[发明专利]控制从计算机终端访问网络的方法和系统

说明书

技术领域

本发明涉及的技术用于监视和控制由连接到网络的计算机终端等所进行的通信。

背景技术

近来，已经禁止了从未授权计算机访问公司等的内联网等，以便防止信息泄漏和计算机病毒扩散。此外，也限制了未安装防毒软件的计算机访问内联网。例如，当不具有正规授权的计算机连接到网络时，从该计算机发送的所有信息包都在网络中被阻塞，以防止该计算机访问。另外，当未安装防毒软件的计算机，或者未应用最新的病毒模式文件的计算机连接到网络时，仅仅允许该计算机连接到与反病毒软件有关的服务器，并且仅仅允许下载病毒模式文件。在这种情况下，禁止了该计算机访问该服务器以外的网络资源。不仅如此，当连接到网络的计算机未将最新的补丁应用到微软(注册商标)公司的视窗(注册商标)操作系统(OS)时，如果这种情况被检测到，那么也禁止该计算机访问网络资源，除非是为了下载补丁。

在国际商用机器公司(注册商标)为专利申请而提交的专利文献1中，公开了如下的技术，用于控制连接到网络的计算机访问该网络。确切地说，从该计算机发送的信息包受到监视，当判定该计算机将要进行的通信必须受到限制时，就向该计算机发送地址解析协议(ARP)信息(ARP请求或ARP应答)，以便使该计算机重写其自己的ARP表，并且来自该计算机的信息包也被定向至由ARP信息所指示的地址。结果，禁止了该计算机对网络的访问。另外，通过选择性地允许该计算机的信息包经过网络，在这种技术中限制了对网络的访问。

不过，当病毒模式文件的容量增大时，或者从利用ARP信息限制访问网络的计算机所发送的视窗OS补丁的下载数据量增大时，从连接到网络的其他计算机监视信息包就变得困难。然而，在对计算机访问网络强加了限制时，同样在为了获取病毒模式文件和/或视窗OS的补丁文件而由计算机下载的数据量增大时，从连接到网络的其他计算机监视信息包会变得困难。确切地说，为了检测未授权的计算机，必须捕获该计算机发送的信息包(尤其是ARP请求)。不过，随着下载数据量的增加，捕获信息包时出现错误的概率变得更高。不仅如此，控制这种目的连接以外的其他连接的数据发送等也变得困难。下载数据量的增加更可能造成在捕获信息包时的错误，并且也使为了控制这台计算机以外的其他计算机的连接而发送数据等工作难以进行。所以，令人担忧的是由连接到网络的计算机终端所进行通信的管理和控制可能出现功能故障。不仅如此，随着吉比特以太网支持已经变为客户计算机上的标准特征，然后预期网络带宽增加，这种功能故障预料会变得更为显著。

[专利文献1]已公开日本专利申请，公开号2006-74705

发明内容

[本发明要解决的问题]

本发明提供了一个系统，无论其访问网络受到限制的计算机所下载的数据如何增加，该系统均维持网络监视和控制的功能。

[解决问题的手段]

为了解决上述问题，在本发明中提议了一种控制从计算机终端访问网络的系统。所述系统包括：第一接口，包括向网络发送数据和从网络接收数据的功能；第二接口，包括向网络发送数据和从网络接收数据的功能；判断装置，判断由所述第一接口收到的网络数据是否来自第一终端设备；第一创建装置，响应由所述判断装置做出的所述网络数据是从所述第一终端设备所发送的判断结果，创建使所述第一终端设备的表中的所述网络数据的发送目的地地址改变为所述第二接口的地址的信息；第一发送装置，发送使发送目的地地址改变为所述第二接口的地址的信息；以及限制装置，将通过所述第二接口的网络数据带宽限制为预定值。根据所述系统，网络由第一接口监视，而下载安全补丁的带宽由第二接口控制。以这种方式，不损害从PC终端访问网络的控制功能。

附图说明

图1显示了涉及网络保证系统的硬件配置概要；

图2显示了网络环境的实例，其中网络保证系统控制着以未授权的方式连接的终端设备等的网络连接；

图3例示了网络保证系统功能配置的概要；

图4是示范流程图，其中网络保证系统处理以未授权方式连接的PC终端或者违反安全设置的PC终端的信息包；

图5例示了在网络中服务器或PC终端中包括的ARP表；

图6A和图6B是带宽控制的示范流程图；

图7A到图7C例示了网络保证系统与为了管理的电路等的连接模式；

图8例示了网络保证系统和具有不同连接模式的网络。

具体实施方式