[发明专利]一种基于TCP/IP协议的交换机端口安全防护方法和装置

权利要求书

1.一种基于TCP/IP协议的交换机端口安全防护方法，其特征在于，所述方法包括：

控制目标端口周期性发送探测请求报文，所述探测请求报文携带SYN标记；

周期性检测是否收到接入设备的回复报文，所述回复报文携带SYN_ACK标记；

如果接收到回复报文，解析回复报文以确定发送该回复报文的接入设备是否符合预设的要求；

当接入设备符合预设的要求时，将所述回复报文中的接入设备信息添加至目标端口的白名单；

当接入设备不符合预设的要求时，阻塞目标端口；

如果目标端口连续发送预设次数的探测请求报文后，仍然没有收到接入设备的回复报文，阻塞目标端口。

2.根据权利要求1所述的方法，其特征在于，所述控制目标端口周期性发送探测请求报文，包括：

确定封装信息，基于TCP/IP协议封装探测请求报文，控制目标端口周期性发送探测请求报文。

3.根据权利要求2所述的方法，其特征在于，所述确定封装信息，基于TCP/IP协议封装探测请求报文，包括：

确定接入设备的IP地址池，将地址池的中每个IP地址封装成一个对应的探测请求报文；

确定接入设备的TCP端口号池，在探测请求报文封装了IP地址的基础上，将TCP端口号池中每个端口号封装成一个对应的探测请求报文。

4.根据权利要求1所述的方法，其特征在于，将所述回复报文中的接入设备信息添加至目标端口的白名单后，还包括：

停止对回复报文的周期性检测。

5.根据权利要求1所述的方法，其特征在于，所述控制目标端口周期性发送探测请求报文，包括：

当目标端口链路发生变化时，控制目标端口周期性发送探测请求报文。

6.一种基于TCP/IP协议的交换机端口安全防护装置，其特征在于，所述装置包括：

请求模块：用于控制目标端口周期性发送探测请求报文，所述探测请求报文携带SYN标记；

检测模块：用于周期性检测是否收到接入设备的回复报文，所述回复报文携带SYN_ACK标记；

第一处理模块：用于当接收到回复报文时，解析回复报文以确定发送该回复报文的接入设备是否符合预设的要求；

当接入设备符合预设的要求时，将所述回复报文中的接入设备信息添加至目标端口的白名单；

当接入设备不符合预设的要求时，阻塞目标端口；

第二处理模块：用于当目标端口连续发送预设次数的探测请求报文后，仍然没有收到接入设备的回复报文时，阻塞目标端口。

7.根据权利要求6所述的装置，其特征在于，所述请求模块，具体用于：

确定封装信息，基于TCP/IP协议封装探测请求报文，控制目标端口周期性发送探测请求报文。

8.根据权利要求7所述的装置，其特征在于，所述请求模块，具体用于：

确定接入设备的IP地址池，将地址池的中每个IP地址封装成一个对应的探测请求报文；

确定接入设备的TCP端口号池，在探测请求报文封装了IP地址的基础上，将TCP端口号池中每个端口号封装成一个对应的探测请求报文。

9.根据权利要求6所述的装置，其特征在于，所述检测模块，具体还用于：

接收到第一处理模块将所述回复报文中的接入设备信息添加至目标端口的白名单的信息后，停止对回复报文的周期性检测。

10.根据权利要求6所述的装置，其特征在于，所述检测模块，具体用于：

当目标端口链路发生变化时，控制目标端口周期性发送探测请求报文。