1.本发明涉及信息安全
技术领域:
:,具体涉及一种基于终端网络准入的方法。
背景技术:
::2.随着网络技术的发展,网络会带来各种安全的威胁,为了更好的保护涉密终端设备不被威胁,因此有必要对终端设备通过网络准入身份验证和安全合规检查后入网,只有经过身份验证和安全合规检查的终端设备才可以接入到网络。3.目前,现有的网络准入方法是通过平台服务器接收终端设备发送的入网请求,以及平台服务器对终端设备进行身份认证,若确定终端设备的身份不合法,则拒绝终端设备接入网络,若确定终端设备的身份合法,则进行安全合规检查可以进行网络入网。容易出现终端设备在不安全的情况下接入网络,导致平台服务器收到安全威胁,使所有的终端都出现网络威胁。技术实现要素:4.为此,本发明提供一种基于终端网络准入的方法,以解决现有网络终端接入网络时存在网络威胁风险的问题。5.为了实现上述目的,本发明提供如下技术方案:6.本发明公开了一种基于终端网络准入的方法,所述方法为:7.终端设备向网络管理平台发送入网请求;8.网络安全平台接收入网请求,判定终端是否符合入网要求;9.管理员综合判断符合入网后通过网络管理平台向终端设备发送入网策略;10.终端设获取入网策略或者拒绝入网的请求后,配置网络管理规则,控制接入上网或者禁止入网。11.进一步地,所述网络安全平台通过管理员注册登录后,使管理员具有审批管理权限,允许终端设备入网或者拒绝终端设备入网。12.进一步地,所述终端设备向网络管理平台发送入网请求之前还包括:13.监控终端设备是否处于安全状态,当终端设备处于非安全状态下,使终端设备仅与网络安全平台相通,与其它终端设备网络不通。14.进一步地,所述终端设备在安全状态的前提下,通过http协议restfulapi接口发送入网申请到网络管理平台。15.进一步地,所述网络管理平台收到入网申请后,安全管理员对入网的终端申请进行审批,符合要求的终端通过审批,并且平台通过http协议向终端设备发送同意入网的策略。16.进一步地,所述管理平台收到入网申请后,安全管理员对入网终端申请进行审批,对不符合的拒绝入网,通过htpp协议向终端设备发送拒绝入网的策略。17.进一步地,所述终端设备收到拒绝或同意的策略后,在本地生成策略文件,通过iptables对策略进行控制。18.进一步地,所述终端设备对策略更改进行监控,及时对终端设备进行禁用或启动网络。19.本发明具有如下优点:20.本发明公开了一种基于终端网络准入的方法,终端设备向网络安全平台发送入网请求,安全管理员对入网终端申请进行审批,符合要求的终端审批通过,不符合要求的拒绝入网,保证了每个终端设备入网的安全性,同时不会对已入网的其它终端设备造成网络安全隐患。附图说明21.为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其它的实施附图。22.本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。23.图1为本发明实施例提供的一种基于终端网络准入的方法的流程图。具体实施方式24.以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。25.实施例26.本实施例公开了一种基于终端网络准入的方法,所述方法为:27.终端设备向网络管理平台发送入网请求;28.网络安全平台接收入网请求,判定终端是否符合入网要求;29.管理员综合判断符合入网后通过网络管理平台向终端设备发送入网策略;30.终端设获取入网策略或者拒绝入网的请求后,配置网络管理规则,控制接入上网或者禁止入网。31.网络安全平台通过管理员注册登录后,使管理员具有审批管理权限,允许终端设备入网或者拒绝终端设备入网,终端设备被拒绝入网后并对终端设备的id进行标记,当被拒绝入网的设备再次申请入网时,对标记过的id进行重点审核。只有当满足网络安全要求时才能允许入网。32.终端设备向网络管理平台发送入网请求之前还包括:33.监控终端设备是否处于安全状态,当终端设备处于非安全状态下,使终端设备仅与网络安全平台相通,与其它终端设备网络不通。保证其它监控终端不受网络安全威胁。34.终端设备在安全状态的前提下,通过http协议restfulapi接口发送入网申请到网络管理平台,网络管理平台收到入网申请后,安全管理员对入网的终端申请进行审批,符合要求的终端通过审批,并且平台通过http协议向终端设备发送同意入网的策略。35.管理平台收到入网申请后,安全管理员对入网终端申请进行审批,对不符合的拒绝入网,通过htpp协议向终端设备发送拒绝入网的策略,终端设备收到拒绝或同意的策略后,在本地生成策略文件,通过iptables对策略进行控制。防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在linux内核中。在数据包过滤表中,规则被分组放在我们所谓的链chain中。而netfiler/iptablesip数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。36.终端设备获取入网策略或者拒绝入网的请求后配置网络管理规则,控制上网或者禁止入网,保证终端设备的网络安全。37.本实施例公开了一种基于终端网络准入的方法,终端设备向网络安全平台发送入网请求,安全管理员对入网终端申请进行审批,符合要求的终端审批通过,不符合要求的拒绝入网,保证了每个终端设备入网的安全性,同时不会对已入网的其它终端设备造成网络安全隐患。38.虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。技术特征:1.一种基于终端网络准入的方法,其特征在于,所述方法为:终端设备向网络管理平台发送入网请求;网络安全平台接收入网请求,判定终端是否符合入网要求;管理员综合判断符合入网后通过网络管理平台向终端设备发送入网策略;终端设获取入网策略或者拒绝入网的请求后,配置网络管理规则,控制接入上网或者禁止入网。2.如权利要求1所述的一种基于终端网络准入的方法,其特征在于,所述网络安全平台通过管理员注册登录后,使管理员具有审批管理权限,允许终端设备入网或者拒绝终端设备入网。3.如权利要求1所述的一种基于终端网络准入的方法,其特征在于,所述终端设备向网络管理平台发送入网请求之前还包括:监控终端设备是否处于安全状态,当终端设备处于非安全状态下,使终端设备仅与网络安全平台相通,与其它终端设备网络不通。4.如权利要求1所述的一种基于终端网络准入的方法,其特征在于,所述终端设备在安全状态的前提下,通过http协议restfulapi接口发送入网申请到网络管理平台。5.如权利要求1所述的一种基于终端网络准入的方法,其特征在于,所述网络管理平台收到入网申请后,安全管理员对入网的终端申请进行审批,符合要求的终端通过审批,并且平台通过http协议向终端设备发送同意入网的策略。6.如权利要求1所述的一种基于终端网络准入的方法,其特征在于,所述管理平台收到入网申请后,安全管理员对入网终端申请进行审批,对不符合的拒绝入网,通过htpp协议向终端设备发送拒绝入网的策略。7.如权利要求1所述的一种基于终端网络准入的方法,其特征在于,所述终端设备收到拒绝或同意的策略后,在本地生成策略文件,通过iptables对策略进行控制。8.如权利要求7所述的一种基于终端网络准入的方法,其特征在于,所述终端设备对策略更改进行监控,及时对终端设备进行禁用或启动网络。技术总结本发明公开了一种基于终端网络准入的方法,所述方法为:终端设备向网络管理平台发送入网请求;网络安全平台接收入网请求,判定终端是否符合入网要求;管理员综合判断符合入网后通过网络管理平台向终端设备发送入网策略;终端设获取入网策略或者拒绝入网的请求后,配置网络管理规则,控制接入上网或者禁止入网。本发明解决了现有网络终端接入网络时存在网络威胁风险的问题。络威胁风险的问题。络威胁风险的问题。技术研发人员:李枝广王升平受保护的技术使用者:北京鼎普科技股份有限公司技术研发日:2021.08.19技术公布日:2021/11/23
技术领域:
:,具体涉及一种基于终端网络准入的方法。
背景技术:
::2.随着网络技术的发展,网络会带来各种安全的威胁,为了更好的保护涉密终端设备不被威胁,因此有必要对终端设备通过网络准入身份验证和安全合规检查后入网,只有经过身份验证和安全合规检查的终端设备才可以接入到网络。3.目前,现有的网络准入方法是通过平台服务器接收终端设备发送的入网请求,以及平台服务器对终端设备进行身份认证,若确定终端设备的身份不合法,则拒绝终端设备接入网络,若确定终端设备的身份合法,则进行安全合规检查可以进行网络入网。容易出现终端设备在不安全的情况下接入网络,导致平台服务器收到安全威胁,使所有的终端都出现网络威胁。技术实现要素:4.为此,本发明提供一种基于终端网络准入的方法,以解决现有网络终端接入网络时存在网络威胁风险的问题。5.为了实现上述目的,本发明提供如下技术方案:6.本发明公开了一种基于终端网络准入的方法,所述方法为:7.终端设备向网络管理平台发送入网请求;8.网络安全平台接收入网请求,判定终端是否符合入网要求;9.管理员综合判断符合入网后通过网络管理平台向终端设备发送入网策略;10.终端设获取入网策略或者拒绝入网的请求后,配置网络管理规则,控制接入上网或者禁止入网。11.进一步地,所述网络安全平台通过管理员注册登录后,使管理员具有审批管理权限,允许终端设备入网或者拒绝终端设备入网。12.进一步地,所述终端设备向网络管理平台发送入网请求之前还包括:13.监控终端设备是否处于安全状态,当终端设备处于非安全状态下,使终端设备仅与网络安全平台相通,与其它终端设备网络不通。14.进一步地,所述终端设备在安全状态的前提下,通过http协议restfulapi接口发送入网申请到网络管理平台。15.进一步地,所述网络管理平台收到入网申请后,安全管理员对入网的终端申请进行审批,符合要求的终端通过审批,并且平台通过http协议向终端设备发送同意入网的策略。16.进一步地,所述管理平台收到入网申请后,安全管理员对入网终端申请进行审批,对不符合的拒绝入网,通过htpp协议向终端设备发送拒绝入网的策略。17.进一步地,所述终端设备收到拒绝或同意的策略后,在本地生成策略文件,通过iptables对策略进行控制。18.进一步地,所述终端设备对策略更改进行监控,及时对终端设备进行禁用或启动网络。19.本发明具有如下优点:20.本发明公开了一种基于终端网络准入的方法,终端设备向网络安全平台发送入网请求,安全管理员对入网终端申请进行审批,符合要求的终端审批通过,不符合要求的拒绝入网,保证了每个终端设备入网的安全性,同时不会对已入网的其它终端设备造成网络安全隐患。附图说明21.为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其它的实施附图。22.本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。23.图1为本发明实施例提供的一种基于终端网络准入的方法的流程图。具体实施方式24.以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。25.实施例26.本实施例公开了一种基于终端网络准入的方法,所述方法为:27.终端设备向网络管理平台发送入网请求;28.网络安全平台接收入网请求,判定终端是否符合入网要求;29.管理员综合判断符合入网后通过网络管理平台向终端设备发送入网策略;30.终端设获取入网策略或者拒绝入网的请求后,配置网络管理规则,控制接入上网或者禁止入网。31.网络安全平台通过管理员注册登录后,使管理员具有审批管理权限,允许终端设备入网或者拒绝终端设备入网,终端设备被拒绝入网后并对终端设备的id进行标记,当被拒绝入网的设备再次申请入网时,对标记过的id进行重点审核。只有当满足网络安全要求时才能允许入网。32.终端设备向网络管理平台发送入网请求之前还包括:33.监控终端设备是否处于安全状态,当终端设备处于非安全状态下,使终端设备仅与网络安全平台相通,与其它终端设备网络不通。保证其它监控终端不受网络安全威胁。34.终端设备在安全状态的前提下,通过http协议restfulapi接口发送入网申请到网络管理平台,网络管理平台收到入网申请后,安全管理员对入网的终端申请进行审批,符合要求的终端通过审批,并且平台通过http协议向终端设备发送同意入网的策略。35.管理平台收到入网申请后,安全管理员对入网终端申请进行审批,对不符合的拒绝入网,通过htpp协议向终端设备发送拒绝入网的策略,终端设备收到拒绝或同意的策略后,在本地生成策略文件,通过iptables对策略进行控制。防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在linux内核中。在数据包过滤表中,规则被分组放在我们所谓的链chain中。而netfiler/iptablesip数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。36.终端设备获取入网策略或者拒绝入网的请求后配置网络管理规则,控制上网或者禁止入网,保证终端设备的网络安全。37.本实施例公开了一种基于终端网络准入的方法,终端设备向网络安全平台发送入网请求,安全管理员对入网终端申请进行审批,符合要求的终端审批通过,不符合要求的拒绝入网,保证了每个终端设备入网的安全性,同时不会对已入网的其它终端设备造成网络安全隐患。38.虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。技术特征:1.一种基于终端网络准入的方法,其特征在于,所述方法为:终端设备向网络管理平台发送入网请求;网络安全平台接收入网请求,判定终端是否符合入网要求;管理员综合判断符合入网后通过网络管理平台向终端设备发送入网策略;终端设获取入网策略或者拒绝入网的请求后,配置网络管理规则,控制接入上网或者禁止入网。2.如权利要求1所述的一种基于终端网络准入的方法,其特征在于,所述网络安全平台通过管理员注册登录后,使管理员具有审批管理权限,允许终端设备入网或者拒绝终端设备入网。3.如权利要求1所述的一种基于终端网络准入的方法,其特征在于,所述终端设备向网络管理平台发送入网请求之前还包括:监控终端设备是否处于安全状态,当终端设备处于非安全状态下,使终端设备仅与网络安全平台相通,与其它终端设备网络不通。4.如权利要求1所述的一种基于终端网络准入的方法,其特征在于,所述终端设备在安全状态的前提下,通过http协议restfulapi接口发送入网申请到网络管理平台。5.如权利要求1所述的一种基于终端网络准入的方法,其特征在于,所述网络管理平台收到入网申请后,安全管理员对入网的终端申请进行审批,符合要求的终端通过审批,并且平台通过http协议向终端设备发送同意入网的策略。6.如权利要求1所述的一种基于终端网络准入的方法,其特征在于,所述管理平台收到入网申请后,安全管理员对入网终端申请进行审批,对不符合的拒绝入网,通过htpp协议向终端设备发送拒绝入网的策略。7.如权利要求1所述的一种基于终端网络准入的方法,其特征在于,所述终端设备收到拒绝或同意的策略后,在本地生成策略文件,通过iptables对策略进行控制。8.如权利要求7所述的一种基于终端网络准入的方法,其特征在于,所述终端设备对策略更改进行监控,及时对终端设备进行禁用或启动网络。技术总结本发明公开了一种基于终端网络准入的方法,所述方法为:终端设备向网络管理平台发送入网请求;网络安全平台接收入网请求,判定终端是否符合入网要求;管理员综合判断符合入网后通过网络管理平台向终端设备发送入网策略;终端设获取入网策略或者拒绝入网的请求后,配置网络管理规则,控制接入上网或者禁止入网。本发明解决了现有网络终端接入网络时存在网络威胁风险的问题。络威胁风险的问题。络威胁风险的问题。技术研发人员:李枝广王升平受保护的技术使用者:北京鼎普科技股份有限公司技术研发日:2021.08.19技术公布日:2021/11/23
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
