[发明专利]一种内网边界管控方法

权利要求书

1.一种内网边界管控方法，其特征在于，包括：

对内网边界设备进行认证；

当所述内网边界设备通过认证且为计算机设备时，依次检测所述内网边界设备中是否包含表征安装客户端程序的第一标签信息、表征安装的客户端程序上线的第二标签信息及表征部署安全防护措施的第三标签信息；

当所述内网边界设备中未包含所述第一标签信息、第二标签信息或第三标签信息时，关闭所述内网边界设备对应的交换机端口；

当所述内网边界设备中包含所述第一标签信息、第二标签信息及第三标签信息时，保持所述内网边界设备对应的交换机端口为开启状态；

当所述内网边界设备未通过认证，关闭未通过认证的内网边界设备对应的交换机端口，在关闭未通过认证的内网边界设备对应的交换机端口之后，该方法还包括：判断是否收到关闭交换机端口的内网边界设备的接入请求；当收到关闭交换机端口的内网边界设备的接入请求时，开启该关闭交换机端口的内网边界设备对应的交换机端口，并将该关闭交换机端口的内网边界设备加入认证设备数据库中。

2.根据权利要求1所述的内网边界管控方法，其特征在于，还包括：将关闭的所述交换机端口加入阻断数据表中。

3.根据权利要求1或2所述的内网边界管控方法，其特征在于，在对内网边界设备进行认证之前，还包括：通过在交换机上定期轮询获取内网边界设备的MAC地址转发表和ARP表的方式获取所述内网边界设备的MAC-IP-PORT对应表。

4.根据权利要求3所述的内网边界管控方法，其特征在于，对获取的内网边界设备的MAC-IP-PORT对应表进行分析，当所述内网边界设备为HUB时，关闭所述HUB对应的交换机端口，并将所述HUB对应的交换机端口加入阻断数据表中。

5.根据权利要求3所述的内网边界管控方法，其特征在于，对内网边界设备进行认证，包括：

当第一次获取内网边界设备的MAC-IP-PORT对应表时，将所述MAC-IP-PORT对应表存入在线设备缓存中，并将内网边界设备的MAC-IP-PORT对应表与认证设备数据库中的MAC数据进行对比；

对于MAC地址不在认证设备数据库中的非认证内网边界设备，关闭所述非认证内网边界设备对应的交换机端口，并将所述非认证内网边界设备对应的交换机端口加入阻断数据表中。

6.根据权利要求5所述的内网边界管控方法，其特征在于，对内网边界设备进行认证，还包括：

当不是第一次获取内网边界设备的MAC-IP-PORT对应表时，将所述MAC-IP-PORT对应表与在线设备缓存中存储的缓存数据进行对比，生成新接入设备信息表并对新接入设备信息表中的新接入设备进行认证；

对于未通过认证的新接入设备，关闭所述未通过认证的新接入设备对应的交换机端口，并将所述未通过认证的新接入设备对应的交换机端口加入到阻断数据表中；

对于通过认证的新接入设备，将所述通过认证的新接入设备存入在线设备缓存中。

7.根据权利要求4-6任一项所述的内网边界管控方法，其特征在于，还包括：

当收到关闭交换机端口的内网边界设备的接入请求时，开启所述关闭交换机端口的内网边界设备对应的交换机端口，并将所述关闭交换机端口的内网边界设备加入认证设备数据库中。

8.根据权利要求4-6任一项所述的内网边界管控方法，其特征在于，按照一预设时间定时重启阻断数据表中的交换机端口，并对重启交换机端口对应的内网边界设备进行认证；

当所述重启交换机端口对应的内网边界设备通过认证或所述重启交换机端口无设备接入，保持所述重启交换机端口开启；

当所述重启交换机端口对应的内网边界设备未通过认证，关闭所述重启交换机端口，并将所述重启交换机端口加入阻断数据表中。

9.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行如权利要求1-8任一项所述的内网边界管控方法。

10.一种内网边界管控设备，其特征在于，包括：

至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行如权利要求1-8任一项所述的内网边界管控方法。