一种服务端口管理的方法及装置与流程

本发明涉及通信领域，具体而言，涉及一种服务端口管理的方法及装置。

背景技术：

终端设备在入网商用前，要先经过生产线的测试。如图1所示，生产线的组网方式为装有生产工具的个人计算机(personalcomputer，简称为pc)通过交换机连接终端设备的下行网口，上行口不连接网络。通过telnet终端设备的本地默认配置地址192.168.1.1来批量进行出厂个性化参数配置和硬件检测。而另一方面，网络黑客和流氓软件通过终端设备23号端口和80端口恶意攻击在网终端设备的事件越来越多。为了确保用户正常使用业务，不被黑客攻击，需要关闭终端设备telnet服务的功能。

相关技术中存在终端设备在上线(接入网络)时无法自动关闭其服务端口，用户在使用终端设备时容易遭受网络攻击的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明的实施例提供了一种服务端口管理的方法及装置，以至少解决相关技术中存在的终端设备在接入网络时无法自动关闭其服务端口，用户在使用终端设备时容易遭受网络攻击的问题。

根据本发明实施例的一个方面，提供了一种服务端口管理的方法，该方法可以包括：检测未连接到网络的终端设备是否连接到所述网络；若检测到所述终端设备连接到所述网络，则关闭所述终端设备中处于开启状态的预定服务端口。

进一步地，所述关闭所述终端设备中处于开启状态下的预定服务端口还可以包括：判断是否是由网管设备将所述预定服务端口的状态设置为所述开启状态；若不是，则关闭所述预定服务端口。

进一步地，该方法还可以包括：在关闭所述终端设备中处于开启状态的 预定服务端口之后，接收所述网管设备发送的状态设置指令，其中，所述状态设置指令用于指示将所述预定服务端口的状态设置为所述开启状态或关闭状态；响应所述状态设置指令设置所述预定服务端口的状态，并将存储的状态标识设置为用于指示是由所述网管设备将所述预定服务端口的状态设置为所述开启状态或所述关闭状态。

进一步地，该方法还可以包括：在关闭所述终端设备中处于开启状态的预定服务端口之后，接收所述网管设备发送的恢复出厂设置指令；响应所述恢复出厂设置指令将所述预定服务端口的状态恢复为出厂设置的原始状态；检测所述终端设备是否从未连接到所述网络的状态变为连接到所述网络的状态；若检测到所述终端设备从所述未连接到所述网络的状态变为连接到所述网络的状态，则关闭所述终端设备中处于开启状态的所述预定服务端口。

进一步地，该方法还可以包括：在关闭所述终端设备中处于开启状态的预定服务端口之后，在检测到所述终端设备重启或者所述终端设备断开与所述网络的连接之后，保持所述预定服务端口的状态。

进一步地，检测未连接到网络的终端设备是否连接到所述网络还可以包括：在所述终端设备为无源光网络(passiveopticalnetwork，简称为pon)终端设备时，若检测到由所述终端设备的上行pon口接上光纤所产生的光信号，则判定检测到所述终端设备连接到所述网络。

进一步地，检测未连接到网络的终端设备是否连接到所述网络还可以包括：在所述终端设备为局域网(localareanetwork，简称为lan)上行终端设备或数字用户线路(digitalsubscriberline，简称为dsl)终端设备时，若由所述终端设备的上行网口接上网线而接收到宽带的网络之间互连协议(internetprotocol，简称为ip)地址，则判定检测到所述终端设备连接到所述网络。

进一步地，预定服务端口至少可以包括：telnet服务端口。

根据本发明实施例的另一方面，提供了一种服务端口管理的装置，该装置可以包括：第一检测模块，用于检测未连接到网络的终端设备是否连接到所述网络；第一关闭模块，用于若检测到所述终端设备连接到所述网络，则关闭所述终端设备中处于开启状态的预定服务端口。

进一步地，所述第一关闭模块可以包括：判断单元，用于判断是否是由网管设备将所述预定服务端口的状态设置为所述开启状态；关闭单元，用于若不是，则关闭所述预定服务端口。

进一步地，所述装置还可以包括：第一接收模块，用于在关闭所述终端设备中处于开启状态的预定服务端口之后，接收所述网管设备发送的状态设置指令，其中，所述状态设置指令用于指示将所述预定服务端口的状态设置为所述开启状态或关闭状态；第一响应模块，用于响应所述状态设置指令设置所述预定服务端口的状态，并将存储的状态标识设置为用于指示是由所述网管设备将所述预定服务端口的状态设置为所述开启状态或所述关闭状态。

进一步地，所述装置还可以包括：第二接收模块，用于在关闭所述终端设备中处于开启状态的预定服务端口之后，接收所述网管设备发送的恢复出厂设置指令；第二响应模块，用于响应所述恢复出厂设置指令将所述预定服务端口的状态恢复为出厂设置的原始状态；第二检测模块，用于检测所述终端设备是否从未连接到所述网络的状态变为连接到所述网络的状态；第二关闭模块，用于若检测到所述终端设备从所述未连接到所述网络的状态变为连接到所述网络的状态，则关闭所述终端设备中处于开启状态的所述预定服务端口。

进一步地，所述装置还可以包括：保持模块，用于在关闭所述终端设备中处于开启状态的预定服务端口之后，在检测到所述终端设备重启或者所述终端设备断开与所述网络的连接之后，保持所述预定服务端口的状态。

进一步地，所述第一检测模块还可以用于，在所述终端设备为pon终端设备时，若检测到由所述终端设备的上行pon口接上光纤所产生的光信号，则判定检测到所述终端设备连接到所述网络；和/或，在所述终端设备为lan上行终端设备或dsl终端设备时，若由所述终端设备的上行网口接上网线而接收到宽带ip地址，则判定检测到所述终端设备连接到所述网络。

进一步地，所述预定服务端口至少可以包括：telnet服务端口。

通过本发明及实施例，采用检测未连接到网络的终端设备是否连接到所述网络；若检测到所述终端设备连接到所述网络，则关闭所述终端设备中处于开启状态的预定服务端口的技术方案，解决了相关技术中存在的终端设备在上线(接入网络)时无法自动关闭其服务端口，用户在使用终端设备时容易遭受网络攻击的问题，实现了终端设备在接入网络时即可自动关闭其服务端口，可以实现有效地防止通过服务端口对终端设备进行网络攻击，给用户带来更高的网络安全体验。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是相关技术中终端设备在生产线上测试场景示意图；

图2是根据本发明实施例的一种服务端口管理方法的流程图一；

图3是根据本发明实施例的另一种服务端口管理方法的流程图二；

图4是根据本发明实施例的再一种服务端口管理方法的流程图三；

图5是根据本发明实施例的再一种服务端口管理方法的流程图四；

图6是根据本发明实施例的一种服务端口管理装置的结构框图一；

图7是根据本发明实施例的另一种服务端口管理装置的结构框图二；

图8是根据本发明实施例的另一种服务端口管理装置的结构框图三；

图9是根据本发明优选实施例的一种服务端口管理装置的结构框图；

图10是相关技术中pon终端的商用场景示意图；

图11是根据本发明优选实施例的一种pon终端管理服务端口的方法流程图；

图12是相关技术中dsl终端的商用场景示意图；

图13是根据本发明优选实施例的一种dsl终端或lan终端管理服务端口的方法流程图；

图14是根据本发明优选实施例的一种终端管理服务端口的方法流程图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

在本发明的实施例中提供了一种服务端口管理方法，图2是根据本发明实施例的一种服务端口管理方法的流程图，如图2所示，该流程可以包括如下步骤：

步骤s200，检测未连接到网络的终端设备是否连接到该网络；

步骤s202，若检测到终端设备连接到网络，则关闭终端设备中处于开启状态的预定服务端口。

本实施例提供的技术方案：终端设备检测到入网后自动关闭预定的服务端口。终端设备上行口连接到网络时，终端设检测设备入网，将原先处于开启状态的服务端口给关闭，至少解决了相关技术中存在的终端设备在上线(接入网络)时无法自动关闭其服务端口，用户在使用终端设备时容易遭受网络攻击的问题，实现了终端设备在接入网络时即可自动关闭其服务端口，可以实现有效地防止通过服务端口对终端设备进行网络攻击，给用户带来更高的网络安全体验。

终端设备使用传输控制协议(transmissioncontrolprotocol，简称为tcp协议)的常见端口主要有几种：(1)文件传输协议(filetransferprotocol，简称为ftp)，定义了文件传输协议，使用21号服务端口；(2)telnet服务端口，它是一种用于远程登陆的端口，用户可以以自己的身份远程连接到计算机上；(3)简单邮件传输协议(simplemailtransferprotocol简称为smtp)，定义了简单邮件传送协议，现在很多邮件服务器都用的是这个协议，用于发送邮件。如常见的免费邮件服务中用的就是这个邮件服务端口，所以在电子邮件设置中常看到有这么smtp端口设置这个栏，服务器开放的是25号服务端口；(4)邮局协议版本3(postofficeprotocol－version3，简称为pop3)它是和smtp对应，pop3用于接收邮件。通常情况下，pop3协议所用的是110服务端口。使用udp协议端口常见的有：(1)超文本传输协议http，上网浏览网页时，就得在提供网页资源的计算机上打开80号端口以提供服务。常说＂www服务＂、＂web服务器＂用的就是这个端口。(2)域名解析服务dns，域名和ip地址之间的变换由dns服务器来完成，一般用的是53号服务端口。另外代理服务器常用以下端口：(1).http协议代理服务器常用端口号：80/8080/3128/8081/9080；(2).socks代理协议服务器常用端口号：1080；(3).ftp协议代理服务器常用端口号：21；(4).telnet协议代理服务器常用端口：23。

在优选的实施方式中，该预定服务端口至少可以包括：telnet服务端口。终端设备默在生产测试阶段默认开启telnet服务端口，可以供生成测试工具远程登录，用于入网前的各种测试及个性化参数设置：而在入网商用时，设备检测到上线后，终端设备自动关闭该telnet服务端口，防止网路攻击通过telnet服务端口恶意攻击终端设备，解决了相关技术中存在的终端设备在上线 (接入网络)时无法自动关闭其服务端口，用户在使用终端设备时容易遭受网络攻击的问题，实现了既要满足生产线的生产需求，也要满足运营商提出的安全需求，在不增加成本的情况下扩展了传统的终端设备的功能，给用户带来了良好的使用体验。

在本发明的实施例中提供了另一种服务端口管理方法，图3是根据本发明实施例的一种服务端口管理方法的流程图二，如图3所示，该流程可以包括如下步骤：

步骤s300，检测未连接到网络的终端设备是否连接到该网络；

步骤s302，若检测到终端设备连接到网络，判断是否是由网关设备将预定服务端口的状态设置为开启状态；

步骤s304，在不是的情况下，关闭该预定服务端口。

运维人员通过网管设备打开终端设备的服务端口进行设备配置或维护，通常也不认为网管设备打开服务端口会危害网络安全。终端设备固定、死板执行入网上线则关闭服务端口操作，可能会影响正常的终端设备配置、维护流程，因此本实施例特意提供了该技术方案：在检测到终端设备连接网络，先判断服务端口是由谁开启的，根据判断结果再决定是否关闭该服务端口，不仅网络安全性得到保障，还不影响日常正常配置或维护操作。

在本发明的实施例中提供了另一种服务端口管理方法，图4是根据本发明实施例的再一种服务端口管理方法的流程图三，如图4所示，该流程可以包括如下步骤：

步骤s400，检测未连接到网络的终端设备是否连接到该网络；

步骤s402，若检测到终端设备连接到网络，判断是否是由网关设备将预定服务端口的状态设置为开启状态；

步骤s404，在不是的情况下，关闭该预定服务端口；

步骤s406，接收网管设备发送的状态设置指令，其中，该状态设置指令用于指示将预定服务端口的状态设置为开启状态或关闭状态；

在终端设备入网关闭服务端口以后，网关设备可以通过下发状态设置指令，终端设备可以接收这个状态设置指令；网管设备通过该状态设置指令控制终端设备的服务端口的工作状态。

步骤s408，响应状态设置指令设置预定服务端口的状态，并将存储的状 态标识设置为用于指示是由网管设备将预定服务端口的状态设置为开启状态或关闭状态。

终端设备接收到该指令，并根据该指令调整服务端口的工作状态，而且还可以标记该服务端口的工作状态是由网管设备设置的，方便运营人员检查终端设备服务端口的工作状态和历史操作记录。通过本实施例的方法可以更有效地操作终端设备的工作状态，查询记录日志、易于跟踪和维护。

在本发明的实施例中提供了再一种服务端口管理方法，图5是根据本发明实施例的再一种服务端口管理方法的流程图四，如图5所示，该流程可以包括如下步骤：

步骤s500，检测未连接到网络的终端设备是否连接到该网络；

步骤s502，若检测到终端设备连接到网络，则关闭终端设备中处于开启状态的预定服务端口；

步骤s504，在检测到终端设备重启或终端设备断开与网络的连接之后，保持该预定服务端口的状态。

终端设备入网上线触发自动关闭服务端口的流程，终端设备重启、断开网络连接或者拔掉设备的网络光纤，也不能改变设备的服务端口的工作状态。在这种情况下，终端设备会保持之前服务端口的关闭状态，即使拔掉设备光纤再重新接上去，终端设备的服务端口也不会处于开启状态，因此也不会触发设备的关闭服务端口的流程。通过本实施例的方法，管理服务端口的方法更加方便、智能化，即使设备非正常工作状态也会保持端口工作状态，更加提高了终端设备的网络安全性。

在优选的实施方式中，管理服务端口的方法在关闭所述终端设备中处于开启状态的预定服务端口之后，还可以包括：接收所述网管设备发送的恢复出厂设置指令；响应所述恢复出厂设置指令将所述预定服务端口的状态恢复为出厂设置的原始状态；检测所述终端设备是否从未连接到所述网络的状态变为连接到所述网络的状态；若检测到所述终端设备从所述未连接到所述网络的状态变为连接到所述网络的状态，则关闭所述终端设备中处于开启状态的所述预定服务端口。

通过本优选实施方式即使恢复原始的出厂设置也不会影响终端设备的管理服务端口的功能。通过网管设备下发远程恢复出厂指令，终端设备根据该指令可以恢复服务端口的工作状态为原始出厂设置状态，终端设备也会记录 服务端口的工作状态指示符或标志位也设置为恢复出厂值。设备执行恢复出厂配置，先进行参数恢复，之后会执行重新启动操作。在重新启动过程中如终端设备断开网络，则终端设备保持出厂设置状态；如果终端设备正常地重新启动，设备恢复至出厂设置状态后，重新接入网网络上线时会再次触发关闭服务端口流程，明显本实施方式的提供的技术方案更具有优越性，终端设备更难以遭受网络攻击，网络安全性更高。

在优选的实施方式中，在所述终端设备为pon终端设备时，检测未连接到网络的终端设备是否连接到所述网络包括：若检测到由所述终端设备的上行pon口接上光纤所产生的光信号，则判定检测到所述终端设备连接到所述网络。在所述终端设备为lan上行终端设备或dsl终端设备时，检测未连接到网络的终端设备是否连接到所述网络包括：若由所述终端设备的上行网口接上网线而接收到宽带ip地址，则判定检测到所述终端设备连接到所述网络。

在针对不同类型或性质的终端设备时，管理服务端口的方法会有一些细小的差别，以适应不同类型终端设备的特点，因此，不同类型的设备可以根据自身的特点来具体实施本发明。本发明的实施例特别针对于pon终端、lan终端、dsl终端提出服务端口的管理方法：pon终端设备是光接入型设备，采取的是见光判断是否接入网络；与pon终端不同，lan上行终端设备和dsl终端设备都没有接收光信号的这个特殊环节，因此可以在设备内部建立的wan(wideareanetwork广域网)连接获取到宽带ip地址时，可以判断为接入网络了，可以触发服务端口管理流程。

在本发明的实施例中提供了一种服务端口管理的装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图6是根据本发明实施例的一种服务端口管理装置的结构框图一，如图6所示，该装置可以包括第一检测模块60、第一关闭模块62，下面对该装置进行说明。

第一检测模块60，用于检测未连接到网络的终端设备是否连接到该网络；；

第一关闭模块62，用于若检测到终端设备连接到网络，则关闭终端设备 中处于开启状态的预定服务端口。本实施例提供的技术方案：终端设备检测到入网后自动关闭预定的服务端口。终端设备上行口连接到网络时，终端设检测设备入网，将原先处于开启状态的服务端口给关闭，至少解决了相关技术中存在的终端设备在上线(接入网络)时无法自动关闭其服务端口，用户在使用终端设备时容易遭受网络攻击的问题，实现了终端设备在接入网络时即可自动关闭其服务端口，可以实现有效地防止通过服务端口对终端设备进行网络攻击，给用户带来更高的网络安全体验。

在优选的实施方式中，该预定服务端口至少可以包括：telnet服务端口。终端设备默在生产测试阶段默认开启telnet服务端口，可以供生成测试工具远程登录，用于入网前的各种测试及个性化参数设置：而在入网商用时，设备检测到上线后，终端设备自动关闭该telnet服务端口，防止网路攻击通过telnet服务端口恶意攻击终端设备，解决了相关技术中存在的终端设备在上线(接入网络)时无法自动关闭其服务端口，用户在使用终端设备时容易遭受网络攻击的问题，实现了既要满足生产线的生产需求，也要满足运营商提出的安全需求，在不增加成本的情况下扩展了传统的终端设备的功能，给用户带来了良好的使用体验。

在优选的实施方式中，该第一关闭模块可以包括：判断单元，用于判断是否是由网管设备将所述预定服务端口的状态设置为所述开启状态；关闭单元，用于若不是，则关闭所述预定服务端口。

图7是根据本发明实施例的另一种服务端口管理装置的结构框图二，如图7所示，该装置可以包括第一检测模块70、第一关闭模块72、第一接收模块74、第一响应模块76，下面对该装置进行说明。

第一检测模块70，用于检测未连接到网络的终端设备是否连接到该网络；；

第一关闭模块72，用于若检测到终端设备连接到网络，则关闭终端设备中处于开启状态的预定服务端口；

第一接收模块74，用于在关闭所述终端设备中处于开启状态的预定服务端口之后，接收所述网管设备发送的状态设置指令，其中，所述状态设置指令用于指示将所述预定服务端口的状态设置为所述开启状态或关闭状态；

第一响应模块76，用于响应所述状态设置指令设置所述预定服务端口的状态，并将存储的状态标识设置为用于指示是由所述网管设备将所述预定服务端口的状态设置为所述开启状态或所述关闭状态。

图8是根据本发明实施例的再一种服务端口管理装置的结构框图三，如图8所示，该装置可以包括第一检测模块80、第一关闭模块82、第二接收模块84、第二响应模块86、第二检测模块88，第二关闭模块89，下面对该装置进行说明。

第一检测模块80，用于检测未连接到网络的终端设备是否连接到该网络；；

第一关闭模块82，用于若检测到终端设备连接到网络，则关闭终端设备中处于开启状态的预定服务端口；

第二接收模块84，用于在关闭所述终端设备中处于开启状态的预定服务端口之后，接收所述网管设备发送的恢复出厂设置指令；

第二响应模块86，用于响应所述恢复出厂设置指令将所述预定服务端口的状态恢复为出厂设置的原始状态；

第二检测模块88，用于检测所述终端设备是否从未连接到所述网络的状态变为连接到所述网络的状态；

第二关闭模块89，用于若检测到所述终端设备从所述未连接到所述网络的状态变为连接到所述网络的状态，则关闭所述终端设备中处于开启状态的所述预定服务端口。

通过本优选实施方式即使恢复原始的出厂设置也不会影响终端设备的管理服务端口的功能。通过网管设备下发远程恢复出厂指令，终端设备根据该指令可以恢复服务端口的工作状态为原始出厂设置状态，终端设备也会记录服务端口的工作状态指示符或标志位也设置为恢复出厂值。设备执行恢复出厂配置，先进行参数恢复，之后会执行重新启动操作。在重新启动过程中如终端设备断开网络，则终端设备保持出厂设置状态；如果终端设备正常地重新启动，设备恢复至出厂设置状态后，重新接入网网络上线时会再次触发关闭服务端口流程，明显本实施方式的提供的技术方案更具有优越性，终端设备更难以遭受网络攻击，网络安全性更高。

在优选的实施方式中，该装置还可以包括保持模块，用于在关闭所述终端设备中处于开启状态的预定服务端口之后，在检测到所述终端设备重启或者所述终端设备断开与所述网络的连接之后，保持所述预定服务端口的状态。

在优选的实施方式中，在所述终端设备为pon终端设备时，若检测到由所述终端设备的上行pon口接上光纤所产生的光信号，则判定检测到所述终 端设备连接到所述网络；和/或，在所述终端设备为lan上行终端设备或dsl终端设备时，若由所述终端设备的上行网口接上网线而接收到宽带ip地址，则判定检测到所述终端设备连接到所述网络。

在针对不同类型或性质的终端设备时，管理服务端口的方法会有一些细小的差别，以适应不同类型终端设备的特点，因此，不同类型的设备可以根据自身的特点来具体实施本发明。本发明的实施例特别针对于pon终端、lan终端、dsl终端提出服务端口的管理方法：pon终端设备是光接入型设备，采取的是见光判断是否接入网络；与pon终端不同，lan上行终端设备和dsl终端设备都没有接收光信号的这个特殊环节，因此可以在设备内部建立的wan(wideareanetwork广域网)连接获取到宽带ip地址时，可以判断为接入网络了，可以触发服务端口管理流程。

在上述实施例提供的装置中，第一检测模块60与第二检测模块88、第一关闭模块62与第二关闭模块89、第一接收模块74与第二接收模块84、第一响应模块76、与第二响应模块86可以是同一个实体装置或虚拟模块，也可以是不同的实体装置或虚拟模块。

下面再结合具体实施例对本发明进行说明。

图9是根据本发明优选实施例的一种服务端口管理装置的结构框图。该装置可以位于终端设备中，可以包括如下模块：

状态监测模块90，功能类似于上述实施例中的第一检测模块60与第二检测模块88，可以用于检测终端设备是否接入网络，在检测到网络信号时，确认终端设备接入了网络；

应用服务模块92，可以提供上述实施例中的第一关闭模块62与第二关闭模块89、第一响应模块76、与第二响应模块86的功能，可以用于接收状态监测模块90通知设备上线的消息，并根据检测通知关闭服务端口，或者根据网管设备的指令开启或关闭服务端口的工作状态；还可以用于查询数据库管理模块94的字段值。

数据库管理模块94，可以提供上述实施例中的第一接收模块74与第二接收模块84，数据库管理模块94可以将内部数据库中用来标识是否已通过网管打开该服务端口的字段设置标志位，标志已经通过网管开启该服务端口；或者还可以提供通过在网管上对设备进行远程恢复出厂配置操作，可以将设备的该服务端口及内部数据库中用来标识是否已通过网管打开该服务端口的字段恢复至出厂原始状态。

通过该优选实施例的装置可以相关技术中存在的终端设备在上线(接入网络)时无法自动关闭其服务端口，用户在使用终端设备时容易遭受网络攻击的问题，实现了终端设备在接入网络时即可自动关闭其服务端口，可以实现有效地防止通过服务端口对终端设备进行网络攻击，给用户带来更高的网络安全体验。设备默认开启某一服务端口，便于入网前的各种测试及个性化参数设置。入网商用时，设备检测到上线后，可以关闭该服务端口，既可以满足生产线的生产需求，也可以满足运营商提出的安全需求。

进一步地，优选实施例是一种网络终端设备检测到入网后自动关闭服务端口的方法。设备默认开启某一服务端口，便于入网前的各种测试及个性化参数设置。入网商用时，设备检测到上线后，自动关闭该服务端口。设备上行口连接到网络时，设备的状态监测模块监测到设备上线。状态监测模块立即发送监测通知消息给应用服务模块，通知该服务模块设备已经上线。

该服务模块收到监测通知消息后，检查该服务端口是否已关闭。如果该服务端口已经被关闭，那么该服务模块忽略收到的监测通知消息，不做任何处理。如果该服务端口是开启状态，那么该服务模块检查内部数据库中的字段值(用来标识是否已通过网管开启该服务端口的字段)，判断是否经网管打开了该服务端口。如果该服务端口是经网管打开的，该服务模块忽略收到的监测通知消息，不做任何处理。如果该服务端口不是经网管打开的，那么该服务模块主动关闭该服务端口，不再监控该服务端口。

网络终端设备入网商用后，随时可以通过网管打开或者关闭该服务端口。第一次通过网管开启该服务端口时，数据库管理模块会将内部数据库中用来标识是否已通过网管打开该服务端口的字段设置标志位，标志已经通过网管开启该服务端口。通过在网管上对设备进行远程恢复出厂配置操作，可以将设备的该服务端口及内部数据库中用来标识是否已通过网管打开该服务端口的字段恢复至出厂原始状态。

下面可以管理telnet服务端口为例，来详细说明本发明实施例的具体实施方式。不同类型的设备可以根据自身的特点来具体实施本发明。图11为pon终端设备关闭telnet服务端口的流程图。图13为lan上行终端设备和dsl终端设备关闭telnet服务端口的流程图。图14为终端设备管理telnet服务端口的完整应用流程图。

图10是相关技术中pon终端的商用场景示意图；

终端设备入网后的应用场景如图10。图10为pon(passiveoptical networks无源光网络)终端的商用场景图，图10中的pon系统由olt(opticallineterminal光线路终端)、odn(opticaldistributionnetwork无源光分配网络)和onu(opticalnetworkunit光网络单元)三部分构成。其中olt为局端设备，onu为终端设备，这里所述的pon终端就是onu，onu是通过光纤连接到网络的。

图11是根据本发明优选实施例的一种pon终端管理服务端口的方法流程图；如图11所示，该方法流程可以包括如下步骤：

步骤s1100，检测到光信号；

pon终端设备是光接入型设备，采取的是见光自动关闭telnet服务的方式，上行pon口接上光纤时，pon驱动检测到光信号。

步骤s1102，发送检测消息给telnet；

发送监测通知消息(monitor消息)给telnet模块，通知telnet模块上行口已经接入光纤。

步骤s1104，判断是否已关闭telnet服务端口；在是的情况下转入步骤s1108，在否的情况下，转入步骤s1106。

步骤s1108，在是的情况下，忽略检测消息；

telnet模块收到监测通知消息以后，检查终端设备是否已经关闭23号服务端口(telnet服务端口)。如果终端设备已经关闭23号端口，忽略收到的监测通知消息，不做任何处理。

步骤s1106，在否的情况下，判断是否为网管设备开启telnet服务端口；在是的情况下，转入步骤s1108；在否的情况下，转入步骤s1110.

如果终端设备没有关闭23号端口，telnet模块需要进一步判断telnet服务端口的开启状态是由谁操作的。例如查询数据库中标记telnet服务是否通过网管开启的字段，根据该字段值判断是否由经网管设备打开了23号端口。判断结果为是由网管设备打开该23服务端口的情况下，telnet模块忽略收到的监测通知消息，

步骤s1110，关闭telnet服务端口。

如果不是由网管设备打开23号端口(telnet服务端口)的情况下，终端设备关闭telnet服务，不再监控23号端口，telnet客户端对23号端口的任何申请访问，telnet进程都不予理睬。

图12是相关技术中dsl终端的商用场景示意图；

图12为dsl(digitalsubscriberline数字用户线)终端的商用场景图。dsl系统由dslam(digitalsubscriberlineaccessmultiplexer数字用户线路接入复合器)和dsl终端组成。其中dslam是dsl系统的局端设备，dsl终端是通过电话铜线连接dslam的。

与pon终端不同，lan上行终端设备和dsl终端设备都没有接收光信号的这个特殊环节。因此可以在设备内部建立的wan(wideareanetwork广域网)连接获取到宽带ip地址时，判断为终端设备接入网络则启动关闭telnet服务端口的流程。可以参考图13，图13是根据本发明优选实施例的一种dsl终端或lan终端管理服务端口的方法流程图。如图13所示，该方法流程可以包括如下步骤：

步骤s1300，wan连接获取到地址；

lan终端或dsl终端的上行口网口插上网线时，wan连接获取到宽带ip地址。

步骤s1302，wan连接模块发送通知消息至telnet；

发送检测通知消息至telnet服务模块，终端设备已经接入网络。

步骤s1304，判断是否已关闭telnet服务端口；在是的情况下，转入步骤s1308，在否的情况下，转入步骤s1306.

步骤s1308，忽略检测消息；

telnet服务模块收到监测通知消息以后，判断是telnet服务端口是否已经关闭。查看是否已经关闭23号端口(telnet服务端口)，如果已经关闭23号端口，忽略收到的监测通知消息，不做任何处理。

步骤s1306，判断是否为网管设备开启telnet服务端口；在是的情况下。转入步骤s1308，在否的情况下，转入步骤s1310.

终端设备在没有关闭23号服务端口的情况下，telnet服务模块判断telnet服务端口的开启状态是否为网管设备操作的。telnet服务模块查看数据库中标记telnet服务是否通过网管开启的字段，根据字段值判断是否经网管打开了23号端口，如果是经网管打开的，telnet模块忽略收到的监测通知消息，不做任何处理。

步骤s1310，关闭telnet服务端口。

判断结果为不是经网管打开的23号端口，telnet服务模块关闭telnet服务端口。优选地，终端设备还可以不再监控23号端口，telnet客户端对23号端口的任何申请访问，telnet进程都不予理睬。

图14是根据本发明优选实施例的一种终端管理服务端口的方法流程图。如图14所示，该方法流程可以包括如下步骤：

步骤s1400，终端设备接入网络；

步骤s1402，终端设备关闭telnet服务端口；

终端设备接入网络，触发本发明实施例、优选实施例及实施方式的关闭telnet服务流程，终端设备的telnet服务端口被关闭，此时只能由网络运维人员通过网管设备来开启。

步骤s1404，网管设备打开该终端设备的telnet服务端口；

网管设备发送指令，用于指示终端设备开启telnet服务端口。终端设备根据网管设备的指令开启设备的telnet服务，标记telnet服务为网管设备开启，据此设置数据库中的字段，标识已通过网管打开。

步骤s1406，终端设备本地通过telnet服务端口访问并配置该终端设备；

运维人员可以在终端设备本地通过telnet访问设备的终端默认配置地址192.168.1.1，或者通过telnet远程访问设备的任意一条wan连接地址，并通过telnet服务端口访问、配置、维护该终端设备。

步骤s1408，网管设备关闭该终端设备的telnet服务端口；

运维人员通过网管发送关闭指令，用于指示终端关闭设备的telnet服务端口。这时候telnet客户端在本地或远程都无法完成telnet访问，实现防止终端设备遭受通过telnet服务的网络攻击，提高设备的网络安全性。

需要说明的是终端设备入网，并自动关闭telnet服务流程后。终端设备重启或者断开网络连接，也不能改变设备telnet服务端口的工作状态，防止终端设备重启或者断开网络再连接入网络，导致telnet服务端口开启，容易遭受网络攻击的问题。

步骤s1410，网管设备发送指令，用于远程恢复终端设备的出厂设置；

网管设备下发远程恢复出厂指令，指示终端设备恢复为出厂设置，telnet服务端口恢复为原始的出厂状态。同时设备内部数据库中的标志位也被恢复 为出厂值。

步骤s1412，终端设备恢复出厂设置，开启telnet服务端口。

在步骤s1412之后，如果终端设备再一次接入网络，终端设备可以转入执行步骤s1400.

设备执行恢复出厂配置，先进行参数恢复，之后会执行重新启动操作。在重新启动过程中如果拔掉上行口的连接线，设备恢复至出厂状态。具体表现为：telnet服务端口默认开启，本地可以通过telnet访问192.168.1.1地址。设备内部数据库中标记telnet服务是否经网管打开的字段恢复为出厂初始值。如果在重新启动过程中没有拔掉上行口的连接线，设备恢复至出厂状态后，重新上线时会再次触发自动关闭telnet服务流程。

进一步地，本发明优选实施例还提供一种终端设备管理服务端口的方法，该方法可以包括如下步骤：入网前，开启所述服务端口；入网时，检测到终端设备上线；确认所述服务端口是否关闭；在所述服务端口开启的情况下，判断是否为网管打开所述服务端口；在判断结果为否的情况下，关闭所述服务端口。该实施例的方法既可解决了无法在满足生产线的生产需求，即开启服务端口的情况下；同时也可以满足运营商提出的安全需求，即终端设备接入网络后关闭服务端口，防止通过服务端口的网络攻击的问题，终端设备默认开启某一服务端口，便于入网前的各种测试及个性化参数设置。入网商用时，设备检测到上线后，自动关闭该服务端口。

综上所述，通过上述实施例、优选实施例和实施方式，采用检测未连接到网络的终端设备是否连接到所述网络；若检测到所述终端设备连接到所述网络，则关闭所述终端设备中处于开启状态的预定服务端口的技术方案，解决了相关技术中存在的终端设备在上线(接入网络)时无法自动关闭其服务端口，用户在使用终端设备时容易遭受网络攻击的问题，实现了终端设备在接入网络时即可自动关闭其服务端口，可以实现有效地防止通过服务端口对终端设备进行网络攻击，给用户带来更高的网络安全体验。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者 将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。