單一服務埠實現多種網絡協議代理的方法

2023-05-02 20:58:06 2

單一服務埠實現多種網絡協議代理的方法
【專利摘要】本發明提供了一種單一服務埠實現多種網絡協議代理的方法，即可實現網絡協議代理的方法，可以有效的降低開放多個服務埠帶來的網絡安全風險，包括如下步驟：(1)流程開始；(2)客戶端生成和發起啟動請求至指定的單一服務埠；(3)伺服器端響應啟動請求；(4)客戶端發起訪問請求至指定的單一服務埠；(5)伺服器端依據客戶端發起的訪問請求中的地址參數；(6)伺服器端依據客戶端發起的訪問請求中的埠等參數，判斷是否是訪問指定的單一服務埠之外的其它埠；(7)伺服器端根據客戶端請求中的地址和埠、協議名稱，執行網絡協議代理操作，將請求轉發到相應的目標運維設備。
【專利說明】單一服務埠實現多種網絡協議代理的方法
【技術領域】
[0001]本發明涉及一種網絡協議代理方法，尤其是一種單一服務埠實現多種網絡協議代理的方法。
【背景技術】
[0002]運維堡壘機是一種具有運維人員身份管理、運維訪問控制、運維操作審計追蹤和運維合規報表生成等功能的網絡安全審計設備，在IT內控和運維風險管理領域扮演著重要角色，通常被部署在內網中的伺服器和網絡設備等核心資源的前面，對運維人員的操作權限進行控制和操作行為審計，可以解決運維人員權限難以控制混亂局面，並對違規操作行為進行控制和審計。
[0003]運維堡壘機在運維人員和設備之間起著堡壘的作用，其自身安全不容忽視。運維堡壘機應當具備較強的抗攻擊性，因為運維堡壘機作為單一故障點，一旦被攻破，其管理的所有的節點都可能暴露，帶來巨大的安全風險。目前運維堡壘機大都採用網絡協議代理的工作方式，普遍存在開放多個網絡服務埠的問題，例如3389、21、22、23等高危埠，容易被惡意攻擊者掃描、嗅探和攻擊。

【發明內容】

[0004]本發明提供了一種單一服務埠實現多種網絡協議代理的方法，可以有效的降低開放多個服務埠帶來的網絡安全風險。
[0005]實現本發明目的的單一服務埠實現多種網絡協議代理的方法，包括如下步驟: [0006](I)流程開始；
[0007](2)客戶端生成和發起啟動請求至指定的單一服務埠，客戶端生成的啟動請求中主要包括用戶ID ；
[0008](3)伺服器端響應啟動請求，伺服器端為客戶端生成啟動所需要的相關啟動參數；
[0009](4)客戶端發起訪問請求至指定的單一服務埠，客戶端根據接收到的啟動參數，生成訪問請求，發給伺服器；
[0010](5)伺服器端依據客戶端發起的訪問請求中的地址參數，判斷是否是訪問伺服器本機地址，如果是，則進入步驟(6)，否則，進入步驟(7)；
[0011](6)伺服器端依據客戶端發起的訪問請求中的埠等參數，判斷是否是訪問指定的單一服務埠之外的其它埠，如果是，則進入步驟(8)，否則，進入步驟(9)；
[0012](7)伺服器端根據客戶端請求中的地址和埠、協議名稱，執行網絡協議代理操作，將請求轉發到相應的目標運維設備；
[0013](8)伺服器端處理該請求，提供指定的單一服務埠對應的服務；
[0014](9)伺服器端處理該請求，提供埠轉發，將請求轉發到客戶端請求中其它埠對應的服務；[0015](10)客戶端發起關閉動作；
[0016](11)流程結束。
[0017]步驟(3)所述啟動參數包括會話ID，伺服器地址、伺服器埠和協議名稱。
[0018]步驟(4)所述訪問請求包括會話ID、目的設備地址、目的設備埠和目的服務端□。
[0019]本發明的一種單一服務埠實現多種網絡協議代理的方法的有益效果如下:
[0020]本發明的一種單一服務埠實現多種網絡協議代理的方法，客戶端主要負責發起運維操作等訪問請求，伺服器端主要負責響應客戶端的訪問請求，並進行網絡協議代理。
[0021]本發明通過在客戶端和伺服器端精心構造信息交互協議，來實現針對單一服務埠，當後臺存在多個服務時，對客戶端請求進行封裝，以便客戶端可以正確地找到相應的服務提供者。
【專利附圖】

【附圖說明】
[0022]圖1為本發明的單一服務埠實現多種網絡協議代理的方法的流程圖。
【具體實施方式】
[0023]實施例1
[0024]如圖1所示，本實施例的單一服務埠實現多種網絡協議代理的方法，包括如下步驟:
[0025]步驟101表示流程開始。
[0026]步驟102表示客戶端生成和發起啟動請求至指定的單一服務埠。客戶端生成的啟動請求中主要包括用戶id。
[0027]步驟103表示伺服器端響應啟動請求。伺服器端為客戶端生成啟動所需要的相關啟動參數。
[0028]步驟104表示客戶端發起訪問請求至指定的單一服務埠。客戶端根據接收到的啟動參數，生成訪問請求，發給伺服器。
[0029]步驟105是一個判定，伺服器端依據客戶端發起的訪問請求中的地址參數，判斷是否是訪問伺服器本機地址，如果是，則進入步驟106，否則，進入步驟107。
[0030]步驟106是一個判定，伺服器端依據客戶端發起的訪問請求中的埠等參數，判斷是否是訪問指定的單一服務埠之外的其它埠，如果是，則進入步驟108，否則，進入步驟 109。
[0031]步驟107表示伺服器端根據客戶端請求中的地址和埠、協議名稱，執行網絡協議代理操作，將請求轉發到相應的目標運維設備。
[0032]步驟108表示伺服器端處理該請求，提供指定的單一服務埠對應的服務。
[0033]步驟109表示伺服器端處理該請求，提供埠轉發，將請求轉發到客戶端請求中其它埠對應的服務。
[0034]步驟110表示客戶端發起關閉動作。
[0035]步驟111表示流程結束。
[0036]實施例2[0037]本實施例的單一服務埠實現多種網絡協議代理的方法，包括如下步驟:
[0038]步驟101表示流程開始。
[0039]步驟102表示客戶端生成和發起啟動請求至指定的單一服務埠。
[0040]步驟103表示伺服器端響應啟動請求。伺服器端為客戶端生成啟動所需要的相關啟動參數，啟動參數包括會話ID。
[0041]步驟104表示客戶端發起訪問請求至指定的單一服務埠。客戶端根據接收到的啟動參數，生成訪問請求，發給伺服器，訪問請求包括會話ID。
[0042]步驟105是一個判定，伺服器端依據客戶端發起的訪問請求中的地址參數，判斷是否是訪問伺服器本機地址，如果是，則進入步驟106，否則，進入步驟107。
[0043]步驟106是一個判定，伺服器端依據客戶端發起的訪問請求中的埠等參數，判斷是否是訪問指定的單一服務埠之外的其它埠，如果是，則進入步驟108，否則，進入步驟 109。
[0044]步驟107表示伺服器端根據客戶端請求中的地址和埠、協議名稱，執行網絡協議代理操作，將請求轉發到相應的目標運維設備。
[0045]步驟108表示伺服器端處理該請求，提供指定的單一服務埠對應的服務。
[0046]步驟109表示伺服器端處理該請求，提供埠轉發，將請求轉發到客戶端請求中其它埠對應的服務。
[0047]步驟110表示客戶端發起關閉動作。
[0048]步驟111表示流程結束。
[0049]實施例3
[0050]步驟101表示流程開始。
[0051]步驟102表示客戶端生成和發起啟動請求至指定的單一服務埠。
[0052]步驟103表示伺服器端響應啟動請求。伺服器端為客戶端生成啟動所需要的相關啟動參數，啟動參數包括會話ID,伺服器地址。
[0053]步驟104表示客戶端發起訪問請求至指定的單一服務埠。客戶端根據接收到的啟動參數，生成訪問請求，發給伺服器，訪問請求包括會話id、目的設備地址。
[0054]步驟105是一個判定，伺服器端依據客戶端發起的訪問請求中的地址參數，判斷是否是訪問伺服器本機地址，如果是，則進入步驟106，否則，進入步驟107。
[0055]步驟106是一個判定，伺服器端依據客戶端發起的訪問請求中的埠等參數，判斷是否是訪問指定的單一服務埠之外的其它埠，如果是，則進入步驟108，否則，進入步驟 109。
[0056]步驟107表示伺服器端根據客戶端請求中的地址和埠、協議名稱，執行網絡協議代理操作，將請求轉發到相應的目標運維設備。
[0057]步驟108表示伺服器端處理該請求，提供指定的單一服務埠對應的服務。
[0058]步驟109表示伺服器端處理該請求，提供埠轉發，將請求轉發到客戶端請求中其它埠對應的服務。
[0059]步驟110表示客戶端發起關閉動作。
[0060]步驟111表示流程結束。
[0061]實施例4[0062]步驟101表示流程開始。
[0063]步驟102表示客戶端生成和發起啟動請求至指定的單一服務埠。
[0064]步驟103表示伺服器端響應啟動請求。伺服器端為客戶端生成啟動所需要的相關啟動參數，啟動參數包括會話id，伺服器地址、伺服器埠。
[0065]步驟104表示客戶端發起訪問請求至指定的單一服務埠。客戶端根據接收到的啟動參數，生成訪問請求，發給伺服器，訪問請求包括會話id、目的設備地址、目的設備端□。
[0066]步驟105是一個判定，伺服器端依據客戶端發起的訪問請求中的地址參數，判斷是否是訪問伺服器本機地址，如果是，則進入步驟106，否則，進入步驟107。
[0067]步驟106是一個判定，伺服器端依據客戶端發起的訪問請求中的埠等參數，判斷是否是訪問指定的單一服務埠之外的其它埠，如果是，則進入步驟108，否則，進入步驟 109。
[0068]步驟107表示伺服器端根據客戶端請求中的地址和埠、協議名稱，執行網絡協議代理操作，將請求轉發到相應的目標運維設備。
[0069]步驟108表示伺服器端處理該請求，提供指定的單一服務埠對應的服務。
[0070]步驟109表示伺服器端處理該請求，提供埠轉發，將請求轉發到客戶端請求中其它埠對應的服務。
[0071]步驟110表示客戶端發起關閉動作。
[0072]步驟111表示流程結束。
[0073]實施例5
[0074]步驟101表示流程開始。
[0075]步驟102表示客戶端生成和發起啟動請求至指定的單一服務埠。
[0076]步驟103表示伺服器端響應啟動請求。伺服器端為客戶端生成啟動所需要的相關啟動參數，啟動參數包括會話id，伺服器地址、伺服器埠、協議名稱等。
[0077]步驟104表示客戶端發起訪問請求至指定的單一服務埠。客戶端根據接收到的啟動參數，生成訪問請求，發給伺服器，訪問請求包括會話id、目的設備地址、目的設備埠、目的服務埠等。
[0078]步驟105是一個判定，伺服器端依據客戶端發起的訪問請求中的地址參數，判斷是否是訪問伺服器本機地址，如果是，則進入步驟106，否則，進入步驟107。
[0079]步驟106是一個判定，伺服器端依據客戶端發起的訪問請求中的埠等參數，判斷是否是訪問指定的單一服務埠之外的其它埠，如果是，則進入步驟108，否則，進入步驟 109。
[0080]步驟107表示伺服器端根據客戶端請求中的地址和埠、協議名稱，執行網絡協議代理操作，將請求轉發到相應的目標運維設備。
[0081]步驟108表示伺服器端處理該請求，提供指定的單一服務埠對應的服務。
[0082]步驟109表示伺服器端處理該請求，提供埠轉發，將請求轉發到客戶端請求中其它埠對應的服務。
[0083]步驟110表示客戶端發起關閉動作。
[0084]步驟111表示流程結束。[0085]本發明的一種單一服務埠實現多種網絡協議代理的方法的優點如下:
[0086]本發明的單一服務埠實現多種網絡協議代理的方法，由於本發明可以使得運維堡壘機僅開放單一服務埠，不需要開放如21，22，23，3389等高危埠，使得惡意攻擊者可以掃描、嗅探到的埠數目減少，從而減少運維堡壘機的安全脆弱點，降低運維堡壘機的安全風險。
[0087]上面所述的實施例僅僅是對本發明的優選實施方式進行描述，並非對本發明的範圍進行限定，在不脫離本發明設計精神前提下，本領域普通工程技術人員對本發明技術方案做出的各種變形和改進，均應落入本發明的權利要求書確定的保護範圍內。
【權利要求】
1.單一服務埠實現多種網絡協議代理的方法，包括如下步驟: (1)流程開始； (2)客戶端生成和發起啟動請求至指定的單一服務埠，客戶端生成的啟動請求中主要包括用戶ID ； (3)伺服器端響應啟動請求，伺服器端為客戶端生成啟動所需要的相關啟動參數； (4)客戶端發起訪問請求至指定的單一服務埠，客戶端根據接收到的啟動參數，生成訪問請求，發給伺服器； (5)伺服器端依據客戶端發起的訪問請求中的地址參數，判斷是否是訪問伺服器本機地址，如果是，則進入步驟(6)，否則，進入步驟(7)； (6)伺服器端依據客戶端發起的訪問請求中的埠等參數，判斷是否是訪問指定的單一服務埠之外的其它埠，如果是，則進入步驟(8)，否則，進入步驟(9)； (7)伺服器端根據客戶端請求中的地址和埠、協議名稱，執行網絡協議代理操作，將請求轉發到相應的目標運維設備； (8)伺服器端處理該請求，提供指定的單一服務埠對應的服務； (9)伺服器端處理該請求，提供埠轉發，將請求轉發到客戶端請求中其它埠對應的服務； (10)客戶端發起關閉動作； (11)流程結束。
2.根據權利要求1所述的單一服務埠實現多種網絡協議代理的方法，其特徵在於:步驟(3)所述啟動參數包括會話ID，伺服器地址、伺服器埠和協議名稱。
3.根據權利要求1或2所述的單一服務埠實現多種網絡協議代理的方法，其特徵在於:步驟(4)所述訪問請求包括會話ID、目的設備地址、目的設備埠和目的服務埠。
【文檔編號】H04L29/06GK103607373SQ201310488914
【公開日】2014年2月26日 申請日期:2013年10月18日 優先權日:2013年10月18日
【發明者】張全林 申請人:尚思卓越(北京)科技有限公司