防御端口扫描入侵的方法及装置的制造方法
【技术领域】
[0001] 本申请涉及网络通信技术领域,尤其涉及一种防御端口扫描入侵的方法及装置。
【背景技术】
[0002] 随着视频监控系统的网络化,人们越来越关注对监控设备的防护。通常情况下,端 口扫描是入侵设备进行攻击之前常见的信息搜集行为,入侵设备通过逐个端口的探测来判 断监控设备是否在使用该端口,进而发现监控设备为该端口开放的服务,甚至运行的软件 版本,这样,入侵设备通过分析这些提供服务的端口漏洞,选择合适的攻击手段对监控设备 进行入侵攻击。由于入侵设备通过端口扫描所获得的信息为入侵设备的入侵攻击提供了重 要信息,因此,及时准确地检测到端口扫描入侵,并对端口扫描入侵进行防御,可以保护监 控设备的安全。
[0003] 在入侵设备通过逐个端口的探测来判断监控设备是否在使用该端口的过程中,入 侵设备先发送一个针对1端口的报文,再发送一个针对2端口的报文,以此类推,在这个过程 中,入侵设备不知道哪些端口是开放业务端口,所以是逐个端口探测监控设备。
【发明内容】
[0004] 有鉴于此,本申请提供一种防御端口扫描入侵的方法及装置,以解决入侵设备进 行端口扫描入侵的问题。
[0005] 根据本申请实施例的第一方面,提供一种防御端口扫描入侵的方法,所述方法应 用于安全网关上,所述方法包括:
[0006] 接收目的IP地址为监控设备的报文;
[0007] 判断黑名单中是否存在所述报文携带的源地址信息;
[0008] 若是,则丢弃所述报文;
[0009] 若否,则判断预先配置的白名单中是否存在所述报文携带的目的端口;其中,所述 白名单中记录有开放业务端口;
[0010] 若不存在,则确定所述报文是异常访问报文,并将所述报文携带的源IP地址添加 到黑名单中。
[0011] 根据本申请实施例的第二方面,提供一种防御端口扫描入侵的装置,所述装置应 用于安全网关上,所述装置包括:
[0012] 接收单元,用于接收目的IP地址为监控设备的报文;
[0013] 第一判断单元,用于判断黑名单中是否存在所述报文携带的源地址信息;
[0014] 丢弃单元,用于当所述第一判断单元的判断结果为是时,丢弃所述报文;
[0015] 第二判断单元,用于当所述第一判断单元的判断结果为否时,判断预先配置的白 名单中是否存在所述报文携带的目的端口;其中,所述白名单中记录有开放业务端口;
[0016] 确定单元,用于当所述第二判断单元的判断结果为不存在时,确定所述报文是异 常访问报文;
[0017] 添加单元,用于在所述确定单元确定所述报文是异常访问报文时,将所述报文携 带的源IP地址添加到黑名单中。
[0018] 应用本申请实施例,在安全网关接收到目的IP地址为监控设备的报文时,首先判 断黑名单中是否存在所述报文携带的源地址信息;若是,则丢弃所述报文;若否,则再判断 预先配置的白名单中是否存在所述报文携带的目的端口;若不存在,则确定所述报文是异 常访问报文,将所述报文携带的源IP地址添加到黑名单中。基于上述实现方式,安全网关通 过在白名单中记录开放业务端口,实现对入侵设备进行端口扫描入侵的防御,由于入侵设 备并不清楚哪些端口是开放业务端口,因此会逐个端口进行探测,因此,安全网关在接收到 报文时,只要发现报文携带的目的端口不在白名单中,就可以将报文携带的源IP地址添加 到黑名单中,以通过黑名单禁止入侵设备发送的报文进入监控设备。这样,由于入侵设备发 送的报文无法进入监控设备,入侵设备也就无法判断监控设备是否在使用该端口,也就无 法发现监控设备为该端口开放的服务,甚至运行的软件版本。因此,入侵设备无法分析这些 提供服务的端口漏洞,对监控设备进行入侵攻击。
【附图说明】
[0019] 图1为本申请根据一示例性实施例示出的一种防御端口扫描入侵的应用场景示意 图;
[0020] 图2为本申请根据一示例性实施例示出的一种防御端口扫描入侵的方法的实施例 流程图;
[0021] 图3为本申请根据一示例性实施例示出的一种客户端变更接入网络位置的应用场 景不意图;
[0022] 图4为本申请根据一示例性实施例示出的一种单播方式获取MAC表项的实施例流 程图;
[0023] 图5为本申请根据一示例性实施例示出的一种安全网关的硬件结构图;
[0024]图6为本申请根据一示例性实施例示出的一种防御端口扫描入侵的装置的实施例 结构图。
【具体实施方式】
[0025] 这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及 附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例 中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附 权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0026] 在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的"一种"、"所述"和"该"也旨在包括多数 形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语"和/或"是指并包 含一个或多个相关联的列出项目的任何或所有可能组合。
[0027]应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这 些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离 本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第 一信息。取决于语境,如在此所使用的词语"如果"可以被解释成为"在……时"或"当…… 时"或"响应于确定"。
[0028] 参见图1所示,为一种防御端口扫描入侵的应用场景示意图,包括:监控设备(比如 网络摄像机、模拟摄像机、编码器等)、安全网关、网络设备(图1中示出了三层交换机1、三层 交换机2、三层交换机3和二层交换机1)、客户端。其中,所述监控设备用于视频监控,为受保 护设备;所述安全网关用于防护监控设备,比如,防御入侵设备的端口扫描入侵;所述网络 设备用于传输报文,可以是交换机、路由器等设备;所述客户端用于访问监控设备的业务, 可以是计算机、平板设备、手机等,也可以是入侵设备。
[0029] 参见图2所示,为本申请根据一示例性实施例示出的一种防御端口扫描入侵的方 法的实施例流程图,该实施例应用于安全网关上,下面结合图1所示,对该实施例进行详细 描述,该实施例包括以下步骤:
[0030] 步骤S201:接收目的IP地址为监控设备的报文。
[0031] 由于监控设备用于视频监控,中间不能出现中断状况,具有实时性。因此,需要严 格防护监控设备不能受到入侵攻击。通常情况下,会有入侵设备通过端口扫描的方式,来搜 集监控设备为该端口开放的服务信息,比如,能否用匿名登录、是否有可写的FTP(File Transfer Protocol,文件传输协议)目录等,进而通过分析提供服务的端口漏洞,对监控设 备进行入侵攻击。为了防御监控设备不被入侵设备入侵攻击,通过在监控设备前设置安全 网关来对入侵设备进行防御,安全网关可以接收到所有目的IPdnternet Protocol,网际 协议)地址为监控设备的报文,继而判断报文是否为入侵设备发送的用于端口扫描的异常 访问报文。
[0032] 基于上述描述可知,在监控设备前设置的安全网关,并不影响原有的网络配置,不 会影响监控设备的性能和处理,只是所有目的IP地址为监控设备的报文都需要经过安全网 关进行过滤之后,才能发送到监控设备。
[0033] 步骤S202:判断黑名单中是否存在所述报文携带的源地址信息,若是,则执行步骤 S203,若否,则执行步骤S204。
[0034] 安全网关中设置有黑名单,该黑名单中可以只记录有IP地址,也可以记录有IP地 址与MAC(Medium Access Control,媒体访问控制)地址的对应关系。针对在黑名单中记录 IP地址,或者记录IP地址与MAC地址的对应关系的过程,将在后续过程中进行详细说明。因 此,当该黑名单中只记录有IP地址时,则源地址信息为源IP地址,当该黑名单中记录有IP地 址与MAC地址的对应关系时,则源地址信息为源IP地址或者源MAC地址。下面分两种情况进 行详细描述:
[0035]情况一,所述源地址信息是源IP地址,黑名单中只记录有IP地址时,如图1所示,客 户端2发送的目的IP地址为监控设备的报文,首先经三层交换机3转发到三层交换机1,然后 经过三层交换机1转发到安全网关,此时,所述报文携带的源IP地址仍然是客户端2的IP地 址,而所述报文携带的源MAC地址已经变为三层交换机1的MAC地址。因此,安全网关可以获 取所述报文携带的源IP地址作为源地址信息,来判断黑名单中是否存在所述源地址信息。 [0036] 情况二,所述源地址信息是源MAC地址,黑名单中记录有IP地址与MAC地址的对应 关系时,如图3所示,客户端2直接连接到安全网关上,因此,客户端2可以直接将访问监控设 备的报文发送到安全网关