[发明专利]一种端点准入防御中的报文控制方法及接入设备

说明书

技术领域

本发明属于数据通信技术领域，尤其涉及一种端点准入防御(Endpoint Admission Defense，EAD)中的报文控制方法及接入设备。

背景技术

EAD的基本功能是通过安全客户端、安全联动设备(如交换机、路由器)、 安全策略服务器以及防病毒服务器、补丁服务器的联动实现的，其基本原理如 图1所示：

(1)用户终端试图接入网络时，首先通过安全客户端由安全联动设备(接 入设备)和安全策略服务器配合进行用户身份认证，非法用户将被拒绝接入网 络；

(2)安全策略服务器对合法用户下发安全策略，并要求合法用户进行安 全状态认证；

(3)安全客户端对合法用户的补丁版本、病毒库版本等进行检测，并将 安全策略检查的结果上报安全策略服务器；

(4)安全策略服务器根据检查结果控制用户的访问权限：

安全状态不合格的用户将被安全联动设备隔离到隔离区，进入隔离区的用 户只能访问指定的资源，例如，补丁服务器、病毒服务器、内部的FTP服务 器等(通过在接入端口下发隔离访问控制列表(Access Control List，ACL)来 控制)，并通过访问这些指定的资源来进行系统的修复和补丁、病毒库的升级， 直到安全状态合格；

安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全 联动设备提供基于身份的网络服务，此时，用户能够访问大部分网络资源(通 过通过在接入端口下发安全ACL来控制)。

从EAD的主要功能和基本原理可以看出，EAD将终端防病毒、补丁修复 等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联 动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整 个网络变被动防御为主动防御，变单点防御为全面防御，变分散管理为集中策 略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

当前EAD的实现方式，可以对用户做到精细化的管理和控制，但其缺点 也比较明显：对接入设备的ACL资源占用的比较多。因为当前的EAD方案下 发隔离ACL或安全ACL时，是基于用户下发的，如果隔离ACL有5条规则， 那么每个用户要占用5条，如果有100个用户上线，那么对接入设备的ACL 资源消耗就是5×100＝500条规则。而接入设备的硬件芯片所能支持的ACL 资源有限，在每个用户都需要接入设备下发多条ACL时，其能够接入的用户 数将大大减少。

发明内容

本发明所要解决的技术问题是提供一种端点准入防御中的报文控制方法 及接入设备，以减少对接入设备ACL资源的消耗，进而增加接入设备对用户 终端的接入能力。

为解决上述技术问题，本发明提供技术方案如下：

一种端点准入防御中的报文控制方法，包括如下步骤：

分别在接入端口和上行接口配置两个VLAN：隔离VLAN和安全VLAN；

在上行接口配置隔离类ACL和安全类ACL，所述隔离类ACL的匹配规 则为：判断报文的VLAN是否为隔离VLAN，以及，报文的目的地址是否为 允许的目的地址；所述安全类ACL的匹配规则为：判断报文的VLAN是否为 安全VLAN，以及，报文的目的地址是否为允许的目的地址；

建立用户信息与用户状态的对应关系，其中，未通过安全状态认证的用户 为隔离状态，通过安全状态认证的用户为安全状态；

对于在接入端口接收到的处于隔离状态的用户的上行报文，将该上行报文 的原始VLAN切换为隔离VLAN后转发到上行接口；对于在接入端口接收到 的处于安全状态的用户的上行报文，将该上行报文的原始VLAN切换为安全 VLAN后转发到上行接口；

对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文， 将该上行报文的VLAN切换为原始VLAN后进行转发。

上述的报文控制方法，其中，还包括：对于在接入端口接收到的处于隔离 状态的用户的本地报文，丢弃该本地报文。

上述的报文控制方法，其中，还包括：对于在接入端口接收到的处于隔离 状态的用户的报文，如果该报文的目的地址为未知地址，或者，目的地址为广 播地址，则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口。