取MAC地址,比如,安全网关可以利用预先 配置的组播IP地址和端口作为查询请求报文头的目的IP地址和目的端口,比如组播IP地址 为239.239.239.239,端口为10239,并在查询请求报文内容中添加需要查询的IP地址(即所 述源IP地址),以及查询到后要发送给谁的IP地址(安全网关的IP地址)。各网络设备(比如 三层交换机1、三层交换机2、三层交换机3、二层交换机1)作为组播接收者加入该组播组中, 并在相应的端口侦听查询请求报文,如图1所示,安全网关首先将组播类型的查询请求报文 发送至三层交换机1,三层交换机1接着将查询请求报文向三层交换机2和三层交换机3发 送,依次类推,直到将查询请求报文发送至该组播组中的所有网络设备。各网络设备在接收 到携带所述源IP地址的查询请求报文时,查询本地的ARP(Address Resolution Protocol, 地址解析协议)表项,如果某一网络设备查询到所述源IP地址对应的MAC地址,则将所述MAC 地址添加到查询响应报文的报文内容中,并通过单播方式将查询响应报文发送至安全网 关。
[0071] 进一步地,针对步骤S202中,情况一所述的应用场景,为了减少安全网关统计异常 访问计数和防御入侵设备的压力,可以将防御行为前移至网络设备(比如三层交换机1、三 层交换机2、三层交换机3、二层交换机1)上。同时,也为了避免入侵设备变更源IP地址,通过 网络设备向监控设备发送报文。因此,安全网关在获取到所述源IP地址对应的MAC地址之 后,可以发送携带有所述MAC地址的禁入通知报文,以使接收到所述禁入通知报文的网络设 备丢弃源MAC地址为所述MAC地址的报文。
[0072] 其中,针对发送携带有所述MAC地址的禁入通知报文的过程,再如图1所示,安全网 关通过单播方式向与自身连接的三层交换机1发送禁入通知报文,三层交换机1根据本地的 ARP表项将禁入通知报文再通过单播方式向与其连接的三层交换机2和三层交换机3发送出 去,其中,所述ARP表项中记录有三层交换机2和三层交换机3的IP地址、MAC地址、以及对应 的出接口,当三层交换机2或三层交换机3接收到禁入通知报文之后,由于禁入通知报文携 带的源IP地址为三层交换机1的IP地址,所以三层交换机2和三层交换机3根据本地的ARP表 项只向与其连接的其他网络设备的IP地址发送禁入通知报文,不会再将禁入通知报文返回 到三层交换机1,从而可以避免环回。以此类推,一直到全网络中的各网络设备(三层交换机 和二层交换机)均接收到禁入通知报文。
[0073] 另外,当各网络设备接收到禁入通知报文之后,可以通过配置ACUAccess Control List,访问控制列表)规则,即将所述MAC地址添加到ACL中。当各网络设备接收到 报文时,利用报文携带的源MAC地址去匹配ACL,如果匹配到所述MAC地址,则丢弃所述报文, 从而在各网络设备中实现丢弃源MAC地址为所述MAC地址的报文。
[0074] 基于上述描述可知,由于网络设备记录有所述MAC地址,因此即使入侵设备变更源 IP地址,在通过网络设备向监控设备发送报文时,由于入侵设备变更不了源MAC地址,在网 络设备中会通过匹配到所述MAC地址将所述报文丢弃掉。并且,由于网络中的所有网络设备 均记录有所述MAC地址,包括安全网关,即使入侵设备变换接入网络的位置,在向监控设备 发送报文时,同样也会被丢弃。
[0075] 更进一步地是,安全网关在添加所述MAC地址到黑名单时,可以将第一禁入时间对 应所述MAC地址添加到黑名单中,以在所述第一禁入时间内丢弃源地址信息在黑名单中的 报文。此外,在发送禁入通知报文时,还可以在禁入通知报文中添加第二禁入时间,以使接 收到禁入通知报文的网络设备在所述第二禁入时间内,丢弃源MAC地址为所述MAC地址的报 文。
[0076] 其中,所述第一或第二禁入时间可以是指定的时间段,比如,在下午1点到5点之间 为监控设备容易受入侵的时间,即监控设备的危险期,可以将1点到5点之间作为第一或第 二禁入时间。所述第一或第二禁入时间也可以是从开始有的一个时间,如4个小时,比如,所 述第二禁入时间为5小时,所述网络设备在首次接收到源MAC地址为所述MAC地址的报文时 生效第二禁入时间,并且在超过第二禁入时间之后,就不再禁止源MAC地址为所述MAC地址 的报文。比如,二层交换机1接收到源MAC地址为所述MAC地址的报文丢弃掉之后,4小时后, 入侵设备变换在网络中的位置,接入到三层交换机3,向三层交换机3发送源MAC地址为所述 MAC地址的报文,三层交换机3会匹配到所述MAC地址,丢弃所述报文,从而所述MAC地址对应 的第二禁入时间生效,即三层交换机3仍然按照5小时禁止源MAC地址为所述MAC地址的报文 通过,而不是1小时。
[0077]此外,如步骤S206所述,当所述源IP地址对应的第一禁入时间失效之后,将所述源 IP地址对应的异常访问计数删除,以实现重新开始所述源IP地址的异常访问计数,并且在 所述异常访问计数的数值重新超过预设阈值时,再将所述源IP地址添加到黑名单中。
[0078] 由上述实施例所述,在安全网关接收到目的IP地址为监控设备的报文时,首先判 断黑名单中是否存在所述报文携带的源地址信息;若是,则丢弃所述报文;若否,则再判断 预先配置的白名单中是否存在所述报文携带的目的端口;若不存在,则确定所述报文是异 常访问报文,将所述报文携带的源IP地址添加到黑名单中。基于上述实现方式,安全网关通 过在白名单中记录开放业务端口,实现对入侵设备进行端口扫描入侵的防御,由于入侵设 备并不清楚哪些端口是开放业务端口,因此会逐个端口进行探测,因此,安全网关在接收到 报文时,只要发现报文携带的目的端口不在白名单中,就可以将报文携带的源IP地址添加 到黑名单中,以通过黑名单禁止入侵设备发送的报文进入监控设备。这样,由于入侵设备发 送的报文无法进入监控设备,入侵设备也就无法判断监控设备是否在使用该端口,也就无 法发现监控设备为该端口开放的服务,甚至运行的软件版本。因此,入侵设备无法分析这些 提供服务的端口漏洞,对监控设备进行入侵攻击。
[0079] 与前述防御端口扫描入侵的方法的实施例相对应,本申请还提供了防御端口扫描 入侵的装置的实施例。
[0080] 本申请防御端口扫描入侵的装置的实施例可以应用在安全网关上。装置实施例可 以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个 逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指 令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本申请防御端口扫描入侵的 装置所在设备的一种硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存 储器之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对 此不再赘述。
[0081] 参见图6所示,为本申请根据一示例性实施例示出的一种防御端口扫描入侵的装 置的实施例结构图,该实施例应用于安全网关上,所述装置包括:接收单元610、第一判断单 元620、丢弃单元630、第二判断单元640、确定单元650、添加单元660。
[0082]其中,所述接收单元610,用于接收目的IP地址为监控设备的报文;
[0083]第一判断单元620,用于判断黑名单中是否存在所述报文携带的源地址信息;
[0084]丢弃单元630,用于当所述第一判断单元620的判断结果为是时,丢弃所述报文; [0085]第二判断单元640,用于当所述第一判断单元620的判断结果为否时,判断预先配 置的白名单中是否存在所述报文携带的目的端口;其中,所述白名单中记录有开放业务端 P;
[0086]确定单元650,用于当所述第二判断单元640的判断结果为不存在时,确定所述报 文是异常访问报文;
[0087]添加单元660,用于在所述确定单元650确定所述报文是异常访问报文时,将所述 报文携带的源IP地址添加到黑名单中。
[0088] 在一个可选的实现方式中,所述确定单元650,具体用于判断当前是否存在所述报 文携带的源IP地址对应的异常访问计数;如果否,则创建所述源IP地址对应的异常访问计 数,并将所述报文携带的目的端口添加到异常访问计数中,并将所述异常访问计数的数值 加1;如果是,则判断所述源IP地址对应的异常访问计数中是否存在所述报文携带的目的端 口;如果存在,则保持所述源IP地址对应的异常访问计数的数值不变,如果不存在,则将所 述源IP地址对应的异常访问计数的数值加1;并进一步判断所述异常访问计数的数值是否 超过预设阈值,若超过,则确定所述报文是异常访问报文,若未超过,则确定所述报文不是 异常访问报文。
[0089] 在另一个可选的实现方式中,所述装置还包括(图6中未示出):
[0090] 获取单元,用于在所述添加单元660将所述报文携带的源IP地址添加到黑名单中 之后,获取所述源IP地址对应的MAC地址;
[0091] 所述添加单元660,还用于将所述MAC地址对应所述源IP地址添加到所述黑名单 中;和/或,所述装置还包括(图6中未示出):发送单元,用于发送携带有所述MAC地址的禁入 通知报文,以使接收到所述禁