本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域，特別是涉及一種端口探測(cè)方法和一種端口探測(cè)裝置。

背景技術(shù)：

隨著網(wǎng)絡(luò)的不斷擴(kuò)展，接入設(shè)備逐漸增多，網(wǎng)絡(luò)結(jié)構(gòu)也日趨復(fù)雜。通常，采用網(wǎng)絡(luò)拓?fù)鋱D來(lái)標(biāo)明設(shè)備所處的位置，設(shè)備的名稱類型，以及設(shè)備間的連接介質(zhì)類型，以便于技術(shù)人員了解網(wǎng)絡(luò)之間設(shè)備的分布情況以及連接狀態(tài)，。

以網(wǎng)絡(luò)系統(tǒng)支持鏈路層發(fā)現(xiàn)協(xié)議(Link Layer Discovery Protocol，LLDP)為例，在現(xiàn)有的網(wǎng)絡(luò)管理中，可以通過(guò)網(wǎng)絡(luò)拓?fù)鋱D繪制出該網(wǎng)絡(luò)系統(tǒng)中所接入的所有設(shè)備，如交換機(jī)、路由器等二三層設(shè)備，甚至于服務(wù)器。

但是，網(wǎng)絡(luò)拓?fù)鋱D繪制出網(wǎng)絡(luò)系統(tǒng)中的所有設(shè)備，網(wǎng)絡(luò)管理的技術(shù)人員難以通過(guò)該網(wǎng)絡(luò)拓?fù)鋱D確定開(kāi)啟某一服務(wù)端口的設(shè)備。例如，在諸如個(gè)人計(jì)算機(jī)(Personal Computer，PC)等終端設(shè)備非法開(kāi)啟了本應(yīng)由服務(wù)器才能開(kāi)啟的服務(wù)端口時(shí)，技術(shù)人員難以通過(guò)現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋱D查找出非法開(kāi)啟該服務(wù)端口的終端設(shè)備。

顯然，現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋱D難以發(fā)現(xiàn)網(wǎng)絡(luò)中設(shè)備開(kāi)啟了哪些服務(wù)端口，不方便技術(shù)人員對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行維護(hù)。

技術(shù)實(shí)現(xiàn)要素：

鑒于上述問(wèn)題，提出了本發(fā)明實(shí)施例以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的一種端口探測(cè)方法和相應(yīng)的一種端口探測(cè)裝置，以解決現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋱D難以確定開(kāi)啟指定服務(wù)端口的設(shè)備的問(wèn)題，以及方便技術(shù)人員對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行維護(hù)。

為了解決上述問(wèn)題，本發(fā)明實(shí)施例公開(kāi)了一種端口探測(cè)方法，包括：

依據(jù)指定的網(wǎng)絡(luò)節(jié)點(diǎn)確定目標(biāo)端口對(duì)應(yīng)的網(wǎng)段地址；

對(duì)所述網(wǎng)段地址范圍內(nèi)的主機(jī)進(jìn)行掃描，確定活躍主機(jī)；

通過(guò)對(duì)各活躍主機(jī)進(jìn)行端口掃描，將開(kāi)啟指定端口的活躍主機(jī)確定為目標(biāo)設(shè)備；

獲取所述目標(biāo)設(shè)備的主機(jī)信息，生成對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)洳⒄故尽?/p>

相應(yīng)的，本發(fā)明實(shí)施例還公開(kāi)了一種端口探測(cè)裝置，包括：

網(wǎng)段地址確定模塊，用于依據(jù)指定的網(wǎng)絡(luò)節(jié)點(diǎn)確定目標(biāo)端口對(duì)應(yīng)的網(wǎng)段地址；

活躍主機(jī)確定模塊，用于對(duì)所述網(wǎng)段地址范圍內(nèi)的主機(jī)進(jìn)行掃描，確定活躍主機(jī)；

目標(biāo)設(shè)備確定模塊，用于通過(guò)對(duì)各活躍主機(jī)進(jìn)行端口掃描，將開(kāi)啟指定端口的活躍主機(jī)確定為目標(biāo)設(shè)備；

網(wǎng)絡(luò)服務(wù)拓?fù)渖赡K，用于獲取所述目標(biāo)設(shè)備的主機(jī)信息，生成對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)洳⒄故尽?/p>

本發(fā)明實(shí)施例包括以下優(yōu)點(diǎn)：

本發(fā)明實(shí)施例通過(guò)探測(cè)網(wǎng)絡(luò)中的活躍主機(jī)(又稱活躍終端)，并對(duì)活躍主機(jī)進(jìn)行服務(wù)端口探測(cè)，從而可以探測(cè)出活躍主機(jī)的位置和所提供的各種服務(wù)，即實(shí)現(xiàn)了服務(wù)器網(wǎng)絡(luò)拓?fù)涞奶綔y(cè)，并可以繪出用戶感興趣的網(wǎng)絡(luò)服務(wù)拓?fù)?，從而解決通過(guò)現(xiàn)有的網(wǎng)絡(luò)拓?fù)潆y以確定開(kāi)啟指定服務(wù)端口的設(shè)備的問(wèn)題，滿足用戶的需求

附圖說(shuō)明

圖1是本發(fā)明的一種端口探測(cè)方法實(shí)施例的步驟流程圖；

圖2是本發(fā)明的一種端口探測(cè)方法優(yōu)選實(shí)施例的步驟流程圖；

圖3A是本發(fā)明的一種端口探測(cè)裝置實(shí)施例的結(jié)構(gòu)框圖；

圖3B是本發(fā)明的一種端口探測(cè)裝置優(yōu)選實(shí)施例的結(jié)構(gòu)框圖。

具體實(shí)施方式

為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說(shuō)明。

目前，網(wǎng)絡(luò)管理軟件(簡(jiǎn)稱網(wǎng)管軟件)能夠通過(guò)諸如簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol，SNMP)/網(wǎng)絡(luò)配置協(xié)議(Network Configuration Protocol，Netconf)等網(wǎng)絡(luò)管理/網(wǎng)絡(luò)配置協(xié)議來(lái)管理網(wǎng)絡(luò)，能夠獲知網(wǎng)絡(luò)拓?fù)?，并且通過(guò)圖形向用戶展示，但是對(duì)于網(wǎng)絡(luò)終端，如個(gè)人PC、服務(wù)器就無(wú)法形象的顯示了(具體的，無(wú)法顯示終端所開(kāi)啟的功能)。因此，現(xiàn)有的網(wǎng)管軟件所繪制的網(wǎng)絡(luò)拓?fù)錈o(wú)法體現(xiàn)開(kāi)啟某一服務(wù)端口的終端設(shè)備，即現(xiàn)有的網(wǎng)管軟件不能繪出用戶感興趣服務(wù)器網(wǎng)絡(luò)拓?fù)?，無(wú)法滿足用戶的需求。

本發(fā)明實(shí)施例的核心構(gòu)思之一在于，通過(guò)探測(cè)網(wǎng)絡(luò)中的所有活躍主機(jī)(又稱活躍終端)，并對(duì)活躍主機(jī)進(jìn)行服務(wù)端口探測(cè)，從而可以探測(cè)出所有活躍主機(jī)的位置和所提供的各種服務(wù)，即實(shí)現(xiàn)了服務(wù)器網(wǎng)絡(luò)拓?fù)涞奶綔y(cè)，并可以繪出用戶感興趣的網(wǎng)絡(luò)服務(wù)拓?fù)洌瑥亩鉀Q現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋱D難以確定開(kāi)啟指定服務(wù)端口的設(shè)備的問(wèn)題，滿足用戶的需求。

參照?qǐng)D1，示出了本發(fā)明的一種端口探測(cè)方法實(shí)施例的步驟流程圖，具體可以包括如下步驟：

步驟102，依據(jù)指定的網(wǎng)絡(luò)節(jié)點(diǎn)確定目標(biāo)端口對(duì)應(yīng)的網(wǎng)段地址。

在本實(shí)施例中，網(wǎng)管軟件在用戶選擇服務(wù)探測(cè)功能時(shí)，可以根據(jù)用戶所選擇的指定設(shè)備，確定該指定設(shè)備即為網(wǎng)絡(luò)節(jié)點(diǎn)，亦即，用戶可以選擇網(wǎng)絡(luò)節(jié)點(diǎn)。例如，用戶在選擇服務(wù)探測(cè)功能時(shí)，可選擇對(duì)指定設(shè)備實(shí)施，選擇方式為選中網(wǎng)絡(luò)拓?fù)渲械哪撑_(tái)設(shè)備。當(dāng)用戶所選擇的指定設(shè)備為網(wǎng)絡(luò)節(jié)點(diǎn)A時(shí)，網(wǎng)管軟件可以將該網(wǎng)絡(luò)節(jié)點(diǎn)A作為指定設(shè)備對(duì)應(yīng)指定的網(wǎng)絡(luò)節(jié)點(diǎn)。若網(wǎng)絡(luò)節(jié)點(diǎn)A是三層網(wǎng)絡(luò)設(shè)備，提供了虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)功能和VLAN虛接口，則可以將VLAN虛接口作為目標(biāo)端口，以及可以由網(wǎng)絡(luò)節(jié)點(diǎn)A返回相應(yīng)VLAN虛接口所在的網(wǎng)段地址，從而可以將網(wǎng)絡(luò)節(jié)點(diǎn)A返回的網(wǎng)段地址作為目標(biāo)端口對(duì)應(yīng)的網(wǎng)段地址。若網(wǎng)絡(luò)節(jié)點(diǎn)A是二層網(wǎng)絡(luò)設(shè)備，只提供了VLAN功能，沒(méi)有使能相應(yīng)的VLAN虛接口，則可以為該網(wǎng)絡(luò)節(jié)點(diǎn)A需要探測(cè)的VLAN創(chuàng)建相應(yīng)的VLAN虛接口，將所創(chuàng)建的VLAN虛接口作為目標(biāo)端口，為該目標(biāo)端口配置對(duì)應(yīng)的網(wǎng)段地址。

步驟104，對(duì)所述網(wǎng)段地址范圍內(nèi)的主機(jī)進(jìn)行掃描，確定活躍主機(jī)。

在本發(fā)明實(shí)施例中，網(wǎng)管軟件可以通過(guò)調(diào)用主機(jī)掃描進(jìn)程對(duì)確定的網(wǎng)段地址范圍內(nèi)的主機(jī)進(jìn)行掃描，探測(cè)出在該網(wǎng)段地址范圍內(nèi)與指定的網(wǎng)絡(luò)節(jié)點(diǎn)連接的活躍主機(jī)，亦即可以探測(cè)出該目標(biāo)端口所對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)渲械幕钴S主機(jī)。

需要說(shuō)明的是，本發(fā)明實(shí)施例的主機(jī)掃描進(jìn)程可以對(duì)指定網(wǎng)絡(luò)協(xié)議(Internet Protocol，IP)地址或地址范圍進(jìn)行主機(jī)掃描，以確定是否能夠進(jìn)行通訊，具體可以用于探測(cè)局域網(wǎng)內(nèi)存在哪些主機(jī)。具體的，主機(jī)掃描進(jìn)程可以采用因特網(wǎng)包探索器(Packet Internet Groper，PING)方式，利用網(wǎng)絡(luò)控制報(bào)文協(xié)議(Internet Control Message Protocol，ICMP)請(qǐng)求響應(yīng)進(jìn)行掃描；也可以基于ICMP掃描技術(shù)，利用ICMP協(xié)議最基本的報(bào)錯(cuò)用途進(jìn)行掃描，如向目標(biāo)主機(jī)發(fā)送一個(gè)只有IP頭的IP數(shù)據(jù)包，目標(biāo)將返回destination unreachable的ICMP錯(cuò)誤報(bào)文；還可以采用諸如其他掃描技術(shù)進(jìn)行掃描，如利用網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)(Network Basic Input Output System，NetBIOS)進(jìn)行掃描，通過(guò)發(fā)送目的端口137的用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol，UDP)廣播，將正?；貞?yīng)的終端確定為活躍主機(jī)，本發(fā)明實(shí)施例對(duì)主機(jī)掃描方式不作具體限制。

其中，端口137屬于UDP端口，可以用于NetBIOS名稱服務(wù)(NetBIOS Name Service)，具體可以在局域網(wǎng)中提供計(jì)算機(jī)的名字或IP地址查詢服務(wù)。137為端口號(hào)，可以用于標(biāo)識(shí)該服務(wù)端口。

作為本發(fā)明的一個(gè)具體示例，在網(wǎng)管軟件通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)目標(biāo)端口VLAN100中的主機(jī)進(jìn)行探測(cè)時(shí)，若網(wǎng)絡(luò)節(jié)點(diǎn)A的VLAN100虛接口IP地址為100.1.1.100，其對(duì)應(yīng)探測(cè)的網(wǎng)段為100.1.1.0/24，則網(wǎng)管軟件在使能網(wǎng)絡(luò)節(jié)點(diǎn)A針對(duì)VLAN100啟動(dòng)主機(jī)探測(cè)時(shí)，可以將探測(cè)的網(wǎng)段地址范圍一并告知網(wǎng)絡(luò)節(jié)點(diǎn)A，從而使得網(wǎng)絡(luò)節(jié)點(diǎn)A可以在探測(cè)的網(wǎng)段地址范圍內(nèi)，對(duì)與網(wǎng)絡(luò)節(jié)點(diǎn)A中的特征網(wǎng)絡(luò)端口的狀態(tài)進(jìn)行檢測(cè)，如當(dāng)端口狀態(tài)為打開(kāi)(Up)狀態(tài)時(shí)，可以確定該特征網(wǎng)絡(luò)端口所連接的終端設(shè)備為活躍主機(jī)；當(dāng)特征網(wǎng)絡(luò)端口的端口狀態(tài)為關(guān)閉(Down)狀態(tài)時(shí)，可以確定該特征網(wǎng)絡(luò)端口下面沒(méi)有活躍的主機(jī)。

其中，特征網(wǎng)絡(luò)端口可以用于表示網(wǎng)絡(luò)節(jié)點(diǎn)與終端設(shè)備連接的端口，如網(wǎng)絡(luò)節(jié)點(diǎn)A與主機(jī)連接的端口。該終端設(shè)備可以包括計(jì)算機(jī)網(wǎng)絡(luò)中處于網(wǎng)絡(luò)最外圍的設(shè)備，主要用于用戶信息的輸入以及處理結(jié)果的輸出等。

步驟106，通過(guò)對(duì)各活躍主機(jī)進(jìn)行端口掃描，將開(kāi)啟指定端口的活躍主機(jī)確定為目標(biāo)設(shè)備。

本發(fā)明實(shí)施例的網(wǎng)管軟件在探測(cè)出活躍主機(jī)后，可以通過(guò)調(diào)用端口掃描進(jìn)行對(duì)各活躍主機(jī)進(jìn)行端口掃描，確定各活躍主機(jī)所開(kāi)啟了哪些服務(wù)端口，進(jìn)而可以將開(kāi)啟了指定端口的活躍主機(jī)確定為目標(biāo)設(shè)備。其中，指定端口可以表示所需檢測(cè)的服務(wù)端口，如網(wǎng)管軟件可以根據(jù)用戶所輸入的參數(shù)存儲(chǔ)確定對(duì)應(yīng)的指定端口。該參數(shù)信息可以用于確定對(duì)應(yīng)的服務(wù)端口，具體可以包括端口號(hào)、服務(wù)端口名稱、端口地址等，本發(fā)明實(shí)施例對(duì)此不作具體限制。

需要說(shuō)明的是，一個(gè)服務(wù)端口通常對(duì)應(yīng)一個(gè)潛在的通信通道。本發(fā)明實(shí)施例的端口掃描進(jìn)程可以對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描，能夠確定目標(biāo)計(jì)算機(jī)打開(kāi)了哪些諸如傳輸控制協(xié)議(Transmission Control Protocol，TCP)端口、UDP端口等服務(wù)端口。具體的，一般一個(gè)知名端口對(duì)應(yīng)一種服務(wù)。端口掃描進(jìn)程通?？梢岳肨CP、UDP等方式去檢測(cè)操作系統(tǒng)類型及開(kāi)放的服務(wù)。其中，常用的TCP端口掃描技術(shù)可以包括TCP同步標(biāo)志(Synchronous，SYN)掃描、TCP連接(Connect)掃描和TCP結(jié)束標(biāo)志(Finish，F(xiàn)IN)掃描等方式；常用的UDP端口掃描技術(shù)可以包括利用ICMP端口不可達(dá)報(bào)文進(jìn)行掃描、UDP recvfrom()和write()掃描等，該recvfrom()可以用于表示從已連接用套接口上接收數(shù)據(jù)的，并捕獲數(shù)據(jù)發(fā)送源的地址的方法函數(shù)；write()可以用于表示將數(shù)據(jù)寫(xiě)入到已打開(kāi)的文件內(nèi)的方法函數(shù)。

知名端口號(hào)可以指的是由互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)(The Internet Corporation for Assigned Names and Numbers，ICANN)預(yù)留給TCP和UDP使用的端口號(hào)，具體可以包括0到1023之間的整數(shù)。例如，參照表1，示出了一些常用服務(wù)器使用的端口號(hào)。

表1

其中，端口21可以用于文件傳輸協(xié)議(File Transfer Protocol，F(xiàn)TP)服務(wù)；端口22為安全外殼協(xié)議(Secure Shell，SSH)服務(wù)器所開(kāi)放的；23端口可以用于遠(yuǎn)程登錄(Telnet)服務(wù)；25端口為簡(jiǎn)單郵件傳輸協(xié)議(Simple Mail Transfer Protocol，SMTP)服務(wù)器所開(kāi)放的，可以用于發(fā)送郵件；53可以用于標(biāo)識(shí)域名服務(wù)器(Domain Name Server，DNS)所開(kāi)放的端口；80端口為超文本傳輸協(xié)議(Hyper Text Transport Protocol，HTTP)服務(wù)器所開(kāi)放的；110端口是為郵件協(xié)議3(Post Office Protocol Version 3，POP3)服務(wù)開(kāi)放的，可以用于接收郵件；161端口是為SNMP服務(wù)開(kāi)放的；443端口也可以稱網(wǎng)頁(yè)瀏覽端口，可以用于安全套接字層超文本傳輸協(xié)議(Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS)服務(wù)。

作為本發(fā)明的一個(gè)具體示例，網(wǎng)管軟件可以在服務(wù)55探測(cè)界面上彈出或顯示輸入?yún)?shù)框，使得用戶可以在該輸入?yún)?shù)框中輸入?yún)?shù)信息，從而實(shí)現(xiàn)由用戶指定對(duì)某個(gè)端口進(jìn)行探測(cè)。其中，用戶可以指定一個(gè)或多個(gè)端口，也可以指定端口范圍，本發(fā)明實(shí)施例對(duì)此不作限制。例如，若用戶想要探測(cè)有哪些主機(jī)啟動(dòng)了網(wǎng)絡(luò)時(shí)間協(xié)議(Network Time Protocol，NTP)服務(wù)器的功能，則可以在輸入?yún)?shù)框中輸入TCP端口123；若想要探測(cè)有哪些主機(jī)啟動(dòng)了動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol，DHCP)服務(wù)器的功能，則可以在輸入?yún)?shù)框中輸入U(xiǎn)DP端口68。當(dāng)網(wǎng)管軟件檢測(cè)到用戶在在輸入?yún)?shù)框輸入的端口號(hào)為123和68時(shí)，可以將TCP端口123和UDP端口68作為指定端口，從而可以通過(guò)調(diào)用端口掃描進(jìn)程對(duì)活躍主機(jī)進(jìn)行端口掃描，確定出哪些活躍主機(jī)開(kāi)啟TCP端口123和/或UDP端口68，進(jìn)而可以將開(kāi)啟TCP端口123和/或UDP端口68的活躍主機(jī)作為目標(biāo)設(shè)備。

步驟108，獲取所述目標(biāo)設(shè)備的主機(jī)信息，生成對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)洳⒄故尽?/p>

本發(fā)明實(shí)施例中，網(wǎng)管軟件在端口掃描后，可以通過(guò)NetConf協(xié)議獲取已經(jīng)探測(cè)出的目標(biāo)設(shè)備的主機(jī)信息，進(jìn)而可以采用所獲取的主機(jī)信息確定開(kāi)啟指定端口的所有目標(biāo)設(shè)備所連接的網(wǎng)絡(luò)結(jié)構(gòu)。其中，主機(jī)信息具體可以包括：媒體訪問(wèn)控制(Medium Access Control，MAC)地址、IP地址、網(wǎng)絡(luò)端口信息、服務(wù)端口信息等任意一種或幾種參數(shù)信息，本發(fā)明實(shí)施例對(duì)此不作具體的限制。

本發(fā)明實(shí)施例的網(wǎng)管軟件可以通過(guò)網(wǎng)絡(luò)拓?fù)湫问秸故舅心繕?biāo)設(shè)備所連接的網(wǎng)絡(luò)結(jié)構(gòu)，即生成所有目標(biāo)設(shè)備所連接的網(wǎng)絡(luò)結(jié)構(gòu)對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)?，并?duì)該網(wǎng)絡(luò)服務(wù)拓?fù)溥M(jìn)行展示，以使諸如網(wǎng)絡(luò)管理員等用戶可以通過(guò)該網(wǎng)絡(luò)服務(wù)拓?fù)浯_定開(kāi)啟指定端口的所有終端設(shè)備，從而方便用戶確定該網(wǎng)絡(luò)服務(wù)拓?fù)渲心男┙K端設(shè)備非法開(kāi)啟指定端口的終端設(shè)備，即解決現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋱D難以確定開(kāi)啟指定服務(wù)端口的設(shè)備的問(wèn)題。

例如，網(wǎng)管軟件可以獲取開(kāi)啟了已經(jīng)探測(cè)出開(kāi)啟NTP服務(wù)的主機(jī)信息，并且可以通過(guò)網(wǎng)絡(luò)拓?fù)湫问竭M(jìn)行展示，從而可以確定網(wǎng)絡(luò)服務(wù)拓?fù)渲杏心男┙K端設(shè)備開(kāi)啟了本來(lái)應(yīng)該是NTP服務(wù)器才開(kāi)啟的端口。此外，網(wǎng)管軟件也可以獲取已經(jīng)探測(cè)出開(kāi)啟DHCP服務(wù)的主機(jī)信息，并且也可以通過(guò)網(wǎng)絡(luò)拓?fù)湫问竭M(jìn)行展示，從而可以確定網(wǎng)絡(luò)服務(wù)拓?fù)渲杏心男┙K端設(shè)備開(kāi)啟了本來(lái)應(yīng)該是DHCP服務(wù)器才開(kāi)啟的端口。

當(dāng)然，本發(fā)明實(shí)施例的網(wǎng)管軟件也可以針對(duì)開(kāi)啟DHCP服務(wù)、NTP服務(wù)的終端設(shè)備生成一副完整的網(wǎng)絡(luò)服務(wù)拓?fù)?，并且也可以根?jù)用戶選擇具體的某個(gè)服務(wù)展示對(duì)應(yīng)的子網(wǎng)絡(luò)服務(wù)拓?fù)?，本發(fā)明實(shí)施例對(duì)此不作具體的限制。

通過(guò)本發(fā)明實(shí)施例，網(wǎng)管軟件可以生成指定端口對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)?，使得用戶可以通過(guò)該網(wǎng)絡(luò)拓快速地排除出該網(wǎng)絡(luò)服務(wù)拓?fù)渲心男┙K端設(shè)備是非法開(kāi)啟指定端口，即方便用戶對(duì)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行維護(hù)，可以提高維修的效率。

參照?qǐng)D2，示出了本發(fā)明的一種端口探測(cè)方法優(yōu)選實(shí)施例的步驟流程圖，具體可以包括如下步驟：

步驟202，依據(jù)指定的網(wǎng)絡(luò)節(jié)點(diǎn)確定目標(biāo)端口對(duì)應(yīng)的網(wǎng)段地址。

在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中，依據(jù)指定的網(wǎng)絡(luò)節(jié)點(diǎn)確定目標(biāo)端口對(duì)應(yīng)的網(wǎng)段地址，具體可以包括如下子步驟：

子步驟2020，檢測(cè)所述網(wǎng)絡(luò)節(jié)點(diǎn)是否提供虛擬局域網(wǎng)的虛接口。

本發(fā)明實(shí)施例中，軟管軟件可以通過(guò)檢測(cè)用戶所選擇的指定設(shè)備所屬的網(wǎng)絡(luò)層，確定對(duì)應(yīng)指定的網(wǎng)絡(luò)節(jié)點(diǎn)是否提供虛擬局域網(wǎng)的虛接口。例如，當(dāng)指定設(shè)備是三層網(wǎng)絡(luò)設(shè)備，可以確定該指定設(shè)備提供了VLAN功能和VLAN虛接口，然后可以執(zhí)行子步驟2022；當(dāng)指定設(shè)備是二層網(wǎng)絡(luò)設(shè)備，可以確定該指定設(shè)備提供了VLAN功能，但沒(méi)有使能相應(yīng)的VLAN虛接口，即未提供VLAN虛接口，可以跳轉(zhuǎn)到子步驟2024執(zhí)行。

子步驟2022，當(dāng)所述網(wǎng)絡(luò)節(jié)點(diǎn)提供所述虛接口時(shí)，將所述虛接口作為目標(biāo)端口，以及將所述虛接口所在的網(wǎng)段地址作為所述網(wǎng)段地址。

例如，當(dāng)指定的網(wǎng)絡(luò)節(jié)點(diǎn)A為三層網(wǎng)絡(luò)設(shè)備，網(wǎng)管軟件可以將該網(wǎng)絡(luò)節(jié)點(diǎn)A所提供的VLAN虛接口作為目標(biāo)端口；以及，可以直接使用網(wǎng)絡(luò)節(jié)點(diǎn)A的VLAN虛接口的IP地址，通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)A返回相應(yīng)VLAN虛接口所在的網(wǎng)段地址，從而可以將網(wǎng)絡(luò)節(jié)點(diǎn)A所返回的網(wǎng)段地址作為需要探測(cè)的網(wǎng)段地址。

子步驟2024，當(dāng)所述網(wǎng)絡(luò)節(jié)點(diǎn)未提供所述虛接口時(shí)，為所述網(wǎng)絡(luò)節(jié)點(diǎn)創(chuàng)建虛接口，并將創(chuàng)建的虛接口作為目標(biāo)端口，以及為所述目標(biāo)端口配置對(duì)應(yīng)的網(wǎng)段地址。

例如，在指定的網(wǎng)絡(luò)節(jié)點(diǎn)A為二層網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)管軟件可以為該網(wǎng)絡(luò)節(jié)點(diǎn)A的需要探測(cè)的VLAN創(chuàng)建相應(yīng)的VLAN虛接口，并且可以開(kāi)啟DHCP功能以動(dòng)態(tài)獲取IP地址，從而可以根據(jù)所獲取的IP地址為該VLAN虛接口配置對(duì)應(yīng)的網(wǎng)段地址。具體的，網(wǎng)管軟件可以通過(guò)NetConf協(xié)議給網(wǎng)絡(luò)節(jié)點(diǎn)A創(chuàng)建VLAN對(duì)應(yīng)的VLAN虛接口，并配置其IP地址為DHCP方式獲取，從而在進(jìn)行主機(jī)掃描時(shí)讓網(wǎng)絡(luò)節(jié)點(diǎn)A承擔(dān)掃描的工作，需要其有對(duì)應(yīng)的IP地址。

當(dāng)然，本發(fā)明實(shí)施例也可以采用其他方式實(shí)現(xiàn)，如在創(chuàng)建指定的網(wǎng)絡(luò)節(jié)點(diǎn)相應(yīng)的VLAN虛接口后，網(wǎng)管操作人員可以在相應(yīng)的網(wǎng)段里找出一個(gè)沒(méi)有使用過(guò)的IP地址分配給它，如在分配時(shí)先通過(guò)因特網(wǎng)包探索器(Packet Internet Grope，PING)查找出未使用的IP地址，從而可以確定未使用的網(wǎng)段地址，將未使用的網(wǎng)段地址分配給所創(chuàng)建的VLAN虛接口；分配方式也可以通過(guò)在服務(wù)探測(cè)界面增加參數(shù)輸入項(xiàng)，從而由網(wǎng)管軟件通過(guò)NetConf協(xié)議將輸入的網(wǎng)段地址下發(fā)給網(wǎng)絡(luò)節(jié)點(diǎn)，本發(fā)明實(shí)施例對(duì)此不作具體限制。

可選的，本發(fā)明實(shí)施例在探測(cè)結(jié)束后，可以撤銷創(chuàng)建的VLAN虛接口，即回退到原始狀態(tài)，如網(wǎng)管軟件可以通過(guò)NetConf協(xié)議配置網(wǎng)絡(luò)節(jié)點(diǎn)A，從而可以刪除VLAN虛接口的配置。

需要說(shuō)明的是，NetConf可以是一種基于XML的網(wǎng)絡(luò)管理協(xié)議，提供了一種可編程的、對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置和管理的方法，如用戶可以通過(guò)該協(xié)議設(shè)置參數(shù)、獲取參數(shù)值、獲取統(tǒng)計(jì)信息等。NetConf報(bào)文使用XML格式，具有強(qiáng)大的過(guò)濾能力；每一個(gè)數(shù)據(jù)項(xiàng)都有一個(gè)固定的元素名稱和位置，使得同一廠商的不同設(shè)備具有相同的訪問(wèn)方式和結(jié)果呈現(xiàn)方式，不同廠商之間的設(shè)備也可以經(jīng)過(guò)映射XML得到相同的效果，從而使得它在第三方軟件的開(kāi)發(fā)上非常便利，即很容易開(kāi)發(fā)出在混合不同廠商、不同設(shè)備的環(huán)境下的特殊定制的網(wǎng)管軟件。在這樣的網(wǎng)管軟件的協(xié)助下，使用NetConf功能會(huì)使網(wǎng)絡(luò)設(shè)備的配置管理工作，變得更簡(jiǎn)單更高效。

步驟204，基于網(wǎng)絡(luò)配置協(xié)議，確定所述網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)端口信息。

在本發(fā)明實(shí)施例中，網(wǎng)管軟件可以在網(wǎng)絡(luò)服務(wù)拓?fù)渲信袛喑瞿男┚W(wǎng)絡(luò)端口是連接其他網(wǎng)絡(luò)節(jié)點(diǎn)的，并生成對(duì)應(yīng)的網(wǎng)絡(luò)端口信息，從而可以將這些網(wǎng)絡(luò)端口信息通過(guò)NetConf協(xié)議下發(fā)到網(wǎng)絡(luò)節(jié)點(diǎn)。

步驟206，采用所述網(wǎng)絡(luò)端口信息對(duì)所述網(wǎng)段地址范圍內(nèi)的網(wǎng)絡(luò)端口進(jìn)行過(guò)濾，確定所述網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)應(yīng)的特征網(wǎng)絡(luò)端口。

其中，本發(fā)明實(shí)施例中的特征網(wǎng)絡(luò)端口可以為連接主機(jī)的端口。

作為本發(fā)明的一個(gè)具體示例，網(wǎng)管軟件通過(guò)NetConf協(xié)議可以將網(wǎng)絡(luò)端口信息下發(fā)給網(wǎng)絡(luò)節(jié)點(diǎn)A，同時(shí)可以賦予網(wǎng)絡(luò)節(jié)點(diǎn)A的屬性動(dòng)作為過(guò)濾，從而使得網(wǎng)絡(luò)節(jié)點(diǎn)A執(zhí)行主機(jī)探測(cè)時(shí)，可以在VLAN100所屬的端口范圍中排除掉連接其他網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)端口，確定出該網(wǎng)絡(luò)節(jié)點(diǎn)A對(duì)應(yīng)的特征網(wǎng)絡(luò)端口。

步驟208，通過(guò)對(duì)各特征網(wǎng)絡(luò)端口進(jìn)行狀態(tài)檢測(cè)，確定連接所述網(wǎng)絡(luò)節(jié)點(diǎn)的活躍主機(jī)。

具體的，目標(biāo)端口下的網(wǎng)絡(luò)端口實(shí)際上可以有很多服務(wù)端口。若網(wǎng)絡(luò)端口的端口狀態(tài)為Down，則可以確定其下面沒(méi)有活躍的主機(jī)；若網(wǎng)絡(luò)端口的端口狀態(tài)為Up，則可以確定其連接一個(gè)終端設(shè)備。因此，網(wǎng)管軟件可以通過(guò)對(duì)各特征網(wǎng)絡(luò)端口進(jìn)行狀態(tài)檢測(cè)，確定該網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)應(yīng)的活躍主機(jī)，亦即，可以在確定的網(wǎng)段地址范圍內(nèi)，掃描連接主機(jī)的特征網(wǎng)絡(luò)接口的狀態(tài)，以確定出該網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)應(yīng)的活躍主機(jī)。例如，目標(biāo)端口VLAN100下面有UP的端口10個(gè)，分別是P1～P10。其中，P9、P10是連接其他網(wǎng)絡(luò)設(shè)備，并非是連接終端的端口。網(wǎng)絡(luò)節(jié)點(diǎn)A在執(zhí)行主機(jī)探測(cè)時(shí)通過(guò)主機(jī)掃描進(jìn)程，可以在P1～P8的端口上掃描出存在8個(gè)活躍主機(jī)，IP分別為IP1～I(xiàn)P8，MAC分別為MAC1～MAC8。

步驟210，通過(guò)對(duì)各活躍主機(jī)進(jìn)行端口掃描，將開(kāi)啟指定端口的活躍主機(jī)確定為目標(biāo)設(shè)備。

在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中，通過(guò)對(duì)各活躍主機(jī)進(jìn)行端口掃描，將開(kāi)啟指定端口的活躍主機(jī)確定為目標(biāo)設(shè)備，具體可以包括：對(duì)各活躍主機(jī)進(jìn)行端口掃描，確定各活躍主機(jī)對(duì)應(yīng)的端口掃描結(jié)果；采用所述端口掃描結(jié)果確定各活躍主機(jī)是否開(kāi)啟指定端口；將開(kāi)啟所述指定端口的活躍主機(jī)作為所述目標(biāo)設(shè)備。其中，端口掃描結(jié)果可以記錄了活躍主機(jī)所開(kāi)啟的各服務(wù)端口，因此可以用于確定活躍主機(jī)是否開(kāi)啟指定端口。

可選的，網(wǎng)管軟件在探測(cè)出活躍主機(jī)后，可以通過(guò)主機(jī)掃描進(jìn)程通知端口掃描進(jìn)程，如將活躍主機(jī)的IP和MAC信息包括連接在哪個(gè)端口上一并報(bào)告給端口掃描進(jìn)程，從而使得端口掃描進(jìn)程針對(duì)活躍主機(jī)進(jìn)行指定端口的掃描。例如，當(dāng)指定端口為T(mén)CP端口123和UDP端口68時(shí)，端口掃描進(jìn)程可以針對(duì)該TCP端口123和UDP端口68對(duì)活躍主機(jī)的進(jìn)行掃描，以確定當(dāng)前所掃描的活躍主機(jī)開(kāi)啟了TCP端口123或UDP端口68，并生成對(duì)應(yīng)的端口掃描結(jié)果。該端口掃描結(jié)果可以用于確定活躍主機(jī)是否開(kāi)啟了TCP端口123或UDP端口68，如當(dāng)P3端口的主機(jī)開(kāi)啟了TCP端口123時(shí)，可以在該P(yáng)3端口的主機(jī)對(duì)應(yīng)的端口掃描結(jié)果中記錄“開(kāi)啟端口123”，進(jìn)而可以將P3端口的主機(jī)確定為目標(biāo)設(shè)備。

步驟212，獲取所述目標(biāo)設(shè)備的主機(jī)信息，生成對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)洳⒄故尽?/p>

結(jié)合上述例子，若P1～P8端口的掃描結(jié)果為：P3端口的主機(jī)開(kāi)啟了TCP端口123、P6端口的主機(jī)開(kāi)啟了TCP端口123，P6端口開(kāi)啟UDP端口68，P7端口的主機(jī)開(kāi)啟了UDP端口68，則可以在端口掃描結(jié)束時(shí)，獲取TCP服務(wù)和DHCP服務(wù)的主機(jī)信息，具體可以包括：P3端口的主機(jī)信息、P6端口的主機(jī)信息和P7端口的主機(jī)信息。網(wǎng)管軟件在獲取主機(jī)信息后，可以采用該主機(jī)信息生成對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)鋱D，以通過(guò)網(wǎng)絡(luò)拓?fù)湫问秸故尽?/p>

在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中，獲取所述目標(biāo)設(shè)備的主機(jī)信息，生成對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)洳⒄故荆唧w可以包括：通過(guò)網(wǎng)絡(luò)配置協(xié)議獲取所述目標(biāo)設(shè)備的主機(jī)信息；采用所述主機(jī)信息生成所述指定端口對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)?；?duì)所述網(wǎng)絡(luò)服務(wù)拓?fù)溥M(jìn)行展示。

本發(fā)明實(shí)施例中，網(wǎng)管軟件在執(zhí)行服務(wù)掃描的時(shí)候，可以周期性的去查詢掃描結(jié)果，掃描過(guò)程中可以在服務(wù)探測(cè)界面上執(zhí)行打點(diǎn)操作，提示正在掃描。例如，網(wǎng)管軟件可以預(yù)先設(shè)置端口掃描對(duì)應(yīng)的狀態(tài)標(biāo)志位，從而在周期性查詢時(shí)可以去查詢網(wǎng)絡(luò)節(jié)點(diǎn)A的端口掃描進(jìn)程B的狀態(tài)標(biāo)志位，如初始狀態(tài)為00，當(dāng)網(wǎng)管開(kāi)啟了服務(wù)掃描時(shí)，網(wǎng)管設(shè)置網(wǎng)絡(luò)節(jié)點(diǎn)A的端口掃描狀態(tài)標(biāo)志位01，表示掃描初始化；當(dāng)主機(jī)掃描通知端口掃描開(kāi)始傳遞活躍主機(jī)參數(shù)時(shí)，設(shè)置標(biāo)志位為10，表示端口掃描正在工作；當(dāng)端口掃描工作全都結(jié)束時(shí)，設(shè)置標(biāo)志位為11，表示掃描結(jié)束。當(dāng)網(wǎng)管軟件在周期性檢查時(shí)發(fā)現(xiàn)標(biāo)志位為11，可以確定服務(wù)掃描工作已結(jié)束，同時(shí)可以恢復(fù)網(wǎng)絡(luò)節(jié)點(diǎn)A的端口掃描標(biāo)志位為00，就可以不再進(jìn)行周期性查詢工作。網(wǎng)管軟件在周期性查詢端口掃描結(jié)果時(shí)，可以通過(guò)NetConf協(xié)議獲取已經(jīng)探測(cè)出開(kāi)啟NTP服務(wù)和DHCP服務(wù)的主機(jī)信息，從而可以將開(kāi)啟NTP和DHCP服務(wù)的主機(jī)信息結(jié)合原有的網(wǎng)絡(luò)服務(wù)拓?fù)淅L出一幅新的服務(wù)器網(wǎng)絡(luò)服務(wù)拓?fù)洹?/p>

當(dāng)然，網(wǎng)管軟件也可以根據(jù)用戶選擇具體的服務(wù)生成對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)洹．?dāng)用戶在所有的邊緣網(wǎng)絡(luò)節(jié)點(diǎn)上都執(zhí)行一次掃描后，網(wǎng)管軟件最終可以生成一幅完整的網(wǎng)絡(luò)服務(wù)拓?fù)?，如用戶可以選擇所有網(wǎng)絡(luò)設(shè)備進(jìn)行探測(cè)，由網(wǎng)管后臺(tái)分批執(zhí)行掃描，本發(fā)明對(duì)此不作限制。

步驟214，校驗(yàn)所述網(wǎng)路拓?fù)渲械母髂繕?biāo)設(shè)備的合法性，確定非法設(shè)備。

網(wǎng)管軟件通常由網(wǎng)絡(luò)管理員進(jìn)行管理維護(hù)，并且可以明確網(wǎng)絡(luò)中的所有正式的服務(wù)器都有哪些設(shè)備。因此，本發(fā)明實(shí)施例的網(wǎng)管軟件可以根據(jù)已經(jīng)明確的服務(wù)器校驗(yàn)網(wǎng)路拓?fù)渲械母髂繕?biāo)設(shè)備的合法性，確定非法設(shè)備。

作為本發(fā)明的一具體示例，網(wǎng)管軟件可以通過(guò)檢測(cè)各目標(biāo)設(shè)備是否與正式的服務(wù)器匹配，確定哪些提供特定服務(wù)的終端是不合法的，即得到網(wǎng)絡(luò)服務(wù)拓?fù)渲械降子心男┙K端開(kāi)啟了本來(lái)應(yīng)該是服務(wù)器才開(kāi)啟的端口。若目標(biāo)設(shè)備與正式的服務(wù)器匹配，則可以確定該目標(biāo)設(shè)備合法；若目標(biāo)設(shè)備與正式的服務(wù)器不匹配，則可以確定該目標(biāo)設(shè)備是不合法的，并且可以將不合法的目標(biāo)設(shè)備確定為所生成的服務(wù)器網(wǎng)絡(luò)服務(wù)拓?fù)渲械姆欠ㄔO(shè)備。

步驟216，針對(duì)所述非法設(shè)備，生成防護(hù)策略信息。

本發(fā)明實(shí)施例中，網(wǎng)管軟件可以針對(duì)非法設(shè)備，生成對(duì)應(yīng)的防護(hù)策略信息，以防止該非法設(shè)備非法提供服務(wù)。

作為本發(fā)明的一具體應(yīng)用，網(wǎng)絡(luò)管理員通過(guò)網(wǎng)管軟件所展示的網(wǎng)絡(luò)服務(wù)拓?fù)渑懦瞿男┙K端是非法開(kāi)啟了服務(wù)端口后，可以在網(wǎng)絡(luò)服務(wù)拓?fù)渲悬c(diǎn)擊相應(yīng)的終端設(shè)備，觸發(fā)網(wǎng)管軟件實(shí)現(xiàn)聯(lián)動(dòng)的執(zhí)行動(dòng)作。具體的，網(wǎng)管軟件可以依據(jù)用戶所提交的操作生成對(duì)應(yīng)的防護(hù)策略信息，如當(dāng)用戶提交的操作為禁用所點(diǎn)擊的終端設(shè)備所提供的服務(wù)時(shí)，生成對(duì)應(yīng)的防護(hù)策略信息為禁用策略；當(dāng)用戶提交的操作為限速所點(diǎn)擊的終端設(shè)備時(shí)，生成對(duì)應(yīng)的防護(hù)策略信息為限速策略；當(dāng)用戶提交的操作為關(guān)閉所點(diǎn)擊的終端設(shè)備的服務(wù)端口時(shí)，生成對(duì)應(yīng)的防護(hù)策略信息為關(guān)閉端口等等。可見(jiàn)，網(wǎng)絡(luò)管理員可以通過(guò)網(wǎng)管軟件對(duì)非記錄在案的終端設(shè)備所開(kāi)啟的服務(wù)端口進(jìn)行差異化安全策略防護(hù)。

當(dāng)然，網(wǎng)管軟件也可以依據(jù)端口服務(wù)的類型生成非法設(shè)備對(duì)應(yīng)的防護(hù)策略信息，也可以依據(jù)網(wǎng)絡(luò)管理員的操作對(duì)該防護(hù)策略信息進(jìn)行修改，本發(fā)明實(shí)施例對(duì)此不作具體的限制。

步驟218，按照所述防護(hù)策略信息對(duì)所述網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)端口進(jìn)行編輯動(dòng)作，以阻止所述非法設(shè)備的行為。

作為本發(fā)明的一個(gè)具體示例，即使這個(gè)不合法的終端暫時(shí)沒(méi)有形成網(wǎng)絡(luò)威脅，網(wǎng)管軟件也可以提前制定防護(hù)策略信息。例如，若開(kāi)啟UDP端口68的終端可以作為DHCP服務(wù)器的，則該終端具備了DHCP欺騙的能力。當(dāng)網(wǎng)管軟件探測(cè)出的結(jié)果是網(wǎng)絡(luò)設(shè)備A的P1端口連接的終端IP1打開(kāi)了UDP端口68，網(wǎng)管軟件可以針對(duì)該終端A1生成訪問(wèn)控制列表(Access Control List，ACL)過(guò)濾策略。網(wǎng)管軟件在實(shí)現(xiàn)聯(lián)動(dòng)的執(zhí)行動(dòng)作時(shí)，可以通過(guò)Netconf向網(wǎng)絡(luò)設(shè)備A的P1端口進(jìn)行編輯(edit)動(dòng)作，該動(dòng)作為在P1端口入方向下發(fā)ACL過(guò)濾策略。其中，過(guò)濾的匹配方式可以是“終端IP1+UDP端口68”，即若終端IP1使用端口68發(fā)送報(bào)文，則網(wǎng)管軟件可以確定終端IP1正在提供DHCP服務(wù)，在終端IP1所發(fā)送的報(bào)文到達(dá)網(wǎng)絡(luò)設(shè)備A的P1端口后就會(huì)被過(guò)濾策略過(guò)濾掉，從而可以防止終端IP1非法提供DHCP服務(wù)。

當(dāng)然，網(wǎng)管軟件也可以向網(wǎng)絡(luò)設(shè)備A的P1端口下發(fā)限速策略。具體的，在終端IP1使用端口68發(fā)送報(bào)文時(shí)，網(wǎng)管軟件可以通過(guò)限速策略對(duì)終端IP發(fā)送報(bào)文的速率進(jìn)行限制，如通過(guò)限速策略對(duì)終端IP1所發(fā)送報(bào)文進(jìn)行匹配，若匹配到終端IP1所發(fā)送報(bào)文是通過(guò)端口68發(fā)送的，則可以將超過(guò)限制速率的報(bào)文丟棄，從而可以避免終端IP1使用端口68進(jìn)行網(wǎng)絡(luò)攻擊而導(dǎo)致網(wǎng)絡(luò)崩潰的問(wèn)題，保證網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和可靠性。

若防護(hù)策略信息為關(guān)閉端口，則網(wǎng)管軟件可以通過(guò)SNMP/Netconf將網(wǎng)絡(luò)設(shè)備A的P1端口關(guān)閉，而不是控制終端IP1關(guān)閉相應(yīng)端口。具體的，網(wǎng)管軟件可以設(shè)置關(guān)閉后的行為方式，如關(guān)閉一段時(shí)間后自動(dòng)打開(kāi)，也可以設(shè)置為一直關(guān)閉，直到再一次進(jìn)行探測(cè)后，即當(dāng)執(zhí)行下一次探測(cè)時(shí)，可以先打開(kāi)將該P(yáng)1端口再進(jìn)行探測(cè)。若網(wǎng)管軟件沒(méi)有檢測(cè)到非法開(kāi)啟的端口68，可以保持特征網(wǎng)絡(luò)端口一直打開(kāi)。

需要說(shuō)明的是，網(wǎng)管軟件可以提供直接關(guān)閉的動(dòng)作按鈕，使得網(wǎng)絡(luò)管理員可以通過(guò)該動(dòng)作按鈕直接關(guān)閉對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)的端口。網(wǎng)管軟件還可以提供直接打開(kāi)的動(dòng)作按鈕，使得網(wǎng)絡(luò)管理員可以通過(guò)該動(dòng)作按鈕直接打開(kāi)對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)的端口，保證了網(wǎng)管軟件的健壯性。本發(fā)明實(shí)施例對(duì)網(wǎng)管軟件所提供的動(dòng)作按鈕的類型不作具體限制。

本發(fā)明實(shí)施例的網(wǎng)管軟件可以對(duì)指定網(wǎng)絡(luò)設(shè)備開(kāi)啟服務(wù)探測(cè)功能，針對(duì)網(wǎng)絡(luò)設(shè)備的VLAN中非網(wǎng)絡(luò)設(shè)備連接端口開(kāi)啟主機(jī)掃描，從而找出活躍的主機(jī)，并可以針對(duì)活躍主機(jī)開(kāi)啟指定端口或端口范圍的端口掃描，找出其所開(kāi)啟的服務(wù)，以繪制出對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)?，如通過(guò)周期性查詢服務(wù)掃描結(jié)果，根據(jù)設(shè)定的端口掃描狀態(tài)標(biāo)志位判斷掃描結(jié)束，提取掃描結(jié)果，并繪制出特定服務(wù)對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)洌瑥亩梢苑奖憔W(wǎng)絡(luò)管理原對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行維護(hù)。

綜上，本發(fā)明實(shí)施來(lái)可以通過(guò)網(wǎng)管軟件找出網(wǎng)絡(luò)中的活躍終端并進(jìn)行服務(wù)端口探測(cè)，繪制出網(wǎng)絡(luò)服務(wù)拓?fù)?，從而可以探測(cè)出可能的安全隱患或正在進(jìn)行的安全隱患，并且提供不同的防護(hù)機(jī)制，避免安全隱患或阻止正在進(jìn)行的危險(xiǎn)行為。

需要說(shuō)明的是，對(duì)于方法實(shí)施例，為了簡(jiǎn)單描述，故將其都表述為一系列的動(dòng)作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本發(fā)明實(shí)施例并不受所描述的動(dòng)作順序的限制，因?yàn)橐罁?jù)本發(fā)明實(shí)施例，某些步驟可以采用其他順序或者同時(shí)進(jìn)行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說(shuō)明書(shū)中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例，所涉及的動(dòng)作并不一定是本發(fā)明實(shí)施例所必須的。

參照?qǐng)D3A，示出了本發(fā)明的一種端口探測(cè)裝置實(shí)施例的結(jié)構(gòu)框圖，具體可以包括如下模塊：

網(wǎng)段地址確定模塊302，用于依據(jù)指定的網(wǎng)絡(luò)節(jié)點(diǎn)確定目標(biāo)端口對(duì)應(yīng)的網(wǎng)段地址。

活躍主機(jī)確定模塊304，用于對(duì)所述網(wǎng)段地址范圍內(nèi)的主機(jī)進(jìn)行掃描，確定活躍主機(jī)。

目標(biāo)設(shè)備確定模塊306，用于通過(guò)對(duì)各活躍主機(jī)進(jìn)行端口掃描，將開(kāi)啟指定端口的活躍主機(jī)確定為目標(biāo)設(shè)備。

網(wǎng)絡(luò)服務(wù)拓?fù)渖赡K308，用于獲取所述目標(biāo)設(shè)備的主機(jī)信息，生成對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)洳⒄故尽?/p>

參照?qǐng)D3B，示出了本發(fā)明的一種端口探測(cè)裝置優(yōu)選實(shí)施例的結(jié)構(gòu)框圖。

在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中，所述網(wǎng)段地址確定模塊302，可以包括如下子模塊：

虛接口檢測(cè)子模塊3022，用于檢測(cè)所述網(wǎng)絡(luò)節(jié)點(diǎn)是否提供虛擬局域網(wǎng)的虛接口。

網(wǎng)段地址確定子模塊3024，用于當(dāng)所述網(wǎng)絡(luò)節(jié)點(diǎn)提供所述虛接口時(shí)，將所述虛接口作為目標(biāo)端口，以及將所述虛接口所在的網(wǎng)段地址作為所述網(wǎng)段地址。

網(wǎng)段地址配置子模塊3026，用于當(dāng)所述網(wǎng)絡(luò)節(jié)點(diǎn)未提供所述虛接口時(shí)，為所述網(wǎng)絡(luò)節(jié)點(diǎn)創(chuàng)建虛接口，并將創(chuàng)建的虛接口作為目標(biāo)端口，以及為所述目標(biāo)端口配置對(duì)應(yīng)的網(wǎng)段地址。

在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中，所述活躍主機(jī)確定模塊304，可以包括如下子模塊：

端口信息確定子模塊3042，用于基于網(wǎng)絡(luò)配置協(xié)議，確定所述網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)端口信息。

特征網(wǎng)絡(luò)端口確定子模塊3044，用于采用所述網(wǎng)絡(luò)端口信息對(duì)所述網(wǎng)段地址范圍內(nèi)的網(wǎng)絡(luò)端口進(jìn)行過(guò)濾，確定所述網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)應(yīng)的特征網(wǎng)絡(luò)端口，其中，所述特征網(wǎng)絡(luò)端口為連接主機(jī)的端口。

活躍主機(jī)確定子模塊3046，用于通過(guò)對(duì)各特征網(wǎng)絡(luò)端口進(jìn)行狀態(tài)檢測(cè)，確定連接所述網(wǎng)絡(luò)節(jié)點(diǎn)的活躍主機(jī)。

在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中，所述目標(biāo)設(shè)備確定模塊306，可以包括如下子模塊：

端口掃描子模塊3062，用于對(duì)各活躍主機(jī)進(jìn)行端口掃描，確定各活躍主機(jī)對(duì)應(yīng)的端口掃描結(jié)果。

端口開(kāi)啟確定子模塊3064，用于采用所述端口掃描結(jié)果確定各活躍主機(jī)是否開(kāi)啟指定端口。

目標(biāo)設(shè)備確定子模塊3066，將開(kāi)啟所述指定端口的活躍主機(jī)作為所述目標(biāo)設(shè)備。

在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中，所述網(wǎng)絡(luò)服務(wù)拓?fù)渖赡K308，可以包括如下子模塊：

主機(jī)信息獲取子模塊3082，用于通過(guò)網(wǎng)絡(luò)配置協(xié)議獲取所述目標(biāo)設(shè)備的主機(jī)信息。

網(wǎng)絡(luò)服務(wù)拓?fù)渖勺幽K3084，用于采用所述主機(jī)信息生成所述指定端口對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)拓?fù)洹?/p>

網(wǎng)絡(luò)服務(wù)拓?fù)湔故咀幽K3086，用于對(duì)所述網(wǎng)絡(luò)服務(wù)拓?fù)溥M(jìn)行展示。

在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中，該端口探測(cè)裝置還可以包括如下模塊：

非法設(shè)備確定模塊310，用于校驗(yàn)所述網(wǎng)路拓?fù)渲械母髂繕?biāo)設(shè)備的合法性，確定非法設(shè)備。

防護(hù)策略生成模塊312，用于針對(duì)所述非法設(shè)備，生成防護(hù)策略信息。

行為阻止模塊316，用于按照所述防護(hù)策略信息對(duì)所述網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)端口進(jìn)行編輯動(dòng)作，以阻止所述非法設(shè)備的行為。

對(duì)于裝置實(shí)施例而言，由于其與方法實(shí)施例基本相似，所以描述的比較簡(jiǎn)單，相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。

本說(shuō)明書(shū)中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本發(fā)明實(shí)施例的實(shí)施例可提供為方法、裝置、或計(jì)算機(jī)程序產(chǎn)品。因此，本發(fā)明實(shí)施例可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本發(fā)明實(shí)施例可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤(pán)存儲(chǔ)器、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。

本發(fā)明實(shí)施例是參照根據(jù)本發(fā)明實(shí)施例的方法、終端設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來(lái)描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合。可提供這些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理終端設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過(guò)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理終端設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。

這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理終端設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中，使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。

這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理終端設(shè)備上，使得在計(jì)算機(jī)或其他可編程終端設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理，從而在計(jì)算機(jī)或其他可編程終端設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。

盡管已描述了本發(fā)明實(shí)施例的優(yōu)選實(shí)施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對(duì)這些實(shí)施例做出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本發(fā)明實(shí)施例范圍的所有變更和修改。

最后，還需要說(shuō)明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開(kāi)來(lái)，而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且，術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過(guò)程、方法、物品或者終端設(shè)備不僅包括那些要素，而且還包括沒(méi)有明確列出的其他要素，或者是還包括為這種過(guò)程、方法、物品或者終端設(shè)備所固有的要素。在沒(méi)有更多限制的情況下，由語(yǔ)句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過(guò)程、方法、物品或者終端設(shè)備中還存在另外的相同要素。

以上對(duì)本發(fā)明所提供的一種端口探測(cè)方法和一種端口探測(cè)裝置，進(jìn)行了詳細(xì)介紹，本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述，以上實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明的方法及其核心思想；同時(shí)，對(duì)于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明的思想，在具體實(shí)施方式及應(yīng)用范圍上均會(huì)有改變之處，綜上所述，本說(shuō)明書(shū)內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。