一种防火墙端口管理方法及系统技术方案

本发明专利技术提出了一种防火墙端口管理方法及系统，通过从第一IP地址数据库中读取第一IP地址列表，以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测，以将所述IP地址列表中的IP地址划分为活动IP和非活动IP，以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测，所述第二时间周期小于所述第一时间周期，确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标，根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作，可以及时发现服务器端口的异常开放情况，避免造成端口的不当开放带来的严重损失。重损失。重损失。

【技术实现步骤摘要】
一种防火墙端口管理方法及系统


[0001]本专利技术涉及网络安全
，特别涉及一种防火墙端口管理方法及系统。

技术介绍

[0002]云服务器作为面向互联网提供服务的设备，其IP地址(Internet Protocol Address，互联网协议地址)直接暴露在互联网上，防火墙是云服务器在网络安全方面的极为重要的一道防线，通过拦截未开放端口的恶意访问，为云服务器拦截来自于互联网的各种威胁。然而在现实情况中，由于服务器运维人员或者其他服务器管理人员的一些不规范操作，也会导致将高危端口开放的情况，使黑客得以利用这些端口的安全漏洞对云服务器实行攻击，造成不可挽回的损失。

技术实现思路

[0003]本专利技术正是基于上述问题，提出了一种防火墙端口管理方法及系统，可以及时发现服务器端口的异常开放情况，避免造成端口的不当开放带来的严重损失。
[0004]有鉴于此，本专利技术的第一方面提出了一种防火墙端口管理方法，包括：
[0005]从第一IP地址数据库中读取第一IP地址列表；
[0006]以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测，以将所述IP地址列表中的IP地址划分为活动IP和非活动IP；
[0007]以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测，所述第二时间周期小于所述第一时间周期；
[0008]确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标；
[0009]根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作。
[0010]进一步的，在上述的防火墙端口管理方法中，所述确定所述至少一个目标端口的服务访问指标的步骤具体包括：
[0011]从第二IP地址数据库中读取第二IP地址列表；
[0012]获取所述第二IP地址列表中的IP地址在预设时间段内通过所述至少一个目标端口访问相应服务的次数和时间间隔；
[0013]根据所述访问次数和时间间隔确定所述至少一个目标端口的服务访问指标。
[0014]进一步的，在上述的防火墙端口管理方法中，确定所述至少一个目标端口的服务管理指标的步骤具体包括：
[0015]确定监听所述至少一个目标端口的目标服务程序信息；
[0016]获取预设时间段内所述目标服务程序的变更操作次数，所述目标服务程序的变更操作包括服务程序的启动、停止以及参数配置操作；
[0017]从所述变更操作次数中去掉来自于系统应用程序或其它具备所述目标服务程序
操作权限的其它三方程序的操作次数；
[0018]根据所述变更操作次数确定所述至少一个目标端口的服务管理指标。
[0019]进一步的，在上述的防火墙端口管理方法中，确定所述至少一个目标端口的端口安全性指标的步骤具体包括：
[0020]确定监听所述至少一个目标端口的目标服务程序信息，所述目标服务程序信息包括所述目标服务程序的名称及其版本号；
[0021]从安全漏洞数据库中确定是否存在所述目标服务程序的安全漏洞；
[0022]当确定为是时，根据所述目标服务程序的安全漏洞的数量和危害等级确定所述至少一个目标端口的端口安全性指标。
[0023]进一步的，在上述的防火墙端口管理方法中，根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作的步骤具体包括：
[0024]当所述服务访问指标小于预设的第一阈值和/或所述服务管理指标小于预设的第二阈值时，关闭所述目标端口；
[0025]当所述服务访问指标和/或所述服务管理指标大于预设的第一阈值且所述安全性指标低于预设的第三阈值时，向预设的运维人员发出安全预警。
[0026]本专利技术的第二方面提出了一种防火墙端口管理系统，包括：
[0027]第一IP地址读取模块，用于从第一IP地址数据库中读取第一IP地址列表；
[0028]活动状态检测模块，用于以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测，以将所述IP地址列表中的IP地址划分为活动IP和非活动IP；
[0029]目标端口检测模块，用于以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测，所述第二时间周期小于所述第一时间周期；
[0030]指标确定模块，用于确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标；
[0031]安全操作执行模块，用于根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作。
[0032]进一步的，在上述的防火墙端口管理系统中，所述指标确定模块包括：
[0033]第二IP地址读取模块，用于从第二IP地址数据库中读取第二IP地址列表；
[0034]端口访问信息获取模块，用于获取所述第二IP地址列表中的IP地址在预设时间段内通过所述至少一个目标端口访问相应服务的次数和时间间隔；
[0035]服务访问指标确定模块，用于根据所述访问次数和时间间隔确定所述至少一个目标端口的服务访问指标。
[0036]进一步的，在上述的防火墙端口管理系统中，所述指标确定模块包括：
[0037]目标服务程序确定模块，用于确定监听所述至少一个目标端口的目标服务程序信息；
[0038]变更操作次数获取模块，用于获取预设时间段内所述目标服务程序的变更操作次数，所述目标服务程序的变更操作包括服务程序的启动、停止以及参数配置操作；
[0039]操作次数计算模块，用于从所述变更操作次数中去掉来自于系统应用程序或其它具备所述目标服务程序操作权限的其它三方程序的操作次数；
[0040]服务管理指标确定模块，用于根据所述变更操作次数确定所述至少一个目标端口
的服务管理指标。
[0041]进一步的，在上述的防火墙端口管理系统中，所述指标确定模块包括：
[0042]目标服务程序确定模块，确定监听所述至少一个目标端口的目标服务程序信息，所述目标服务程序信息包括所述目标服务程序的名称及其版本号；
[0043]安全漏洞确定模块，用于从安全漏洞数据库中确定是否存在所述目标服务程序的安全漏洞；
[0044]端口安全性指标确定模块，用于当确定为是时，根据所述目标服务程序的安全漏洞的数量和危害等级确定所述至少一个目标端口的端口安全性指标。
[0045]进一步的，在上述的防火墙端口管理系统中，所述安全操作执行模块包括：
[0046]目标端口关闭模块，用于当所述服务访问指标小于预设的第一阈值和/或所述服务管理指标小于预设的第二阈值时，关闭所述目标端口；
[0047]安全预警模块，用于当所述服务访问指标和/或所述服务管理指标大于预设的第一阈值且所述安全性指标低于预设的第三阈值时，向预设的运维人员发出安全预警。
[0048]本专利技术提出了一种防火墙端口管理方法及系统，通过从第一IP地址本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防火墙端口管理方法，其特征在于，包括：从第一IP地址数据库中读取第一IP地址列表；以第一时间周期为循环周期对所述IP地址列表中的IP地址执行活动状态检测，以将所述IP地址列表中的IP地址划分为和非活动IP；以第二时间周期为循环周期对所述活动IP的至少一个目标端口进行检测，所述第二时间周期小于所述第一时间周期；确定所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性指标；根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作。2.根据权利要求1所述的防火墙端口管理方法，其特征在于，所述确定所述至少一个目标端口的服务访问指标的步骤具体包括：从第二IP地址数据库中读取第二IP地址列表；获取所述第二IP地址列表中的IP地址在预设时间段内通过所述至少一个目标端口访问相应服务的次数和时间间隔；根据所述访问次数和时间间隔确定所述至少一个目标端口的服务访问指标。3.根据权利要求1所述的防火墙端口管理方法，其特征在于，确定所述至少一个目标端口的服务管理指标的步骤具体包括：确定监听所述至少一个目标端口的目标服务程序信息；获取预设时间段内所述目标服务程序的变更操作次数，所述目标服务程序的变更操作包括服务程序的启动、停止以及参数配置操作；从所述变更操作次数中去掉来自于系统应用程序或其它具备所述目标服务程序操作权限的其它三方程序的操作次数；根据所述变更操作次数确定所述至少一个目标端口的服务管理指标。4.根据权利要求1所述的防火墙端口管理方法，其特征在于，确定所述至少一个目标端口的端口安全性指标的步骤具体包括：确定监听所述至少一个目标端口的目标服务程序信息，所述目标服务程序信息包括所述目标服务程序的名称及其版本号；从安全漏洞数据库中确定是否存在所述目标服务程序的安全漏洞；当确定为是时，根据所述目标服务程序的安全漏洞的数量和危害等级确定所述至少一个目标端口的端口安全性指标。5.根据权利要求2
‑
4所述的防火墙端口管理方法，其特征在于，根据所述至少一个目标端口的服务访问指标、服务管理指标以及端口安全性执行相应的安全处理操作的步骤具体包括：当所述服务访问指标小于预设的第一阈值和/或所述服务管理指标小于预设的第二阈值时，关闭所述目标端口；当所述服务访问指标和/或所述服务管理指标大于预设的第一阈值且所述安全性指标低于预设的第三阈值时，向预设的运维人员发出安全预警。6.一种防火墙端口管理体系统，其特征在于，包括：第一IP地址读取模块，用于从第一IP地址数据库中读取第一IP地址列表...

【专利技术属性】
技术研发人员：刘光辉，王凯，杨光，
申请(专利权)人：深圳崎点数据有限公司，
类型：发明
国别省市：