上,此时,所述报文携带的源IP地址和源MAC地址指向的均是客户 端2。因此,安全网关可以获取所述报文携带的源MAC地址作为源地址信息,来判断黑名单中 是否存在所述源地址信息。
[0037]基于情况二所述可知,安全网关可以先判断黑名单中是否存在所述报文携带的源 IP地址,若存在,则执行步骤S203,若不存在,则再判断黑名单中是否存在所述报文携带的 源MAC地址,若是,则执行步骤S203,若否,则执行步骤S204。这样,即使与安全网关直接连接 的入侵设备变更报文携带的源IP地址,也可以在黑名单中匹配到报文携带的源MAC地址。 [0038]步骤S203:丢弃所述报文。
[0039] 若黑名单中存在所述报文携带的源地址信息,表明所述报文为入侵设备发送的端 口扫描报文,则安全网关丢弃所述报文。
[0040] 步骤S204:判断预先配置的白名单中是否存在所述报文携带的目的端口,若存在, 则执行步骤S205,若不存在,则执行步骤S206。
[0041] 其中,所述白名单中记录有开放业务端口,所述开放业务端口指的是UDP/TCP端口 号,可以由管理设备进行配置,所述开放业务端口包括常用的知名端口和监控专用端口,这 些端口均为监控设备的所有正常监控业务端口。常用的知名端口可以有21、23、25、80、554 等端口,其中,21端口可以用于FTP服务,23端口可以用于Telnet(远程登录)服务,25端口可 以用于SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务,80端口可以用于 HTTP(Hyper Text Transport Protocol,超文本传输协议)服务,554端口可以用于RTSP (Real Time Streaming Protocol,实时流协议)服务,由于客户端知道这些常用的知名端 口,不知道监控专用端口,因此只能访问这些常用的知名端口,而这些监控专用端口(比如 数据库端口)是由监控系统内的其他服务器访问。
[0042] 由于入侵设备在进行入侵攻击之前,不仅想探测到这些常用的知名端口的信息, 还想探测到监控专用端口,进而发现监控设备为该监控专用端口开放的服务,甚至运行的 软件版本。而这些服务通常是服务器要使用的服务,其更能影响到监控设备的实时监控业 务的正常进行。
[0043] 步骤S205:允许所述报文通过。
[0044]若所述报文携带的目的端口在白名单中存在,那么所述报文不是异常访问报文, 而是客户端访问监控设备正常监控业务端口的报文,可以允许所述报文通过。
[0045]步骤S206:确定所述报文是异常访问报文,并将所述报文携带的源IP地址添加到 黑名单中。
[0046]若所述报文携带的目的端口不在白名单中,那么所述报文为客户端访问监控设备 非正常监控业务端口的报文,可以确定所述报文是异常访问报文,并将所述报文携带的源 IP地址添加到黑名单中。
[0047]其中,针对确定所述报文是异常访问报文的过程,安全网关可以先判断当前是否 存在所述报文携带的源IP地址对应的异常访问计数;如果否,则创建所述源IP地址对应的 异常访问计数,并将所述报文携带的目的端口添加到异常访问计数中,并将异常访问计数 的数值加1;如果是,则判断所述源IP地址对应的异常访问计数中是否存在所述报文携带的 目的端口;如果存在,则保持所述源IP地址对应的异常访问计数的数值不变,如果不存在, 则将所述源IP地址对应的异常访问计数的数值加1;并进一步判断异常访问计数的数值是 否超过预设阈值,若超过,则确定所述报文是异常访问报文,若未超过,则确定所述报文不 是异常访问报文。
[0048] 其中,当预设阈值为1时,安全网关可以不需要创建异常访问计数,可以直接确定 所述报文是异常访问报文,即步骤S206中的情况。然而为了避免客户端误操作,访问了监控 设备的非正常监控业务端口,即不在白名单中记录的端口,从而导致客户端的IP地址被添 加到黑名单中。安全网关可以将所述预设阈值设置为2或3,由于入侵设备进行端口扫描是 逐个端口扫描,因此异常访问计数的数值仍然会超过预设阈值。如果误操作导致客户端的 IP地址被添加到黑名单中,则可以通过管理员手动删除处理。
[0049] 例如,再如图1所示,客户端2开始发送报文访问了监控设备的80端口,然后又发送 报文访问了监控设备的554端口,如步骤S204所述,80端口和554端口均在白名单中有记录, 因此均未进行异常访问计数,后续客户端2继续发送报文,但误访问了监控设备的445端口, 由于445端口在白名单中未记录,因此安全网关会进行异常访问计数,即为所述报文携带的 源IP地址创建异常计数,并将异常访问计数的数值加1。
[0050] 基于上述描述可知,安全网关在白名单中记录了所有开放业务端口,由于入侵设 备并不清楚哪些端口是开放业务端口,会逐个端口进行探测,因此,安全网关终究会接收到 携带的目的端口不在白名单中的报文,而且只要发现报文携带的目的端口不在白名单中, 就可以将报文携带的源IP地址添加到黑名单中,以通过黑名单禁止入侵设备发送的报文进 入监控设备。此外,通过异常访问计数可以避免客户端的误操作行为。而且当确定所述报文 是异常访问报文时,则直接禁止所述报文进入监控设备,可以有效的防御入侵设备的端口 扫描入侵。
[0051] 需要说明的是,针对步骤S202中,情况二所述的应用场景,为了避免入侵设备变更 报文携带的源IP地址进行端口扫描,安全网关在将所述报文携带的源IP地址添加到黑名单 中之后,可以获取所述源IP地址对应的MAC地址,并将所述MAC地址对应所述源IP地址添加 到黑名单中。
[0052] 其中,针对获取所述源IP地址对应的MAC地址的过程,安全网关可以通过单播方式 发送携带所述源IP地址的查询请求报文,以使接收到所述查询请求报文的网络设备在确定 所述源IP地址对应的路由表项为直连目的网段之后,查询本地的ARP(Address Resolution Protocol,地址解析协议)表项以获取所述源IP地址对应的MAC地址,然后接收所述网络设 备返回的携带有所述MAC地址的查询响应报文,并从查询响应报文中解析出所述MAC地址。 下面对通过单播方式获取MAC地址的过程进行详细描述:
[0053]如图4所示,为单播方式获取MAC表项的实施例流程图,该实施例结合图1所示的应 用场景进行详细描述,包括以下步骤:
[0054]步骤S401:安全网关向与自身连接的三层交换机1发送携带所述源IP地址的查询 请求报文。
[0055]其中,所述查询请求报文头的目的IP地址和目的MAC地址均指向的是三层交换机 1,并且所述查询请求报文内容中添加有需要查询的IP地址(即所述源IP地址),以及查询到 后要发送给谁的IP地址(安全网关的IP地址),以便某一网络设备在查询到所述源IP地址对 应的MAC地址时,可以通过单播方式发送至安全网关。
[0056]步骤S402:三层交换机1查询路由表,将所述查询请求报文发送至三层交换机2。 [0057] 详细的,例如客户端1的IP地址为192 . 168. 2 . 100,客户端2的IP地址为 192. 168.3.200,三层交换机2的IP地址为192. 168.2. 1,三层交换机3的IP地址为 192.168.3.1。假设所述源IP地址为192.168.2.100,三层交换机1在接收到查询请求报文 时,从查询请求报文内容中获取192.168.2.100,并查询路由表,如表1所示,为一种示例性 路由表,三层交换机1可以按照最长匹配原则,查询到路由表项为192.168.2.0/24的目的网 段、G1 /2的出接口、192.168.2.1的下一跳IP地址,从而,三层交换机1向出接口 G1/2的下一 跳三层交换机2发送查询请求报文。
[0059] 表 1
[0060] 这样,查询请求报文只向需要查询的IP地址192.168.2.100指向的客户端接入的 三层交换机2传输,不会向全网络传输。
[0061 ] 步骤S403:三层交换机2查询路由表,确定所述源IP地址对应的路由表项为直连目 的网段之后,查询本地的ARP表项,以获取所述源IP地址对应的MAC地址。
[0062]如步骤S402所述的路由表查询过程,三层交换机2会查询到路由表项为 192.168.2.0/24的直连目的网段,如表2所示,为一种示例性路由表。所述直连目的网段用 于指示三层交换机2的ARP表项中记录有需要查询的IP地址192.168.2.100对应的MAC地址。 因此可以利用192.168.2.100查询本地的ARP表项,如表3所示,为一种示例性ARP表项,从而 可获取192.168.2.100对应的獻(:地址00-(^47-(^-88-八2。
[0067]表 3
[0068]步骤S404:三层交换机2通过单播方式将携带所述MAC地址的查询响应报文发送至 安全网关。
[0069]由于查询请求报文内容中携带有安全网关的IP地址,因此,三层交换机2可以通过 单播方式将携带所述MAC地址的查询响应报文发送至安全网关。
[0070] 此外,安全网关也可以通过组播方式获