CN112532639A - 一种地址开放端口核查方法及装置 - Google Patents

Abstract

本发明公开一种地址开放端口核查方法及装置，其中，该方法包括：结合现网配置和实际应用场景，获取所有城域网设备上的ACL配置信息；获取所有城域网设备上已使用的IP地址段信息；遍历所有城域网设备上的ACL配置信息，比对所有城域网设备上已使用的IP地址段信息，判断已放通80、8080和443端口的地址清单，并记录所有城域网设备已放通端口的地址段。该方法及装置结合现网配置，可以批量自动化查找所有设备上80、8080和443端口已放通的地址段，并实现已查询的结果一键导出，方便备案管理，从而大大提高了已放通端口地址段管理的便捷性、实时性和可靠性。

Description

一种地址开放端口核查方法及装置

技术领域

本发明涉及已放通端口地址段管理领域，尤其是一种地址开放端口核查方法及装置。

背景技术

访问控制列表ACL(Access Control List)是路由器和交换机接口的指令列表，用来控制端口进出的数据包。在互联网规模日益庞大的今天，IP运营商需要管理大量的设备，每个设备上也存在大量已经配置的地址段，快速准确地查找已放通端口地址清单，对于运营商网络地维护有重大地指导意义。

以往，已放通端口地址段采用人工操作方式，需要手动核对，费时费力，并且可能会因为失误造成判断错误。随着运行商日益增加的设备，面对人工操作方式的低效，实现已放通端口地址段自动化核查就成了迫切的需求。

发明内容

为解决手工检查IP地址效率低，易误操作且操作繁复，状态查询麻烦等问题，本发明提供一种地址开放端口核查方法及装置，结合现网配置，可以批量自动化查找所有设备上80、8080和443端口已放通的地址段，并实现已查询的结果一键导出，方便备案管理，从而大大提高了已放通端口地址段管理的便捷性、实时性和可靠性。

为实现上述目的，本发明采用下述技术方案：

在本发明一实施例中，提出了一种地址开放端口核查方法，该方法包括：

结合现网配置和实际应用场景，获取所有城域网设备上的ACL配置信息；

获取所有城域网设备上已使用的IP地址段信息；

遍历所有城域网设备上的ACL配置信息，比对所有城域网设备上已使用的IP地址段信息，判断已放通80、8080和443端口的地址清单，并记录所有城域网设备已放通端口的地址段。

进一步地，该方法还包括：

用户在GUI界面上，通过任意查询条件或者多个查询条件组合，实时查询已放通的IP地址段信息，并将查询结果一键导出；同时对放通的IP地址段信息进行备注。

进一步地，所有城域网设备上已使用的IP地址段信息，包括：设备IP、设备名称和已使用的IP地址段，其中已使用的IP地址段包括：端口互联地址、静态路由地址和静态绑定用户地址。

进一步地，查询条件包括：设备IP、设备名称、IP地址和放开端口。

进一步地，查询结果包括：设备IP、设备名称、IP地址段、开放端口、更新日期和备注。

在本发明一实施例中，还提出了一种地址开放端口核查装置，该装置包括：

ACL信息获取模块，用于结合现网配置和实际应用场景，获取所有城域网设备上的ACL配置信息；

已使用地址段信息获取模块，用于获取所有城域网设备上已使用的IP地址段信息；

已放通端口地址段查找模块，遍历所有城域网设备上的ACL配置信息，比对所有城域网设备上已使用的IP地址段信息，判断已放通80、8080和443端口的地址清单，并记录所有城域网设备已放通端口的地址段；

进一步地，该方法还包括：

已放通地址查询导出模块，用户在GUI界面上，通过任意查询条件或者多个查询条件组合，实时查询已放通的IP地址段信息，并将查询结果一键导出；同时对放通的IP地址段信息进行备注。

进一步地，所有城域网设备上已使用的IP地址段信息，包括：设备IP、设备名称和已使用的IP地址段，其中已使用的IP地址段包括：端口互联地址、静态路由地址和静态绑定用户地址。

进一步地，查询条件包括：设备IP、设备名称、IP地址和放开端口。

进一步地，查询结果包括：设备IP、设备名称、IP地址段、开放端口、更新日期和备注。

在本发明一实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述地址开放端口核查方法。

在本发明一实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行地址开放端口核查方法的计算机程序。

有益效果：

1、操作的实时性和高效率：可以查询所有城域网设备上已使用的IP地址段信息；可以通过组合查询条件，实时查询80、8080、443端口已放通的IP地址段清单。

2、数据的备份：可以实时导出查询的已放通的IP地址段信息。

3、操作的灵活性：可以对已查询的IP地址段进行备注。

附图说明

图1是本发明一实施例的地址开放端口核查方法流程示意图；

图2是本发明一实施例的地址开放端口核查界面示意图；

图3是本发明一实施例的地址开放端口核查装置结构示意图；

图4是本发明一实施例的计算机设备结构示意图。

具体实施方式

下面将参考若干示例性实施方式来描述本发明的原理和精神，应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。

本领域技术人员知道，本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。

根据本发明的实施方式，提出了一种地址开放端口核查方法及装置，实现了在城域网设备中，对已使用的IP地址段，查找已放通80、8080和443端口的地址清单，并提供了一整套完善的查询和导出操作的解决方案，旨在减轻人工工作量，提高查找已放通80、8080和443端口地址清单的检查效率。该方法及装置包括如下功能：

已使用IP地址段信息查询：可以采集所有城域网设备上已经使用的IP地址段信息，包括端口互联地址、静态路由地址和静态绑定用户地址等。

已放通IP地址段信息查询：可以根据设备IP、设备名称、IP地址段和开放端口等条件，查找指定端口下已放通的IP地址段。

信息导出：可以将查询的结果实时导出。

下面参考本发明的若干代表性实施方式，详细阐释本发明的原理和精神。

图1是本发明一实施例的地址开放端口核查方法流程示意图。如图1所示，该方法包括：

结合现网配置和实际应用场景，获取所有城域网设备上的ACL配置信息；

获取所有城域网设备上的已使用IP地址段信息，包括端口互联地址、静态路由地址和静态绑定用户地址等；

遍历所有城域网设备上的ACL配置信息(华为设备选取ACL号为3080、8080和8443，中兴设备选取ACL号为www的ACL配置信息)，比对所有城域网设备上的已使用IP地址段信息，判断已放通80、8080和443端口的地址清单；

遍历所有城域网设备上的ACL配置信息，判断是否满足判断条件1，若不满足判断条件1，则判断是否满足判断条件2，若满足判断条件1，则判断是否满足判断条件3；

若满足判断条件2，则该设备全部已使用IP地址已放通$port_flag端口，否则该设备全部已使用IP地址已放通$port_flag端口；

若不满足判断条件3，则该设备全部已使用IP地址已放通$port_flag端口，否则拆分已使用IP地址段中包含于规则地址段的部分，其中包含于规则地址段的部分为已放通$port_flag端口，不包含于规则地址段的部分为未放通$port_flag端口；

判断条件1：判断ACL配置信息中，是否有如下内容：

若是华为设备，则是否有deny tcp destination-port eq$port_flag；

若是中兴设备，则是否有deny tcp any any eq$port_flag；

如果有，则获取当前的rule序号；

判断条件2：查找ACL配置信息中序号最大的rule内容，是否是如下内容：

若是华为设备，则是否为“permit”或“permit ip”；

若是中兴设备，则是否为“permit any”或“permit ip”；

判断条件3：查找ACL配置信息中该rule序号之前(小于该rule序号)的其他rule，是否包含如下内容：

若是华为设备，则是否包含“permit ip destination地址段”或“permit ipdestination地址段destination-port eq$port_flag”；

若是中兴设备，则是否包含“permit ip*地址段”或“permit tcp*地址段eq$port_flag”；

记录所有城域网设备已放通端口的IP地址段；

用户在GUI界面上，可以选择设备IP查询、设备名称查询和开放端口等任意查询条件或多个查询条件组合，实时查询已放通的IP地址段信息。

用户在GUI界面上，可以导出已经查询的结果。

用户在GUI界面上，可以对放通的IP地址段信息进行备注。

需要说明的是，尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

为了对上述地址开放端口核查方法进行更为清楚的解释，下面结合一个具体的实施例来进行说明，然而值得注意的是该实施例仅是为了更好地说明本发明，并不构成对本发明不当的限定。

地址开放端口核查的具体方案流程如下：

一、操作执行流程

查找流程如下：

1、获取所有城域网设备上ACL配置信息，其中华为设备选取ACL号为3080、8080和8443的ACL配置信息，中兴设备选取ACL号是为www的ACL配置信息。

华为ACL信息举例：

acl number 8080

description For NTP-server

rule 5 permit source 61.150.90.11 0

rule 10 permit source 61.150.90.12 0

rule 100 deny

#

中兴ACL信息举例：

ipv4-access-list denywww

rule 1 permit ip any 61.134.62.8 0.0.0.7

rule 2 permit ip any 61.134.62.25 0.0.0.0

rule 3 permit ip any 61.134.62.26 0.0.0.0

rule 4 permit ip any 61.134.62.35 0.0.0.0

rule 5 permit ip 61.185.147.205 0.0.0.061.134.62.38 0.0.0.0

rule 197 deny tcp any any eq 443

rule 198 deny tcp any any eq www

rule 199 deny tcp any any eq 8080

rule 1000 permit any

2、获取所有城域网设备上的已使用IP地址段信息，包括设备IP、设备名称和已使用的IP地址段等信息，其中已使用的IP地址段包含端口互联地址、静态路由地址和静态绑定用户地址等。

3、设置变量port_flag为端口标识，若是华为设备则取值80、8080和443，若是中兴设备则取值www，按照设备遍历其下所有的ACL配置信息。

判断ACL配置信息中，是否有如下内容：

若是华为设备，则是否存在deny tcp destination-port eq$port_flag。

若是中兴设备，则是否存在deny tcp any any eq$port_flag。

(1)如果不包含，则查找ACL配置信息中序号最大的rule内容，是否是如下内容：

若是华为设备，则是否为“permit”或“permit ip”。

若是中兴设备，则是否为“permit any”或“permit ip”。

如果是，该设备全部已使用地址已放通$port_flag端口。

如果不是，该设备全部已使用地址未放通$port_flag端口。

(2)如果包含，则查找ACL配置信息中该rule序号之前(小于该rule序号)的其他rule，是否包含如下内容：

若是华为设备，则是否有包含“permit ip destination地址段”或“permit ipdestination地址段destination-port eq$port_flag。

若是中兴设备，则是否包含“permit ip*地址段”或“permit tcp*地址段eq$port_flag”。

(a)如果不包含，该设备全部已使用地址未放通$port_flag端口。

(b)如果包含，则获取该rule内地址段，设置为规则地址段。循环遍历规则地址和已使用的IP地址段，设置规则地址段的起始IP为变量rule_startip，规则地址段的结束IP为变量rule_endip，已使用地址段的起始IP为变量used_startip，已使用地址段的结束IP为变量used_endip。

若

$rule_startip<＝$used_startip&&$rule_endip>＝$used_endip，则全部已使用地址段已放通$port_flag端口，取$used_startip-$used_endip。

若

$rule_startip<＝$used_startip&&$used_startip<$rule_endip&&$rule_endip<$used_endip，则取$used_startip-$rule_endip部分，该部分地址段已放通$port_flag端口。

若

$rule_startip>$used_startip&&$rule_startip<$used_endip&&$rule_endip>＝$used_endip，取$rule_startip-$used_endip部分，该部分地址段已放通$port_flag端口。

若

$rule_startip>＝$used_startip&&$rule_endip<＝$used_endip，取$rule_startip-$rule_endip部分，该部分地址段已放通$port_flag端口。

按照以上规则，取已使用IP地址段中包含于规则地址段的部分。

4、记录本次查询的结果。

二、放通地址查询

可以选择设备IP、设备名称和放开端口等任意查询条件查询已放通的IP地址段，查询的结果包括设备IP、设备名称、IP地址段、开放端口(80、8080)、更新日期和备注等，具体如图2所示。

也可以用多个查询条件组合查询，比如可以开放端口80和指定设备IP，就可以查询出该设备下的80端口已放通的IP地址段清单。

查询的结果还可以一键导出，导出的文件以excel表格的形式存储在本地。

目前该技术方案已在福建联通互联网专线自动开通的现场部署，有效提高了实施人员检查已开放端口的工作效率，减少了手动核查数据的错误率。

基于同一发明构思，本发明还提出一种地址开放端口核查装置。该装置的实施可以参见上述方法的实施，重复之处不再赘述。以下所使用的术语“模块”，可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图3是本发明一实施例的地址开放端口核查装置结构示意图。如图3所示，该装置包括：

ACL信息获取模块101，用于结合现网配置和实际应用场景，获取所有城域网设备上的ACL配置信息；

已使用地址段信息获取模块102，用于获取所有城域网设备上已使用的IP地址段信息，包括：设备IP、设备名称和已使用的IP地址段，其中已使用的IP地址段包括：端口互联地址、静态路由地址和静态绑定用户地址；

已放通端口地址段查找模块103，遍历所有城域网设备上的ACL配置信息(华为设备选取ACL号为3080、8080和8443，中兴设备选取ACL号为www的ACL配置信息)，比对所有城域网设备上已使用的IP地址段信息，判断已放通80、8080和443端口的地址清单，并记录所有城域网设备已放通端口的地址段；

遍历所有城域网设备上的ACL配置信息，判断是否满足判断条件1，若不满足判断条件1，则判断是否满足判断条件2，若满足判断条件1，则判断是否满足判断条件3；

若满足判断条件2，则该设备全部已使用IP地址已放通$port_flag端口，否则该设备全部已使用IP地址已放通$port_flag端口；

若不满足判断条件3，则该设备全部已使用IP地址已放通$port_flag端口，否则拆分已使用IP地址段中包含于规则地址段的部分，其中包含于规则地址段的部分为已放通$port_flag端口，不包含于规则地址段的部分为未放通$port_flag端口；

判断条件1：判断ACL配置信息中，是否有如下内容：

若是华为设备，则是否有deny tcp destination-port eq$port_flag；

若是中兴设备，则是否有deny tcp any any eq$port_flag；

如果有，则获取当前的rule序号；

判断条件2：查找ACL配置信息中序号最大的rule内容，是否是如下内容：

若是华为设备，则是否为“permit”或“permit ip”；

若是中兴设备，则是否为“permit any”或“permit ip”；

判断条件3：查找ACL配置信息中该rule序号之前(小于该rule序号)的其他rule，是否包含如下内容：

若是华为设备，则是否包含“permit ip destination地址段”或“permit ipdestination地址段destination-port eq$port_flag”；

若是中兴设备，则是否包含“permit ip*地址段”或“permit tcp*地址段eq$port_flag”。

如图3所示，该装置还包括：

已放通地址查询导出模块104，用户在GUI界面上，通过任意查询条件或者多个查询条件组合，包括：设备IP、设备名称、IP地址和放开端口，实时查询已放通的IP地址段信息，并将查询结果，包括：设备IP、设备名称、IP地址段、开放端口、更新日期和备注，一键导出；同时对放通的IP地址段信息进行备注。

应当注意，尽管在上文详细描述中提及了地址开放端口核查装置的若干模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。

基于前述发明构思，如图4所示，本发明还提出一种计算机设备200，包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230，处理器220执行计算机程序230时实现前述地址开放端口核查方法。

基于前述发明构思，本发明还提出一种计算机可读存储介质，计算机可读存储介质存储有执行前述地址开放端口核查方法的计算机程序。

本发明提出的地址开放端口核查方法及装置，实现了IP地址核查的全方位管理，解决了手工检查IP地址效率低，易误操作且操作繁复，状态查询麻烦等问题。最终达成的目标包括：

1、操作的实时性和高效率：可以查询所有城域网设备上已使用的IP地址段信息；可以通过组合查询条件，实时查询80、8080和443端口已放通的IP地址段清单。

2、数据的备份：可以实时导出查询的已放通的IP地址段信息。

3、操作的灵活性：可以对已查询的IP地址段进行备注。

虽然已经参考若干具体实施方式描述了本发明的精神和原理，但是应该理解，本发明并不限于所公开的具体实施方式，对各方面的划分也不意味着这些方面中的特征不能组合以进行受益，这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。

对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (12)

1.一种地址开放端口核查方法，其特征在于，该方法包括：

结合现网配置和实际应用场景，获取所有城域网设备上的ACL配置信息；

获取所有城域网设备上已使用的IP地址段信息；

遍历所有城域网设备上的ACL配置信息，比对所有城域网设备上已使用的IP地址段信息，判断已放通80、8080和443端口的地址清单，并记录所有城域网设备已放通端口的地址段。

2.根据权利要求1所述的地址开放端口核查方法，其特征在于，该方法还包括：

用户在GUI界面上，通过任意查询条件或者多个查询条件组合，实时查询已放通的IP地址段信息，并将查询结果一键导出；同时对放通的IP地址段信息进行备注。

3.根据权利要求1所述的地址开放端口核查方法，其特征在于，所述所有城域网设备上已使用的IP地址段信息，包括：设备IP、设备名称和已使用的IP地址段，其中已使用的IP地址段包括：端口互联地址、静态路由地址和静态绑定用户地址。

4.根据权利要求2所述的地址开放端口核查方法，其特征在于，所述查询条件包括：设备IP、设备名称、IP地址和放开端口。

5.根据权利要求2所述的地址开放端口核查方法，其特征在于，所述查询结果包括：设备IP、设备名称、IP地址段、开放端口、更新日期和备注。

6.一种地址开放端口核查装置，其特征在于，该装置包括：

ACL信息获取模块，用于结合现网配置和实际应用场景，获取所有城域网设备上的ACL配置信息；

已使用地址段信息获取模块，用于获取所有城域网设备上已使用的IP地址段信息；

已放通端口地址段查找模块，遍历所有城域网设备上的ACL配置信息，比对所有城域网设备上已使用的IP地址段信息，判断已放通80、8080和443端口的地址清单，并记录所有城域网设备已放通端口的地址段。

7.根据权利要求6所述的地址开放端口核查装置，其特征在于，该方法还包括：

已放通地址查询导出模块，用户在GUI界面上，通过任意查询条件或者多个查询条件组合，实时查询已放通的IP地址段信息，并将查询结果一键导出；同时对放通的IP地址段信息进行备注。

8.根据权利要求6所述的地址开放端口核查装置，其特征在于，所述所有城域网设备上已使用的IP地址段信息，包括：设备IP、设备名称和已使用的IP地址段，其中已使用的IP地址段包括：端口互联地址、静态路由地址和静态绑定用户地址。

9.根据权利要求7所述的地址开放端口核查装置，其特征在于，所述查询条件包括：设备IP、设备名称、IP地址和放开端口。

10.根据权利要求7所述的地址开放端口核查装置，其特征在于，所述查询结果包括：设备IP、设备名称、IP地址段、开放端口、更新日期和备注。

11.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1-5任一项所述方法。

12.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有执行权利要求1-5任一项所述方法的计算机程序。

Images