行以上任一所述的隔离终端dhcp准入管控方法。
25、第四方面,本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行以上任一所述的隔离终端dhcp准入管控方法。
26、本公开实施例提供的隔离终端dhcp准入管控方法、装置、电子设备及存储介质,可以在对多路由子网的这种内部网络进行实施dhcp方式准入管控时,通过对dhcp信息的控制,以及对多网络路由、报文等控制,以达到对隔离终端进行准入控制,不必再依赖旁路管控、arp管控等方式进行配合,即可对此复杂网络进行全面的管控,方便了dhcp方式的准入管控实施落地,并且可以提高管控的及时性,降低准入管控实施的错误排查复杂度。
27、上述说明仅是本公开技术方案的概述,为了能更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为让本公开的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
本文档来自技高网...【技术保护点】
1.一种隔离终端DHCP准入管控方法,其特征在于,包括:
2.根据权利要求1所述的隔离终端DHCP准入管控方法,其特征在于,
3.根据权利要求1所述的隔离终端DHCP准入管控方法,其特征在于,
4.根据权利要求1所述的隔离终端DHCP准入管控方法,其特征YY+231893P
5.根据权利要求4所述的隔离终端DHCP准入管控方法,其特征在于,还包括:
6.根据权利要求1所述的隔离终端DHCP准入管控方法,其特征在于,所述探针接收所述隔离终端发出的报文,进行目的判断,包括:
7.根据权利要求6所述的隔离终端DHCP准入管控方法,其特征在于,还包括:
8.一种隔离终端进行DHCP准入管控装置,其特征在于,包括:
9.一种电子设备,其特征在于,所述电子设备包括:
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行权利要求1-7任一所述的隔离终端DHCP准入管控方法。
【技术特征摘要】
1.一种隔离终端dhcp准入管控方法,其特征在于,包括:
2.根据权利要求1所述的隔离终端dhcp准入管控方法,其特征在于,
3.根据权利要求1所述的隔离终端dhcp准入管控方法,其特征在于,
4.根据权利要求1所述的隔离终端dhcp准入管控方法,其特征yy+231893p
5.根据权利要求4所述的隔离终端dhcp准入管控方法,其特征在于,还包括:
6.根据权利要求1所述的隔离终端dhcp准入管控方法,...
【专利技术属性】
技术研发人员:林皓,王明云,
申请(专利权)人:北京北信源软件股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。