[发明专利]一种管理网络外联的方法和装置

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种管理网络外联的方法和装置。

背景技术

计算机网络，是指将地理位置不同的具有独立功能的多台计算机及其外部设备，通过通信线路连接起来，在网络操作系统，网络管理软件及网络通信协议的管理和协调下，实现资源共享和信息传递的计算机系统。企业或者机构为了保证其内部的信息安全，杜绝内部终端连接外网以及外部终端连接内部网络。

在现有技术中，企业或者机构需要花费一定的资金，购买硬件防火墙之类的产品，将其安装在内部网络与外部网交互的网络接口之间，对内部网络中的终端访问外部网的网站的网页请求在网络接口进行拦截，以进行企业内部封闭网的网络企业内网访问管理。该种方式操作需要在规定位置安装硬件设备，操作过程复杂，需要较高的硬件成本，并且后期维护成本较高。

同时，手机等许多智能设备可以随意接入内部网络，使内部网络设备管理困难，甚至通过内部网络设备构建WiFi网络，不仅再次增加管理难度，而且使内部数据信息处于危险之中。

发明内容

本发明实施例提供了一种管理网络外联的方法和装置，能够准确、实时、有效地判断出非法外联设备，方便内部网络的管理，同时能够保证内部数据信息的安全。

第一方面，本发明实施例提供了一种管理网络外联的方法，该方法包括：

S1：侦测流经网卡的接入网络数据包；

S2：当侦测到设备接入时，获取接入设备的标准服务数据和广播数据；

S3：根据接入设备的标准服务数据和广播数据，判断该接入设备是否为非法外联设备；

S4：当该接入设备为非法外联设备时，将该接入设备隔离出网络。

优选地，步骤S3的具体过程包括：

根据接入设备的标准服务数据和广播数据，获取接入设备的唯一标识信息，判断该接入设备的唯一标识信息是否属于合法的标识信息，若是，确定该接入设备为合法设备，并结束当前流程；否则，确定该接入设备为非法外联设备，并执行步骤S4。

优选地，接入设备的唯一标识信息包括但不限于IP地址或MAC地址。

优选地，步骤S3的具体过程包括：

根据接入设备的标准服务数据和广播数据，获取接入设备的网络通讯数据，判断该接入设备是否存在非法通讯，若是确定该接入设备为非法外联设备，并执行步骤S4；否则，确定该接入设备为合法设备。

优选地，非法通讯包括但不限于连接外部网络。

本发明实施例提供了一种管理网络外联的装置，该装置包括：侦测单元、探测单元、判断单元和处理单元，其中，

侦测单元，用于侦测流经网卡的接入网络数据包；

探测单元，用于当侦测到设备接入时，获取接入设备的标准服务数据和广播数据；

判断单元，用于根据接入设备的标准服务数据和广播数据，判断该接入设备是否为非法外联设备；

处理单元，用于当该接入设备为非法外联设备时，将该接入设备隔离出网络。

优选地，判断单元具体用于根据接入设备的标准服务数据和广播数据，获取接入设备的唯一标识信息，判断该接入设备的唯一标识信息是否属于合法的标识信息，若是，确定该接入设备为合法设备，并结束当前流程；否则，确定该接入设备为非法外联设备，并触发处理单元。

优选地，接入设备的唯一标识信息包括但不限于IP地址或MAC地址。

优选地，判断单元具体用于根据接入设备的标准服务数据和广播数据，获取接入设备的网络通讯数据，判断该接入设备是否存在非法通讯，若是确定该接入设备为非法外联设备，并触发处理单元；否则，确定该接入设备为合法设备。

优选地，非法通讯包括但不限于连接外部网络。

与现有技术相比，本发明至少具有以下有益效果：

1)能够及时、准确、有效地判断出非法外联设备，并对非法外联设备进行控制，有效地解决了非法外联设备接入内部网络；方便内部网络的管理，同时能够保证内部数据信息的安全。

2)能够准确定位各个终端的网络位置，有效地控制内网终端与外网终端，以及安全终端与非安全终端之间的数据传输，保证内网数据的安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一个实施例提供的一种管理网络外联的方法流程图；