一种基于代理网络架构的局域网访问控制方法及管理机.pdf

本发明提供了一种基于代理网络架构的局域网访问控制方法及管理机，涉及通信技术领域，可以实现对局域网内主机的更加方便、快捷、细化的访问控制管理。所述方法包括：所述管理机自动识别代理设备类型，并基于SSH协议建立与代理设备的安全通道，将用户访问控制需求自动组装为ACL访问控制列表或Iptables控制规则，然后将控制规则通过安全通道发送至代理设备，触发代理设备执行控制规则。

权利要求书1.  一种基于代理网络架构的局域网访问控制方法，其特征在于，包括：识别代理设备的类型，所述代理设备的类型包括以下三种：路由器、三层交换机、Linux服务器；若所述代理设备的类型为路由器或三层交换机，则基于安全套接层SSH协议建立一条管理机与代理设备间的安全通道，然后根据用户的访问控制需求自动建立代理设备的访问控制列表ACL，并通过所述安全通道发送所述ACL到所述代理设备，使得所述代理设备触发执行所述ACL；若所述代理设备的类型为Linux服务器，则基于SSH协议建立一条管理机与所述Linux服务器之间的安全通信通道，然后根据用户需求组装Iptables访问控制规则，接着将所述Iptables访问控制规则通过所述通信安全通道发送到所述Linux服务器，使得所述Linux服务器立即执行所述Iptables访问控制规则。2.  根据权利要求1所述的方法，其特征在于，所述方法还包括：待所述代理设备执行访问控制结束时，将所述代理设备的控制状态自动恢复至原始状态。3.  根据权利要求1所述的方法，其特征在于，所述方法还包括：根据用户的使用需求，手动将所述代理设备的控制状态恢复至原始状态。4.  一种管理机，其特征在于，所述管理机是以路由器、三层交换机或Linux服务器为代理设备的网络架构的局域网内的除了代理设备和客户端主机外的任意一台机器；所述管理机具有代理设备的管理权限；所述管理机包括访问控制管理模块，所述访问控制管理模块包括：智能识别子模块，用于识别代理设备的类型，所述代理设备的类型包括以下三种：路由器、三层交换机、Linux服务器；访问控制规则组装子模块，用于在所述智能识别模块识别出所述代理设备的类型为路由器或三层交换机时，基于安全套接层SSH协议建立一条管理机与代理设备间的安全通道，然后根据用户的访问控制需求自动建立代理设备的访问控制列表ACL，并通过所述安全通道发送所述ACL到所述代理设备，使得所述代理设备触发执行所述ACL；所述访问控制规则组装子模块，还用于在所述智能识别模块识别出所述代理设备的类型为Linux服务器时，基于SSH协议建立一条管 理机与所述Linux服务器之间的安全通信通道，然后根据用户需求组装Iptables访问控制规则，接着将所述Iptables访问控制规则通过所述通信安全通道发送到所述Linux服务器，使得所述Linux服务器立即执行所述Iptables访问控制规则。5.  根据权利要求4所述的管理机，其特征在于，所述访问控制管理模块还包括：自动恢复子模块，用于待所述代理设备执行访问控制结束时，将所述代理设备的控制状态自动恢复至原始状态。

说明书一种基于代理网络架构的局域网访问控制方法及管理机
技术领域
本发明涉及通信技术领域，尤其涉及一种基于代理网络架构的局域网访问控制方法及管理机。
背景技术
随着计算机技术和通信技术的发展，网络已经深入到人们工作、生活、休闲、娱乐等各个方面，成为一个必须的工具。随着基于网络的应用的增加，使用网络的行为变得越来越混乱，这对于提高网络资源的使用率、提高工作质量、保障网络的安全稳定带来了挑战，因此迫切需要一种方便、快捷、功能强大的局域网访问控制工具来规范网络的使用行为，尤其对于学校公共机房、企事业单位办公网络等，更需要有效的管控手段来监管局域网的使用。
目前，软件市场上的大部分局域网访问控制管理软件，如网络剪刀手、网络执法官等都是基于ARP(Address Resolution Protocol，地址解析协议)协议来实现局域网内用户主机的访问控制管理的。ARP位于TCP/IP协议栈的网络层，其基本功能是通过目标设备的IP地址，查询目标设备的MAC地址，然后组装数据帧，进行局域网数据的发送和接收。众所周知，局域网内主机间的通信是基于MAC地址进行的，但是主机配置的是IP地址，因此需将主机的IP地址转换为MAC地址。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存。局域网内主机与外网通信时，首先需要获取网关的MAC地址，然后基于MAC地址与网关通信。如果切断主机与网关的联系，使其不能与网关通信，也就不能连接外网。ARP协议是基于局域网内主机间互相信任的基础进行的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存表。
基于ARP协议实现网络的访问控制管理的基本原理是通过发送欺骗性的ARP应答数据包致使接收者受到数据包后更新其ARP缓存表，从而建立错误的IP与MAC对应关系，以此来切断与网关的联系，实现 访问控制管理。
上述访问控制的功能相对单一，不能实现更加细化的访问控制，如禁止访问指定的一些网站，禁止某类网络应用软件的使用等等，且容易受到局域网内主机安全的安全防护软件的干扰，甚至删除、屏蔽。
发明内容
本发明的实施例提供一种基于代理网络架构的局域网访问控制方法及管理机，可以实现对局域网内主机的更加方便、快捷、细化的访问控制管理。如，禁止访问某些网站，其他网站正常访问；禁止某类应用，其他应用正常等，能够实现基于协议、端口级别的细化的网络访问控制；软件安装、部署方便快捷，不需要在局域网内的主机上安装附加的客户端软件。
为达到上述目的，本发明的实施例采用如下技术方案：
一种基于代理网络架构的局域网访问控制方法，包括：
识别代理设备的类型，所述代理设备的类型包括以下三种：路由器、三层交换机、Linux服务器；
若所述代理设备的类型为路由器或三层交换机，则基于安全套接层SSH协议建立一条管理机与代理设备间的安全通道，然后根据用户的访问控制需求自动建立代理设备的访问控制列表ACL，并通过所述安全通道发送所述ACL到所述代理设备，使得所述代理设备触发执行所述ACL；
若所述代理设备的类型为Linux服务器，则基于SSH协议建立一条管理机与所述Linux服务器之间的安全通信通道，然后根据用户需求组装Iptables访问控制规则，接着将所述Iptables访问控制规则通过所述通信安全通道发送到所述Linux服务器，使得所述Linux服务器立即执行所述Iptables访问控制规则。
可选的，所述方法还包括：
待所述代理设备执行访问控制结束时，将所述代理设备的控制状态自动恢复至原始状态。
所述方法还包括：
根据用户的使用需求，手动将所述代理设备的控制状态恢复至原始状态。
一种管理机，所述管理机是以路由器、三层交换机或Linux服务器为代理设备的网络架构的局域网内的除了代理设备和客户端主机外的任意一台机器；所述管理机具有代理设备的管理权限；所述管理机包括访问控制管理模块，所述访问控制管理模块包括：
智能识别子模块，用于识别代理设备的类型，所述代理设备的类型包括以下三种：路由器、三层交换机、Linux服务器；
访问控制规则组装子模块，用于在所述智能识别模块识别出所述代理设备的类型为路由器或三层交换机时，基于安全套接层SSH协议建立一条管理机与代理设备间的安全通道，然后根据用户的访问控制需求自动建立代理设备的访问控制列表ACL，并通过所述安全通道发送所述ACL到所述代理设备，使得所述代理设备触发执行所述ACL；
所述访问控制规则组装子模块，还用于在所述智能识别模块识别出所述代理设备的类型为Linux服务器时，基于SSH协议建立一条管理机与所述Linux服务器之间的通信安全通道，然后根据用户需求组装Iptables访问控制规则，接着将所述Iptables访问控制规则通过所述通信安全通道发送到所述Linux服务器，使得所述Linux服务器立即执行所述Iptables访问控制规则。
可选的，所述访问控制管理模块还包括：
自动恢复子模块，用于待所述代理设备执行访问控制结束时，将所述代理设备的控制状态自动恢复至原始状态。
上述技术方案提供的基于代理网络架构的局域网访问控制方法及管理机，对基于代理架构的局域网络进行细化到协议、端口的访问控制管理。对局域网中的电脑上安装的病毒防护软件、安全防护软件无任何影响。局域网中的电脑无需安装附加客户端程序。局域网中的任意一台电脑都可以安装管理端软件，实施对整个网络的访问控制管理。此发明方案部署简单、快捷，使用方便，效果良好。
附图说明
图1为本发明实施例提供的一种基于代理网络架构的局域网访问控制方法的流程示意图；
图2为本发明实施例提供的一种基于代理的网络架构的结构框图；
图3为本发明实施例提供的一种管理机中的访问控制管理模块的 结构框图。
具体实施方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
本发明实施例提供了一种基于代理网络架构的局域网访问控制方法，所述方法包括：
S1、识别代理设备的类型。
其中，所述代理设备的类型包括以下三种：路由器、三层交换机、Linux服务器。
本发明实施例提供的方法主要针对基于代理的网络架构的局域网内主机进行访问控制管理。由于IPv4地址资源的限制，很多单位包括高等教育学校和一些企事业单位，局域网络都采用代理的架构接入互联网，以解决IPv4地址资源相对需要联入互联网的主机数量不足的问题。基于代理架构的互联网接入方案，其网络架构如图2所示。
充当代理的设备，可以是路由器、三层交换机或服务器。一般根据内部网络的规模、单位预算等因素决定采用哪种设备充当代理。代理设备处于内部局域网络与互联网的连接处，一般配置有至少2个网络接口，一个网络接口配置有若干个公网IP地址，用以接入互联网；另一个网络接口配置内部私有地址，用以接入内部局域网，并且作为内部局域网络内的主机的网关。代理设备的主要功能是，将内部网络主机发送的数据包的私有地址转换为合法的公有地址，以此实现内网主机共享几个合法的公有地址与互联网的有效联通。
通过对基于代理的网络架构分析发现，代理设备是内、外网数据流通的必经之路。如果能在代理设备上设置相应的访问控制规则对进出的数据包进行过滤，则可以实现对内网主机的访问控制管理，并且这种方案不需要在局域网内的每台主机上安装附加的客户端软件，只需在一台管理机(如图2所示)上安装访问控制管理模块，即可实现对整个局域网透明的访问控制管理。
管理机拥有代理设备(路由器、三层交换机或Linux服务器)的管理权限授权。管理机智能识别模块能够识别出代理设备的类型，判断代理设备是路由器，三层交换机，还是Linux服务器，进而针对不同的代理设备，实施不同的网络访问控制。
S2、若所述代理设备的类型为路由器或三层交换机，则针对路由器或三层交换机进行访问控制管理。
若所述代理设备的类型为路由器或三层交换机，则基于SSH(Secure Shell，安全套接层)协议建立一条管理机与代理设备间的安全通道，然后根据用户的访问控制需求自动建立代理设备的ACL(Access Control List，访问控制列表)，并通过所述安全通道发送所述ACL到所述代理设备，使得所述代理设备触发执行所述ACL。
S3、若所述代理设备的类型为Linux服务器，则针对Linux服务器进行访问控制管理。
若所述代理设备的类型为Linux服务器，则基于SSH协议建立一条管理机与所述Linux服务器之间的通信安全通道，然后根据用户需求组装Iptables访问控制规则，接着将所述Iptables访问控制规则通过所述通信安全通道发送到所述Linux服务器，使得所述Linux服务器立即执行所述Iptables访问控制规则。
S4、待所述代理设备执行访问控制结束时，管理机将所述代理设备的控制状态自动恢复至原始状态。
可选的，根据用户的使用需求，用户还可以自己手动将所述代理设备的控制状态恢复至原始状态。
本发明实施例还提供了一种管理机，如图2所示，所述管理机是以路由器、三层交换机或Linux服务器为代理设备的网络架构所在的局域网内的除了代理设备和客户端主机外的任意一台机器；所述管理机具有代理设备的管理权限；所述管理机包括访问控制管理模块，如图3所示，所述访问控制管理模块包括：智能识别子模块11，访问控制规则组装子模块12和自动恢复子模块13。
智能识别子模块11，用于识别代理设备的类型，所述代理设备的类型包括以下三种：路由器、三层交换机、Linux服务器。
访问控制规则组装子模块12，用于在所述智能识别模块11识别出 所述代理设备的类型为路由器或三层交换机时，基于安全套接层SSH协议建立一条管理机与代理设备间的安全通道，然后根据用户的访问控制需求自动建立代理设备的访问控制列表ACL，并通过所述安全通道发送所述ACL到所述代理设备，使得所述代理设备触发执行所述ACL；
所述访问控制规则组装子模块12，还用于在所述智能识别模块11识别出所述代理设备的类型为Linux服务器时，基于SSH协议建立一条管理机与所述Linux服务器之间的安全通信通道，然后根据用户需求组装Iptables访问控制规则，接着将所述Iptables访问控制规则通过所述通信安全通道发送到所述Linux服务器，使得所述Linux服务器立即执行所述Iptables访问控制规则。
如图3所示，所述访问控制管理模块还包括：自动恢复子模块13；所述自动恢复子模块13用于待所述代理设备执行访问控制结束时，将所述代理设备的控制状态自动恢复至原始状态。
上述技术方案，是针对基于代理设备(路由器、三层交换机或Linux服务器)网络架构的局域网络的访问控制管理，部署在管理机上的访问控制管理模块，能够自动识别代理设备类型，并基于SSH协议建立与代理设备的安全通道，将用户访问控制需求自动组装为ACL访问控制列表或Iptables控制规则，然后将控制规则通过安全通道发送至代理设备，触发代理设备执行控制规则，以此来实现对整个局域网络的透明的、访问控制管理。
本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。