[发明专利]内网穿透安全管控方法、管控系统及内网穿透系统

说明书

内网穿透安全管控方法、管控系统及内网穿透系统，该管控方法包括以下步骤：S1：识别待连接内部节点的对外服务端口号，确定与待连接内网穿透客户端绑定的外部端口；S2：登录内网穿透服务器；S3：打开外部端口；S4：通过外部端口与内网穿透客户端建立通讯；S5：成功建立通讯的预设时间后，关闭外部端口并保持当前通讯连接；该管控系统包括口号识别模块、登录访问模块、动作模块和通讯模块；该内网穿透系统包括，内部网络、外部网络和安全策略实现系统，本发明通过设置防火墙有针对性的打开外部端口，关闭其他端口，避免长时间暴露在外网而导致的易被嗅探和暴力破解登录的缺点。

技术领域

本发明涉及通信安全技术领域，更具体的说是涉及一种内网穿透安全管控方法、管控系统及内网穿透系统。

背景技术

目前，在大型数据中心或公司生产环境中，经常会遇到内部网络与外部网络隔离的情况。为了解决这些情况下的远程运维问题，常常采用内网穿透(NAT)技术，即在内部网络安装内网穿透客户端(Client)，在公共网络安装内网穿透服务器(Server)的Client/Server构架，用户或者工程师通过访问Server相关的开放端口，通过端口映射关系，建立与Client的通讯，从而进行所需的操作。然而，由于内网穿透服务器端长时间暴露在公共网络环境下，使其更容易被嗅探。其次，受其服务功能的约束，连接越多内网穿透客户端或者绑定越多的服务，则需要在服务器端开放更多端口，更容易受到洪水攻击、暴力登录等黑客攻击手段。一旦服务端被暴力破解后登录，则会引起内网穿透全内网穿透客户端系统性安全问题，造成数据丢失、信息泄露、机器破坏等恶性事件，严重危害用户信息安全。

因此，如何提供一种内网穿透的安全策略实现方法及系统，来解决现有技术中的安全隐患，是本领域亟需解决的问题。

发明内容

有鉴于此，本发明提供了一种内网穿透的安全策略实现方法及系统，能够增加内网穿透技术的安全性，保护远程运维过程中用户的硬件、软件、数据不因恶意攻击而遭到破坏、更改和泄露。

为了实现上述目的，本发明采用如下技术方案：

一种内网穿透安全管控方法，其特征在于，包括以下步骤：

S1：识别待连接内部节点的对外服务端口号，确定与待连接内网穿透客户端绑定的外部端口；

S2：登录内网穿透服务器；

S3：打开外部端口；

S4：通过外部端口与内网穿透客户端建立通讯；

S5：成功建立通讯的预设时间后，关闭外部端口并保持当前通讯连接。

进一步的，所述S2包括，通过密钥登录访问内网穿透服务器并关闭密码访问并禁用root登录。

进一步的，所述S2还包括保留采用SSH服务的外部端口，并关闭其他外部端口。

进一步的，所述S4还包括，对内网穿透服务器与内网穿透客户端建立的通讯进行校验，根据校验结果觉得是否继续通讯。

进一步的，所述校验包括，在内网穿透服务器端设置密码或者配置公钥，在内网穿透客户端配置与内网穿透服务器端一致的密码或者与内网穿透服务器端吻合的私钥，识别密码或者私钥的一致性得到校验结果，其中所述密码或密钥均为配置属性，在穿透访问过程中无需输入验证，自动验证内网穿透服务器和内网穿透客户端配置属性中密码或密钥的一致性。

进一步的，S4中，所述通讯支持但不限于TCP、UDP或WebSocket通讯协议。

一种内网穿透安全管控系统，其特征在于，包括口号识别模块、登录访问模块、动作模块和通讯模块；

所述口号识别模块用于识别待连接内部节点的对外服务端口号，确定与其绑定的外部端口；

所述登录访问模块用于登录内网穿透服务器；