实现网络终端安全接入公共网络的方法和系统及其专用网络接入控制器

摘要

本发明公开了一种实现网络终端安全接入公共网络的方法，将网络接入控制器串接在网络终端和公共网络之间的链路上，需要对防火墙策略库进行配置时，网络终端用户提交配置请求信息，网络接入控制服务器根据配置请求信息生成相应的一组配置命令数据包发送到网络终端，并由串接在所述链路上的网络接入控制器截获该组配置命令数据包，解析出对应的配置命令并执行，完成对防火墙策略配置的更新；网络终端用户在网络接入控制器配置的防火墙策略的安全保护下，访问公共网络。本发明还公开了一种实现网络终端安全接入公共网络的系统及一种网络接入控制器。本发明既能确保网络终端安全接入公共网络，又能方便用户使用。

说明书

技术领域

本发明涉及计算机网络安全技术，特别涉及一种实现网络终端安全接入公共网络的方法和系统，还涉及其专用网络接入控制器。

背景技术

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。简单的来讲，防火墙是一种功能，它使得内部网络和外部网络或Internet互相隔离，以此来保护内部网络或主机。从功能上讲，其主要完成包过滤，包的透明转发，阻挡外部攻击，记录外部攻击等功能。

为了保证某一网络终端在接入公共IP网络进行网络访问时的安全，一般使用防火墙技术，目前，防火墙技术的实现方法大致可以分为两类：防火墙硬件设备和防火墙软件系统。

防火墙硬件设备：这里说的硬件防火墙基于专用的硬件平台，或者是基于PC架构的计算机，这些计算机上运行一些专用的操作系统和防火墙软件，使用这类防火墙，需要用户对所工作的操作系统平台和硬件平台都比较熟悉才能对其进行配置和管理，独立的硬件设备成本高，并且该设备存在于网络拓扑结构中，有被恶意入侵的可能。

防火墙软件系统：软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙软件占用网络终端本身的处理器资源，使用该防火墙软件系统需要用户对所工作的操作系统平台比较熟悉，并且该软件系统有被恶意入侵的可能。

在目前的防火墙技术和应用中，有部分防火墙产品具备远程配置功能，用户可以基于该防火墙在网络中的IP地址对其进行远程访问和配置，但在网络拓扑结构中被分配了相应IP地址的防火墙设备存在被恶意入侵的可能，并且都有配置另外的硬件和复杂性操作系统的需要，在使用和日常维护的工作中需要有专业技术人员的配置和管理。而对于一般小型的企业型计算机网络和个人或家庭计算机网络来说，不全部具备对当前市场上提供防火墙产品的管理和维护的技术基础，也无法承担聘请专业技术人员进行防火墙产品管理和维护所带来的成本。

发明内容

本发明要解决的技术问题是，既能确保网络终端安全接入公共网络，又能方便用户使用。

为解决上述技术问题，本发明提供了一种实现网络终端安全接入公共网络的方法，其特征在于，包括以下步骤：

步骤一、网络终端(NT：Net Terminal)用户安装一网络接入控制器(NTAC：NT Access Controller)，将网络接入控制器串接在网络终端和公共网络之间的链路上，公共网络上接入一网络接入控制服务器(Server)；

步骤二、当网络终端用户需要对网络接入控制器的防火墙策略库进行配置时，进入步骤三；否则进入步骤十；

步骤三、网络终端用户登录网络接入控制服务器，在网络终端、网络接入控制器和网络接入控制服务器之间建立链路；

步骤四、网络接入控制服务器对网络终端用户和网络接入控制器进行验证；

步骤五、网络终端用户向网络接入控制服务器提交配置请求信息；

步骤六、网络接入控制服务器根据配置请求信息生成相应的一组配置命令数据包；

步骤七、网络接入控制服务器发送该组配置命令数据包到网络终端，并由串接在步骤一所述数据链路上的网络接入控制器截获该组配置命令数据包；

步骤八、网络接入控制器从截获的配置命令数据包中解析出对应的配置命令，并执行该配置命令，完成对防火墙策略配置的更新；

步骤九、网络终端接收该组配置命令数据包，确认其完整性，并将确认结果返回到网络接入控制服务器；

步骤十、网络终端用户在网络接入控制器配置的防火墙策略的安全保护下，访问公共网络。

为解决上述技术问题，本发明还提供了一种实现网络终端安全接入公共网络的系统，包括NT、NTAC、Server，Server接入到公共网络，Server根据NT用户提交的配置请求信息对NTAC的防火墙策略库进行配置，其特征在于，NTAC串接在NT同公共网络之间的数据链路上，无需为其分配IP地址，在整体网络拓扑结构中为透明设备，内部保存用于对流经的数据包进行检测和控制的防火墙策略，初始化设置为“停止防火墙策略”，停止防火墙策略时对流向NT的数据包进行透明转发，启动防火墙策略时，只有符合防火墙策略访问规则的数据包被透明转发，不符合防火墙策略访问规则的数据包被屏蔽。

本发明还提供了一种实现网络终端安全接入公共网络的网络接入控制器，包括网络处理单元、防火墙策略库、防火墙策略配置单元、数据包检查单元、网络接口，一网络接口同公共网络连接，一网络接口同网络终端连接，通过数据包检查单元截获流经的数据包并进行检测和控制，由网络处理单元根据防火墙策略配置的访问规则对数据包进行过滤和透明转发，在网络处理单元及防火墙策略配置单元控制下将接收到的防火墙策略信息存入防火墙策略库；其不能被分配IP地址，接入网络无需为其分配IP地址。

本发明中，NTAC具有一个唯一的设备ID；NTAC串接在NT同公共网络之间的链路上，对流经NTAC的所有数据包进行检测和控制，其不能被分配IP地址，无需为其分配IP地址，在整体网络拓扑结构中为透明设备；NTAC内部保存用于对数据包进行检测和控制的防火墙策略，防火墙策略的一个特点是默认屏蔽所有流向NT的数据包，只有当检测到符合访问规则所允许的数据包才会被透明转发；该防火墙策略可以被停止或启动，停止防火墙策略时对流向NT的数据包进行透明转发，启动防火墙策略时，只有符合防火墙策略访问规则的数据包被透明转发，不符合防火墙策略访问规则的数据包被屏蔽，NTAC初始化设置为“停止NTAC防火墙”；该防火墙策略可以被远程配置和管理，NTAC截获来自远端网络终端接入控制服务器(Server)的配置命令，该配置命令包括：启动和停止NTAC防火墙策略；添加、修改和删除防火墙策略库中的访问规则。在本发明中，NTAC在用户侧，无需任何软件支持，用户只需将该设备串接在其网络线路上即可，由Server实现防火墙策略的集中管理和维护，无需网络终端用户具备相关专业知识和技能，能方便用户使用；NTAC对用户和其他网络设备是透明的，不为其分配IP地址，在整个网络拓扑结构中不可见，所以其他恶意网络用户无法对其进行攻击和破坏，能确保网络终端安全。

附图说明

下面结合附图及具体实施方式对本发明作进一步详细说明。

图1是本发明的网络拓扑结构图；

图2是本发明的NTAC结构示意图；

图3是本发明的NT用户通过Server对NTAC进行防火策略配置的流程图；

具体实施方式

在本发明的一具体实施方式中，将一网络终端接入控制器(NTAC)串接在网络终端(NT)和Internet之间，并且串接在Internet与NT的链路上，对流经NTAC的数据包进行检测和控制。NTAC在网络拓扑结构中对NT和Internet是透明的设备，无需为其分配IP地址。

所涉及的NTAC具有以下特征：

NTAC不能被分配IP地址，不为其分配IP地址，在整体网络拓扑结构中为透明设；

NTAC具有一个唯一的设备识别码ID；

NTAC内部可以保存用于对IP数据包进行检测和控制的防火墙策略；

NTAC初始化设置为“停止NTAC防火墙”。

防火墙策略的一个特点是默认屏蔽所有流向NT的数据包，只有当检测到符合访问规则所允许的数据包才会被透明转发。

NTAC截获来自远端网络终端接入控制服务器(Server)的配置命令，该配置命令包括：

1、启动和停止命令：启动NTAC防火墙策略，NTAC进入工作状态，对流向NT的数据包进行检测和控制，根据防火墙策略所描述的访问规则对数据包进行过滤，符合访问规则的数据包得到透明转发，不符合访问规则的数据包被屏蔽和丢弃；停止NTAC防火墙策略，对流向NT的数据包只进行透明转发。

2、更新命令：添加，修改和删除防火墙策略，配置和更新防火墙策略库。

所涉及的Server具有以下特征：

该Sever包括一数据库管理模块，该模块功能包括：管理和维护一个用户数据库，为用户提供注册、登录和身份验证；管理和维护一个NTAC设备ID数据库；管理和维护一个授信网络访问列表，先行对网络上的其他网络服务进行审查，并授予相应的信用等级，提供给用户进行选择，这里所指的授信等级，可以是相关行业标准，也可以是Server所在系统自定义的相关标准。

用户通过Server对NTAC进行配置的一实施方式流程如图3所示：

1、登录Server-通过HTTP页面进行登录；

2、建立NT到Server之间的安全连接(比如HTTPS)；

3、验证用户-通过该安全连接提交用户名和密码；

4、验证NTAC设备-通过该安全连接提交NTAC设备ID；

NTAC的ID为生产出厂定义的ID号，由产品说明书的形式提供给用户，用户在登录Server对NTAC进行配置时，需要提供该ID，并且与用户名和密码绑定在一起，由Server进行核对和验证。

“步骤1到步骤4”可以总称为合法用户与设备的验证流程。该系列步骤中，用户需要提交的验证信息包含三个要素：用户名、密码和所需配置的NTAC的ID号。通过执行该系列步骤，在NT和Server之间建立链路。该链路也用来传送Server发送到NT的配置命令数据包，NTAC串接在该链路上，自动截获该类配置命令数据包。

5、用户提交“配置请求信息”，即用户提交个性化需求：提交“要求NTAC完成的防火墙功能”的行为描述；

Server为用户提供一个授信等级的备选网络服务列表，提供其他网络服务提供商的相关信息和授信等级，供用户进行查询和使用。用户在提交个性化需求时进行参考。

6、Server将用户的个性化需求转换为NTAC的配置策略，形成相应的一组配置命令数据包。

Server提供对接入系统的NTAC进行管理和维护的功能，通过网页，短信息或人工电话的方式，得到每一个来自用户的防火墙定制信息，将用户的个性化需求转换为NTAC的配置策略，形成相应的配置命令数据包。使用NTAC的用户也可以通过Server提供的安全管理环境，进行轻松部署与管理，该转换过程可以是Server自动完成，如对于通过HTTP访问提交的请求，也可以由客户服务代表生成，如通过热线电话、短信息或其他即时通讯工具提交的请求。

7、Server向NT发送该组配置命令数据包

在NTAC的安全性考虑上，由于该设备在网络中透明，所以不会被恶意的访问者进行攻击，同时在需要配置时，先由NTAC所保护的NT发起申请，建立NT到Server之间的安全连接，同时NTAC串接在Serve与NT之间的链路上，所以可以截获来自Server的配置命令数据包。

该配置命令数据包具有系统自定义的数据格式，能够被NTAC自动识别。比如在该数据包的某些字段加入系统自定义的特定数据特征，或者是该类特定数据特征的组合。

该特定数据特征的组合必需包括被配置对象NTAC的设备ID相关的数据内容，即NTAC检测到的配置命令数据包中对应NTAC的设备ID，与自身的设备ID一致的条件下，才被认为是一个可能的有效配置数据包。这是出于安全考虑，有效地防止了“伪造配置请求信息”的行为。

一个完整的配置命令由多个配置命令数据包进行传递，并且NTAC只有收到一个完整的配置命令才会执行，这样执行一个完整的配置命令，需要NT多次分步骤向Server发出请求信息，Server根据NT的请求信息发送相应的配置命令数据包，这样有效地防止了“伪造配置命令数据包”的行为。

8、NTAC实时检测链路上流向NT的数据包，首先检测该数据包是否符合防火墙策略所定义的访问规则，不符合的予以屏蔽和丢弃，符合的透明转发，访问规则包括但不限于：IP地址检查；协议类型检查；服务端口检查；对IP源地址准入时间设置；对IP源地址在一定时间段内累计流量设置，然后检测该符合访问规则的数据包是否包含系统自定义的特定数据特征，将包含特定数据特征的数据包识别为配置命令数据包，从数据包中提取相关配置信息进行缓存。NTAC根据构成一个完整配置命令的多个配置命令数据包解析出配置命令，并执行该配置命令，完成对防火墙策略配置的更新；

9、配置命令数据包被NTAC解析的同时，也会被透明转发到NT，所以当NT接收到一个配置命令数据包，系统默认该配置命令数据包被NTAC成功解析。当NT收到构成一个完整的配置命令的多个配置命令数据包，表示NTAC成功执行了该配置命令，然后由NT向Server发送配置命令被成功执行的确认信息。

10、Server对NT发送的确认信息进行确认，流程结束；

如图1所示，实现网络终端安全接入公共网络的系统，包括NT，NT可以是单个网络终端，也可以是由多个网络终端组成的局部网络，还包括NTAC、Server；NTAC串接在NT同公共网络之间的数据链路上，内部保存用于对数据包进行检测和控制的防火墙策略，停止防火墙策略时对流向NT的数据包进行透明转发，启动防火墙策略时，只有符合防火墙策略访问规则的数据包被透明转发，不符合防火墙策略访问规则的数据包被屏蔽；Server接入到公共网络，Server根据NT用户提交的配置请求信息对NTAC的防火墙策略库进行配置。

如图2所示，NTAC包括网络处理单元、防火墙策略库、防火墙策略配置单元、数据包检查单元、网络接口，一网络接口同公共网络连接，一网络接口同网络终端连接，通过数据包检查单元对流经NTAC的数据包进行检查，由网络处理单元根据防火墙策略配置的访问规则对数据包进行过滤和透明转发，在网络处理单元及防火墙策略配置单元控制下将接收到的防火墙策略信息存入防火墙策略库；其不能被分配IP地址，接入网络无需为其分配IP地址。

下面给出一个具体的实施例。

针对某一网络用户，为了进行股票交易的需要，准备了一台专门用于股票交易的NT(PC机)，并且该NT只用于进行股票交易的网络访问服务，该用户要求NT安全接入网络，不会受到其他网络用户的攻击。该用户不具备网络安全任何相关技术背景，同时要求无需任何NT端软件支持的情况下，确保NT安全。

可以通过本发明所提供的系统满足上述用户的应用需求：

设计一个NTAC，串联安装在用户访问网络的数据链路上，最靠近用户网络终端测。该NTAC具有IP数据包检测控制功能。该设备维护一个“IP源地址列表”，只有当检测到的数据包所描述的“IP源地址”，属于“IP源地址列表”时，该数据包得以透明转发，否则该数据包并屏蔽和丢弃。

建立一个Server，该Server接入到internet，提供该用户进行注册登记，提供给该用户一个用户名和登录密码，同时该Server维护一个NTAC的ID列表和被授予信用等级的网络访问提供商所在的“IP地址列表”。

1.用户通过NT(PC机)访问Internet网络，将NTAC串接在网络数据链路上最靠近NT侧。该NTAC相对于NT和Internet为透明设备。

此时，NTAC的防火墙策略库列表为空，防火墙策略还没有被启用，NTAC只是透明转发所有的数据链路上的IP数据包。用户可以访问Internet中的所有网络设备，同时也可以被网络上的所有其他设备访问。

2.用户登录Server(特指本系统中所建立的Server)，提交所使用的NTAC的设备ID号(比如为“88888888”)，同时注册用户名和密码。Server将自身的IP地址配置到NTAC的“IP源地址列表”中，并启用NTAC的防火墙策略。

此时，NTAC的防火墙策略库列表即“IP源地址列表”中包含了Server的IP地址。NTAC将透明转发所有来自Server的IP数据包，并屏蔽和丢弃所有其他IP地址发来的IP数据包。这个时候，NT可以安全的访问Internet，但是只能访问Server。

3.用户继续登录Server，通过查询Server维护和管理的被授信网络服服务站点列表，选择一个可以满足股票交易相关网络服务的站点(比如其IP地址为11.11.11.11)。提交一个配置申请，申请将IP源地址“11.11.11.11”添加到ID号为“88888888”的NTAC的防火墙策略配置库中。

4.在NTAC的安全策略下，用户开始访问Internet。

此时，NTAC允许用户访问IP地址为“11.11.11.11”的站点，得到其提供的股票交易相关网络服务。同时屏蔽所有其他IP地址发来的IP数据包。达到了在满足用户特定网络访问服务需求的前提下，安全接入Internet的目的。

本发明通过在NT网络终端与公共网络之间串接一个NTAC，该NTAC通过对流经的数据包进行检测和控制，从而保证NT进行网络连接的安全保护。NT用户通过登录网络接入Server，可以完成用户信息注册，定制个人防火墙策略，并下载和更新到NTAC内部。每一个用户所使用的NTAC在Server中具有一个独立的且唯一的设备编号，用户信息注册主要是将该设备编号和用户定制的个人防火墙策略进行关联。用户定制个人防火墙策略可以根据用户自身的技术应用水平进行分级管理和设置。当Server接收到用户请求对防火墙策略进行配置和更新时，将用户个性化定制的防火墙策略下载到对应的NTAC，这种对应关系是通过定义系统独特的数据包格式和协议来完成的，比如应用数据包的某些字段，定义NTAC能识别的特殊命令格式。

本发明中的Server提供了对接入系统的NTAC进行管理和维护的功能，通过网页、短信息或人工电话的方式，得到每一个来自用户的防火墙定制信息，然后由Server端的专业人员或者由Server自动生成NTAC可识别的对应的专业描述下载到对应的NTAC中。使用NTAC的用户也可以通过Server提供的安全管理(Security Manager)环境，进行轻松部署与管理。Server的管理和维护功能是基于HTML网页页面操作的，非常适用于非专业用户，特别是个人家庭或小型企业，是最经济高效的集成安全解决方案。

在本发明的技术方案中，NTAC在用户侧，无需任何相关技术背景，也无需任何软件支持，用户只需将该设备串接在其网络线路上即可，由网络终端接入控制服务器实现防火墙策略的集中管理和维护，无需网络终端用户具备相关专业知识和技能，能方便用户使用；NTAC对用户和其他网络设备是透明的，无需为其分配IP地址，在整个网络拓扑结构中不可见，所以其他恶意网络用户无法对其进行攻击和破坏，能确保网络终端安全；NTAC主要完成流经的数据包的检测和控制，基于较低性能的硬件系统，亦或是单芯片系统就可以实现，具有相对较低的成本。