CN117792763A - 一种网络漏洞扫描方法、装置及电子设备 - Google Patents
一种网络漏洞扫描方法、装置及电子设备 Download PDFInfo
- Publication number
- CN117792763A CN117792763A CN202311845970.7A CN202311845970A CN117792763A CN 117792763 A CN117792763 A CN 117792763A CN 202311845970 A CN202311845970 A CN 202311845970A CN 117792763 A CN117792763 A CN 117792763A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- scanning
- vulnerability scanning
- target
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 239000000284 extract Substances 0.000 claims abstract description 6
- 238000001514 detection method Methods 0.000 claims description 31
- 238000004590 computer program Methods 0.000 claims description 17
- 238000013507 mapping Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 34
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000011161 development Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000010076 replication Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- GXCLVBGFBYZDAG-UHFFFAOYSA-N N-[2-(1H-indol-3-yl)ethyl]-N-methylprop-2-en-1-amine Chemical compound CN(CCC1=CNC2=C1C=CC=C2)CC=C GXCLVBGFBYZDAG-UHFFFAOYSA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络安全技术领域,尤其涉及一种网络漏洞扫描方法、装置及电子设备。该方法应用于漏洞扫描系统。该系统包括至少一个位于用户内网的本地终端、在云端采用在虚拟机上容器化部署的云服务端以及在云端使用虚拟化的方式部署包括至少一个漏洞扫描引擎的漏洞扫描引擎能力池。云服务端接收扫描任务信息并从扫描任务信息中提取目标IP地址。若认证信息匹配正确,云服务端从预设的UDP服务端口集合中确定任一高位UDP服务端口作为目标UDP服务端口,并基于目标UDP服务端口与本地终端建立连接构建漏洞扫描网络隧道。将第一漏洞扫描引擎连接至漏洞扫描网络隧道中进行漏洞检测。上述方案可以降低网络漏洞扫描的成本,提升安全性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络漏洞扫描方法、装置及电子设备。
背景技术
随着计算机通信和信息技术的高速发展,云计算逐渐成为各类行业和业务的主流部署方式,有关于网络安全的部署开始逐渐采用云化部署。但现有技术中有关于漏洞扫描产品的云化模式存在高成本以及低安全性等问题。
发明内容
本申请实施例提供一种网络漏洞扫描方法、装置及电子设备,用于降低网络漏洞扫描成本、提高网络漏洞扫描安全性。
第一方面,本申请实施例提供一种网络漏洞扫描方法,应用于扫描系统,扫描系统包括至少一个位于用户内网的本地终端、在云端采用在虚拟机上容器化部署的云服务端以及在云端使用虚拟化的方式部署包括至少一个漏洞扫描引擎的漏洞扫描引擎能力池,方法包括:
云服务端接收来自本地终端的扫描任务信息,并从扫描任务信息中提取待进行漏洞扫描的目标对象的目标IP地址,扫描任务信息包括认证信息,认证信息为云服务端在每次扫描任务结束后基于预设规则动态生成的用户名、密码以及共享密钥;
在认证信息匹配正确的情况下,云服务端从预设的UDP服务端口集合中确定任一高位UDP服务端口作为目标UDP服务端口,并基于目标UDP服务端口与本地终端建立连接构建漏洞扫描网络隧道,UDP服务端口集合包括多个预设的高位UDP服务端口;
将第一漏洞扫描引擎连接至漏洞扫描网络隧道中进行漏洞检测,以使第一漏洞扫描引擎基于目标IP地址扫描目标对象,并生成与目标对象对应的漏洞检测结果,第一漏洞扫描引擎是从漏洞扫描引擎资源池中获取的。
这样,通过云原生的思想,集约最小化利用云端资源建立客户到云服务端的漏洞扫描网络隧道,继而在云端的漏洞扫描网络隧道上实现远程、安全的网络漏洞扫描,有效地保证了数据的安全性。相较于现有技术中基于1701 4500500标准端口提供隧道服务L2TP和IPSec端口的方式,本申请基于预设的高位UDP服务端口与本地终端进行连接构建漏洞扫描网络隧道,可以减少云端的公网暴露面的风险,提升安全性。云服务端在每次扫描任务结束后动态生成认证信息的方式,可以降低漏洞扫描网络隧道被窃取的风险。同时,基于在虚拟机上容器化部署的云服务端,相较于现有技术中采用部署云端虚拟机提供隧道服务的方式,可以大大减少客户端连接兼容性的成本。
可选的,上述扫描任务信息还包括虚拟IP地址,从扫描任务提取待进行漏洞扫描的目标对象的目标IP地址时,具体包括:
基于预设的路由映射规则,将虚拟IP地址映射为对应的目标IP地址,路由映射规则包括虚拟IP地址与目标IP地址的对应关系。
可选的,上述漏洞扫描网络隧道采用互联网协议安全IPSec加密协议进行加密。
可选的,在接收来自本地终端的扫描任务信息前,方法还包括:
接收来自本地终端查询请求,查询请求用于查询认证信息
向本地终端发送认证信息。
上述方法中,通过在每次扫描任务前,本地终端向云服务端发送查询请求,确定认证信息的方式,可以使得本地终端实时确定每次扫描任务的认证信息。
可选的,上述云服务端在每次扫描任务结束后基于预设规则动态生成的用户名、密码以及共享密钥,具体包括:
在每次扫描任务结束后基于哈希加密算法生成用户名、密码以及共享密钥。
上述方法中,通过云服务端动态生成用户名、密码以及共享密钥的方式,可以降低通道被窃取的风险。
可选的,上述方法还包括:
将漏洞检测结果返回与目标IP地址对应的本地终端,通过本地终端对漏洞检测结果进行展示。
上述方法中,通过本地终端对漏洞检测结果展示的方式,可以使得用户及时确定漏洞检测结果,提升用户使用体验。
第二方面,本申请实施例还提供了一种网络漏洞扫描装置,应用于扫描系统,扫描系统包括至少一个位于用户内网的本地终端、在云端采用在虚拟机上容器化部署的云服务端以及在云端使用虚拟化的方式部署的至少一个漏洞扫描引擎,该装置包括:
收发模块,用于接收来自本地终端的扫描任务信息,并从扫描任务信息中提取待进行漏洞扫描的目标对象的目标IP地址,扫描任务信息包括认证信息,认证信息为云服务端在每次扫描任务结束后基于预设规则动态生成的用户名、密码以及共享密钥;
处理模块,用于在认证信息匹配正确的情况下,云服务端从预设的UDP服务端口集合中确定目标UDP服务端口;
连接模块,用于基于目标UDP服务端口与本地终端进行连接构建漏洞扫描网络隧道,UDP服务端口集合包括多个预设的高位UDP服务端口;
连接模块,还用于将第一漏洞扫描引擎连接至漏洞扫描网络隧道中进行漏洞检测,以使第一漏洞扫描引擎基于目标IP地址扫描目标对象,并生成与目标对象对应的漏洞检测结果,将漏洞检测结果返回与目标IP地址对应的本地终端,通过本地终端对漏洞检测结果进行展示,第一漏洞扫描引擎是从漏洞扫描引擎资源池中获取的。
第三方面,本申请实施例还提供了一种电子设备,电子设备至少包括处理器和存储器,处理器用于执行存储器中存储的计算机程序时实现如上述任一项网络漏洞扫描方法的步骤。
第四方面,本申请实施例还提供了一种计算机可读存储介质,其存储有计算机程序,计算机程序被处理器执行时实现如上述任一项网络漏洞扫描方法的步骤。
第五方面,本申请实施例还提供了一种计算机程序产品,包括计算机程序,计算机程序被处理器执行以实现如上述第一方面中任一种网络漏洞扫描方法的步骤。
第二方面至第五方面中任意一种实现方式所带来的技术效果可参见第一方面中对应的实现方式所带来的技术效果,此处不再赘述。
附图说明
图1为本申请实施例提供的一种可选的网络漏洞扫描系统的连接示意图;
图2为本申请实施例提供的一种网络漏洞扫描的流程图;
图3为本申请实施例提供的一种用于实现查询认证信息的代码的示意图;
图4为本申请实施例提供的一种建立扫描任务的示意图;
图5为本申请实施例提供的一种调用隧道服务的路由建立API的示意图;
图6为本申请实施例提供的一种漏洞检测结果示意图;
图7本申请实施例提供的另一种漏洞检测结果示意图;
图8为本申请实施例提供的另一种代码实现的示意图;
图9为本申请实施例提供的一种用于配置服务端口完成容器化开发的代码的示意图;
图10为本申请实施例提供的一种用于实现修改libreswan服务端的代码的示意图;
图11为本申请实施例提供的一种用于实现修改L2TP服务端的代码的示意图;
图12为本申请实施例提供的一种连接北向接口的示意图;
图13为本申请实施例提供的另一种网络漏洞扫描系统的示意图;
图14为本申请实施例提供的一种网络漏洞扫描装置示意图;
图15为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
以下,对本申请实施例中的部分用语进行解释说明,以便于本领域技术人员理解。
1、“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
2、Kubernetes是一个开源的容器编排引擎,其支持自动化部署、大规模可伸缩、应用容器化管理。Kubernetes集群中有Master服务器和Node服务器,其中,Node服务器是复制容器运行的主机服务器,而Master服务器则是复制管控Node服务器。Node服务器会每时每刻去主动访问Master,一旦Node和Master失联时间过长,集群就可能存在各种异常问题,因此,Master的高可用性与扩展性就显得尤为重要。通常情况下,Kubernetes集群会部署多个Master服务器,并对这些多个Master服务器进行负载均衡。
3、互联网安全协议(Internet Protocol Security,IPsec)隧道是采用鉴别首部机制来封装整个互联网协议(Internet Protocol,IP)数据报,从而构造出一个新的IP数据报;又或者采用封装安全载荷协议(Encapsulating Security Payload Protocol,ESP)机制来封装整个IP数据报,并构造出一个新的IP数据报进行传输。用于提供加密和认证服务,以确保数据在公共网络上的安全性。它可以和隧道协议(Layer 2Tunneling Protocol,L2TP)结合使用,为数据传输提供高度的安全保证。
4、L2TP/(因特网协议安全协议虚拟专用网络Internet Protocol SecurityVirtual Private Network,IPSEC VPN):传输报文通过IPSec协议加密,并通过L2TP点对点隧道传输发送的解决方案。
5、北向接口是一种网络接口,通常用于网络设备或系统之间的通信和管理。在网络架构中,北向接口通常位于网络设备的控制层面,负责将网络设备或系统的管理信息向上传输到上层管理系统,以便进行集中管理和监控。
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
本申请实施例描述的应用场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
随着计算机通信和信息技术的高速发展,云计算逐渐成为各类行业和业务的主流部署方式,有关于网络安全的部署开始逐渐采用云化部署。但现有技术中云端的隧道服务为虚拟机部署,虚拟机的方案对大大增加了云端的成本,使得云端漏洞扫描和成本大大增加。
同时,虚拟机部署的方式还需要和云端的基础设施即服务(Infrastructure as aService,IAAS)提供商进行“捆绑式”适配。且,用户本地需要部署一个与云端隧道服务提供商兼容的硬件设备。这样的方案使得用户接入的服务的成本大大增加。并且,由于隧道服务L2TP和IPSec端口采用1701 4500 500标准端口,这大大增加了云端的公网暴露面的风险。
如何降低网络漏洞扫描成本、提高网络漏洞扫描安全性成为一种值得商榷的问题。
为了解决上述问题,本申请实施例提供一种网络漏洞扫描方法。应用于扫描系统,扫描系统包括至少一个位于用户内网的本地终端、在云端采用在虚拟机上容器化部署的云服务端以及在云端使用虚拟化的方式部署包括至少一个漏洞扫描引擎的漏洞扫描引擎能力池,该方法包括:
云服务端接收来自本地终端的扫描任务信息,并从扫描任务信息中提取待进行漏洞扫描的目标对象的目标IP地址。其中,扫描任务信息包括认证信息。认证信息为云服务端在每次扫描任务结束后基于预设规则动态生成的用户名、密码以及共享密钥。在认证信息匹配正确的情况下,云服务端从预设的用户数据报协议(User Datagram Protocol,UDP)服务端口集合中确定任一高位UDP服务端口作为目标UDP服务端口,并基于目标UDP服务端口与本地终端进行连接构建漏洞扫描网络隧道。UDP服务端口集合包括多个预设的高位UDP服务端口。将第一漏洞扫描引擎连接至漏洞扫描网络隧道中进行漏洞检测,以使第一漏洞扫描引擎基于目标IP地址扫描目标对象,并生成与目标对象对应的漏洞检测结果。其中,第一漏洞扫描引擎是从漏洞扫描引擎资源池中获取的。
这样,基于漏洞扫描网络隧道能够实现远程、安全的网络漏洞扫描,有效地保证了数据的安全性。相较于现有技术中基于1701 4500 500标准端口提供隧道服务L2TP和IPSec端口的方式,本申请基于预设的高位UDP服务端口与本地终端进行连接构建漏洞扫描网络隧道,可以减少云端的公网暴露面的风险,提升安全性。云服务端在每次扫描任务结束后动态生成认证信息的方式,可以降低漏洞扫描网络隧道被窃取的风险。同时,基于在虚拟机上容器化部署的云服务端,相较于现有技术中采用部署云端虚拟机提供隧道服务的方式,可以大大减少客户端连接兼容性的成本。
如图1所示,本申请实施例一种可选的网络漏洞扫描系统的连接示意图,包括在用户内网的服务端、在用户内网的本地终端、测试环境路由器、漏洞扫描引擎,以及云服务端。
其中,用户内网、测试环境路由器、漏洞扫描引擎,以及云服务端之间可以通过网络实现可通信的连接,以实现本申请的网络漏洞扫描方法。
用户内网的本地终端的IP地址为192.168.100.2:8080。测试环境路由器的IP地址为172.16.189.1。漏洞扫描引擎的IP地址为172.16.189.130。云服务端的IP地址为172.16.189.129/24。用户内网的服务端的IP地址为192.168.100.2。
可以理解的是,本申请实施例中,在用户内网的服务端,以及云服务端可以为独立的服务器或者是多个服务器组成的服务器集群来实现。在用户内网的本地终端可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、台式计算机等等。
如图2所示,本申请实施例提供的一种网络漏洞扫描的流程图。应用于扫描系统,扫描系统包括至少一个位于用户内网的本地终端、在云端采用在虚拟机上容器化部署的云服务端以及在云端使用虚拟化的方式部署包括至少一个漏洞扫描引擎的漏洞扫描引擎能力池,包括以下步骤:
步骤S201、云服务端接收来自本地终端的扫描任务信息,并从扫描任务信息中提取待进行漏洞扫描的目标对象的目标IP地址。
其中,扫描任务信息包括认证信息,认证信息为云服务端在每次扫描任务结束后基于预设规则动态生成的用户名、密码以及共享密钥。
在一种可选的实施例中,在每次扫描任务结束后,下一次新的扫描任务开始前,云服务端在每次扫描任务结束后基于预设规则动态生成的用户名、密码以及共享密钥。
例如,在每次扫描任务结束后基于哈希加密算法生成用户名、密码以及共享密钥。
上述方法中,通过云服务端动态生成用户名、密码以及共享密钥的方式,可以降低通道被窃取的风险。
可以理解的是,本申请对如何生成用户名、密码以及共享密钥的算法不做具体限定。例如,可以是哈希算法,还可以是国产加密SM3算法。还可以是将生成的随机数作为上述用户名、密码以及共享密钥。
在用户需要创建扫描任务时,用户通过本地终端向云服务端发送查询请求。其中,查询请求用于查询认证信息。云服务端向本地终端发送上述认证信息。
如图3所示,本申请提供的一种用于实现查询认证信息的代码的示意图。
如图4所示,本申请实施例提供的一种建立扫描任务的示意图。在用户需要创建扫描任务时,用户可以点击本地终端预先下载的客户端产品,并创建新的扫描任务。用户可以填写以下信息,如,任务名称、扫描目标、任务类型、执行方式、调度优先级、任务状态、下达任务的用户、漏洞扫描模板、是否自动漏洞验证、是否全量代理(Agent)扫描、是否启用SSH密钥免密登录(SSH key-based authentication)、任务来源、任务说明、认证信息等信息。
在一种可选的实施例中,在用户创建扫描任务后,本地终端可以在生成扫描任务时,基于预设的路由映射规则,将扫描任务中的目标IP地址替换为对应的虚拟IP地址。
其中,路由映射规则包括虚拟IP地址与目标IP地址的对应关系。
例如,在创建扫描任务时,实际扫描目标的目标IP地址为192.168.254.0/24段。假设在预设的路由映射规则中,目标IP地址192.168.254.0/24段与虚拟IP地址192.168.252.0/24段存在一一对应的关系。则在扫描任务信息中存储虚拟IP地址192.168.252.0/24段的IP地址。
上述方法中,通过将虚拟IP地址与目标IP地址进行对应的映射,将虚拟IP地址存储在扫描任务信息中的方式,可以防止泄露目标IP地址,提升后续传递扫描任务信息时的安全性。
在一种可选的实施例中,在本地终端创建完成扫描任务后,本地终端可以将扫描任务通过网络上传至云服务端。
在一种可选的实施例中,在本地终端上传扫描任务信息后,云服务端可以基于预设的路由映射规则,将虚拟IP地址映射为对应的目标IP地址,将该目标IP地址作为待进行漏洞扫描的目标对象的目标IP地址。
例如,扫描任务中存储的是虚拟IP地址192.168.252.0/24段。假设在预设的路由映射规则中,目标IP地址192.168.254.0/24段与虚拟IP地址192.168.252.0/24段存在一一对应的关系。则云服务端基于预设的路由映射规则可以确定实际扫描目标的目标IP地址为192.168.254.0/24段。
步骤S202、在认证信息匹配正确的情况下,云服务端从预设的UDP服务端口集合中确定任一高位UDP服务端口作为目标UDP服务端口,并基于目标UDP服务端口与本地终端建立连接构建漏洞扫描网络隧道。
其中,UDP服务端口集合包括多个预设的高位UDP服务端口。
例如,预设的高位UDP服务端口包括端口号大于3000的多个UDP服务端口。
在一种可选的实施例中,云服务端可以将接收到的认证信息与数据库中存储的认证信息进行比较。在接收到的用户名与数据库中存储的用户名相同、接收到的密码与数据库中存储的密码相同、以及接收到的共享密钥与数据库中存储的共享密钥相同的情况下,确定认证信息匹配正确。
云服务端在确定认证信息匹配正确后,从预设的UDP服务端口集合中确定任一高位UDP服务端口作为目标UDP服务端口后,可以基于目标UDP服务端口与本地终端建立连接构建漏洞扫描网络隧道。
上述方法中,通过将UDP服务端口集合中任一预设的高位UDP服务端口作为目标UDP服务端口,与本地终端建立连接构建漏洞扫描网络隧道的方式,可以降低服务端的风险暴露面。
例如,如图5所示,本申请提供一种调用隧道服务的路由建立应用程序接口代码(Application Programming,API)的示意图。
步骤S203、将第一漏洞扫描引擎连接至漏洞扫描网络隧道中进行漏洞检测,以使第一漏洞扫描引擎基于目标IP地址扫描目标对象,并生成与目标对象对应的漏洞检测结果。
其中,第一漏洞扫描引擎是从漏洞扫描引擎资源池中获取的。
可选的,云服务端可以对漏洞扫描虚拟机进行创建,从而对漏洞扫描引擎进行部署。或者,也可以以程序自动化的方式对漏洞扫描虚拟机进行创建,从而对漏洞扫描引擎进行部署。本申请对此不做具体限定。
在一些实现方式中,漏洞扫描引擎资源池中的漏洞扫描引擎均各自对应一个引擎序号,可以从漏洞扫描引擎资源池中获取引擎序号最小的空闲的漏洞扫描引擎作为第一漏洞扫描引擎。可选地,也可以从漏洞扫描引擎资源池中获取引擎序号最大的空闲的漏洞扫描引擎作为第一漏洞扫描引擎。可选地,也可以从漏洞扫描引擎资源池中随机获取空闲的漏洞扫描引擎作为第一漏洞扫描引擎。本申请对此不做具体限定。
在一种可选的实施例中,云服务端可以将第一漏洞扫描引擎连接至第一逻辑网络隧道中。第一漏洞扫描引擎用于基于目标IP地址扫描目标对象,并生成与目标对象对应的漏洞检测结果。
可选的,云服务端还可以返回与目标IP地址对应的本地终端,通过本地终端对漏洞检测结果进行展示。
这样,可以使得用户及时确定漏洞检测结果,提升用户使用体验。
在一种可选的实施例中,本地终端接收漏洞检测结果后,对漏洞检测结果进行展示。
如图6所示,本申请提供一种漏洞检测结果示意图。其中,高危占10.89%。中危占19.44%。低危占69.67%。
如图7所示,本申请提供另一种漏洞检测结果示意图。其中,包括主机风险、IP地址、操作地址、插件版本、漏洞风险评估分等信息。
例如,如图8所示,本申请提供的另一种代码实现的示意图。用于实现下发一个虚拟IP地址到目标IP地址的路由映射,此时192.168.252.0/24段和192.168.254.0/24段的IP一一对应转发。
可选的,可以通过修改libreswan服务端的代码和修改L2TP服务端的配置协同完成本申请实施例中云服务端的实施步骤。
例如,可以通过修改VPN_L2TP_PORT、VPN_IKE_PORT和VPN_NAT_IKE_PORT环境变量设置,修改服务端的配置。
可选的,对于云服务端,可以通过容器化的L2TP/IPSec服务端进行部署。其中,云服务端可以支持动态生成密钥,支持动态制定服务端口。
这样,云端的一台虚拟机上部署容器化的L2TP/IPSec服务端,L2TP的1701端口、IPSec的4500端口和500端口。可以根据用户的实际应用场景动态修改。本申请通过采用通用的L2TP Over IPSec部署容器化的L2TP/IPSec服务端的方式,可以大大减少客户端连接兼容性的成本。
如图9所示,本申请实施例提供一种用于配置服务端口完成容器化开发的代码的示意图。
具体的,可以通过修改libreswan服务端的代码和修改L2TP服务端的配置协同完成。
如图10所示,本申请实施例提供一种用于实现修改libreswan服务端的代码的示意图。如图11所示,本申请实施例提供一种用于实现修改L2TP服务端的代码的示意图。
其中,容器化的L2TP/IPSec服务端可以提供一系列北向接口供业务方调用。
例如,如图12所示,本申请实施例提供一种连接北向接口的示意图。图中包括向服务器请求(get)主机IP转到私网IP的路由查询接口数据,提交(post)主机IP转到私网IP的路由添加接口数据给服务端处理,以及删除(delete)主机IP转到私网IP的路由删除接口数据。
容器化的L2TP/IPSec服务端支持单主机的NAT转发,也支持虚拟IP段的NAT转发。
具体的,可以基于开源类服务器操作系统(Centos7)的容器镜像加上自主研发容器内部署及管理进程完成容器化的开发部署云服务端。
可以理解的是,客户端连接云服务端的容器程序可在内网联通的个人计算机(Personal Computer,PC)、麦金塔计算机(Macintosh,Mac)、服务器上部署运行。客户也可通过通用的VPN程序,比如麦金塔操作系统(Macintosh Operating System,MacOS)自带的L2TP/IPSec VPN客户端,思科互联网协议安全性(Cisco Internet Protocol Security,Cisco IPsec)与云端建立连接。本申请对此不做具体限定。
可选的,漏洞扫描网络隧道采用互联网协议安全IPSec加密协议进行加密。这样,可以保障通信的安全性。
可选的,上述漏洞扫描网络隧道是在容器编排引擎Kubernetes上部署的。可在一台节点(Node)上,最高为255*255个客户提供云端漏扫服务。单个服务可控制内存在50M以内。
本申请通过在容器中部署云端服务端的方式,实现与宿主机隔离,大大提高了攻击的成本和难度,大大提升了守护隧道服务的安全性。同时,客户端侧容器进程启动后无任何附加操作即可完成通道建立,进而完成扫描。且,云服务端容器可以提供一系列管理接口,与本地终端建立漏洞扫描网络隧道进行漏洞扫描,实现网络安全监管。
基于相同的构思,在上述各实施例的基础上,本申请提供了一种安全防护方法,如图13所示,本申请实施例提供的另一种网络漏洞扫描系统的示意图。
图13中在用户内网采用容器化的L2TP/IPSec部署与本地终端连接的本地服务端。在容器化的本地服务端中可以配置探针容器,在启动探针容器后不断调用探针检查容器状态。
漏洞扫描引擎能力池可以包括在云端采用在虚拟机上容器化的L2TP/IPSec部署的云服务端,以及漏洞扫描网元。其中,漏洞扫描引擎能力池在云端使用虚拟化的方式部署,且包括至少一个漏洞扫描引擎。
云服务端可以采用代理(Proxy)容器化的方式部署。在虚拟机上设置代理。这样,云服务端就可以通过虚拟机的网络连接到外部。
云服务端可以通过UDP端口与本地终端建立连接构建漏洞扫描网络隧道。其中,云服务端的UDP端口也采用代理(Proxy)容器化的方式部署。
图14为本申请实施例提供的一种网络漏洞扫描装置的结构示意图,如图14所示,该装置包括:收发模块1401、处理模块1402、连接模块1403。
收发模块1401,用于接收来自本地终端的扫描任务信息,并从扫描任务信息中提取待进行漏洞扫描的目标对象的目标IP地址,扫描任务信息包括认证信息,认证信息为云服务端在每次扫描任务结束后基于预设规则动态生成的用户名、密码以及共享密钥;
处理模块1402,用于在认证信息匹配正确的情况下,云服务端从预设的UDP服务端口集合中确定任一高位UDP服务端口作为目标UDP服务端口;
连接模块1403,用于并基于目标UDP服务端口与本地终端建立连接构建漏洞扫描网络隧道,UDP服务端口集合包括多个预设的高位UDP服务端口;
连接模块1403,还用于将第一漏洞扫描引擎连接至漏洞扫描网络隧道中进行漏洞检测,以使第一漏洞扫描引擎基于目标IP地址扫描目标对象,并生成与目标对象对应的漏洞检测结果,第一漏洞扫描引擎是从漏洞扫描引擎资源池中获取的。
可选的,上述扫描任务信息还包括虚拟IP地址,从扫描任务提取待进行漏洞扫描的目标对象的目标IP地址时,处理模块1402具体用于:
基于预设的路由映射规则,将虚拟IP地址映射为对应的目标IP地址,路由映射规则包括虚拟IP地址与目标IP地址的对应关系。
可选的,上述漏洞扫描网络隧道是在容器编排引擎Kubernetes上部署的。
可选的,上述漏洞扫描网络隧道采用互联网协议安全IPSec加密协议进行加密。
可选的,在接收来自本地终端的扫描任务信息前,收发模块1401还用于:
接收来自本地终端查询请求,查询请求用于查询认证信息
向本地终端发送认证信息。
可选的,上述云服务端在每次扫描任务结束后基于预设规则动态生成的用户名、密码以及共享密钥,处理模块1402具体用于:
在每次扫描任务结束后基于哈希加密算法生成用户名、密码以及共享密钥。
可选的,收发模块1401还用于:
将漏洞检测结果返回与目标IP地址对应的本地终端,通过本地终端对漏洞检测结果进行展示。
基于相同的技术构思,本申请实施例中还提供了一种电子设备,电子设备可以实现前述网络漏洞扫描装置的功能。
图15为本申请实施例提供的电子设备的结构示意图。
至少一个处理器1501,以及与至少一个处理器1501连接的存储器1502,本申请实施例中不限定处理器1501与存储器1502之间的具体连接介质,图15中是以处理器1501和存储器1502之间通过总线1500连接为例。总线1500在图15中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线1500可以分为地址总线、数据总线、控制总线等,为便于表示,图15中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器1501也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器1502存储有可被至少一个处理器1501执行的指令,至少一个处理器1501通过执行存储器1502存储的指令,可以执行前文论述的一种网络漏洞扫描方法。处理器1501可以实现图4所示的装置中各个模块的功能。
其中,处理器1501是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器1502内的指令以及调用存储在存储器1502内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器1501可包括一个或多个处理单元,处理器1501可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、驾驶人员界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器1501中。在一些实施例中,处理器1501和存储器1502可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器1501可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的一种网络漏洞扫描方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器1502作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器1502可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器1502是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器1502还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器1501进行设计编程,可以将前述实施例中介绍的一种网络漏洞扫描方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图2所示的实施例的一种网络漏洞扫描方法。如何对处理器1501进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
在此需要说明的是,本申请实施例提供的上述通电子设备,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机可执行指令,计算机可执行指令用于使计算机执行上述实施例中的一种网络漏洞扫描方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一条或多条其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一条机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一条流程或多条流程和/或方框图一条方框或多条方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一条流程或多条流程和/或方框图一条方框或多条方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一条流程或多条流程和/或方框图一条方框或多条方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种网络漏洞扫描方法,其特征在于,应用于扫描系统,所述扫描系统包括至少一个位于用户内网的本地终端、在云端采用在虚拟机上容器化部署的云服务端以及在所述云端使用虚拟化的方式部署包括至少一个漏洞扫描引擎的漏洞扫描引擎能力池,所述方法包括:
所述云服务端接收来自所述本地终端的扫描任务信息,并从所述扫描任务信息中提取待进行漏洞扫描的目标对象的目标IP地址,所述扫描任务信息包括认证信息,所述认证信息为所述云服务端在每次扫描任务结束后基于预设规则动态生成的用户名、密码以及共享密钥;
在所述认证信息匹配正确的情况下,所述云服务端从预设的UDP服务端口集合中确定任一高位UDP服务端口作为目标UDP服务端口,并基于所述目标UDP服务端口与所述本地终端建立连接构建漏洞扫描网络隧道,所述UDP服务端口集合包括多个预设的高位UDP服务端口;
将第一漏洞扫描引擎连接至所述漏洞扫描网络隧道中进行漏洞检测,以使所述第一漏洞扫描引擎基于所述目标IP地址扫描所述目标对象,并生成与所述目标对象对应的漏洞检测结果,所述第一漏洞扫描引擎是从漏洞扫描引擎资源池中获取的。
2.根据权利要求1所述的方法,其特征在于,所述扫描任务信息还包括虚拟IP地址,所述从所述扫描任务提取待进行漏洞扫描的目标对象的目标IP地址时,具体包括:
基于预设的路由映射规则,将所述虚拟IP地址映射为对应的目标IP地址,所述路由映射规则包括所述虚拟IP地址与所述目标IP地址的对应关系。
3.根据权利要求1所述的方法,其特征在于,所述漏洞扫描网络隧道采用互联网协议安全IPSec加密协议进行加密。
4.根据权利要求1所述的方法,其特征在于,在接收来自所述本地终端的扫描任务信息前,所述方法还包括:
接收来自所述本地终端查询请求,所述查询请求用于查询所述认证信息向所述本地终端发送所述认证信息。
5.根据权利要求1所述的方法,其特征在于,所述云服务端在每次扫描任务结束后基于预设规则动态生成的用户名、密码以及共享密钥,具体包括:
在每次扫描任务结束后基于哈希加密算法生成所述用户名、所述密码以及所述共享密钥。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述漏洞检测结果返回与所述目标IP地址对应的本地终端,通过所述本地终端对所述漏洞检测结果进行展示。
7.一种网络漏洞扫描装置,其特征在于,应用于扫描系统,所述扫描系统包括至少一个位于用户内网的本地终端、在云端采用在虚拟机上容器化部署的云服务端以及在所述云端使用虚拟化的方式部署的至少一个漏洞扫描引擎,所述装置包括:
收发模块,用于接收来自所述本地终端的扫描任务信息,并从所述扫描任务信息中提取待进行漏洞扫描的目标对象的目标IP地址,所述扫描任务信息包括认证信息,所述认证信息为所述云服务端在每次扫描任务结束后基于预设规则动态生成的用户名、密码以及共享密钥;
处理模块,用于在所述认证信息匹配正确的情况下,所述云服务端从预设的UDP服务端口集合中确定目标UDP服务端口;
连接模块,用于基于所述目标UDP服务端口与所述本地终端进行连接构建漏洞扫描网络隧道,所述UDP服务端口集合包括多个预设的高位UDP服务端口;
所述连接模块,还用于将第一漏洞扫描引擎连接至所述漏洞扫描网络隧道中进行漏洞检测,以使所述第一漏洞扫描引擎基于所述目标IP地址扫描所述目标对象,并生成与所述目标对象对应的漏洞检测结果,将所述漏洞检测结果返回与所述目标IP地址对应的本地终端,通过所述本地终端对所述漏洞检测结果进行展示,所述第一漏洞扫描引擎是从漏洞扫描引擎资源池中获取的。
8.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口以及所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行存储器上所存放的程序时,实现如权利要求1-6中任一所述的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任一所述方法的步骤。
10.一种计算机程序产品,其特征在于,所述计算机程序产品在被计算机调用时,使得所述计算机执行如权利要求1-6中任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311845970.7A CN117792763A (zh) | 2023-12-28 | 2023-12-28 | 一种网络漏洞扫描方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311845970.7A CN117792763A (zh) | 2023-12-28 | 2023-12-28 | 一种网络漏洞扫描方法、装置及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117792763A true CN117792763A (zh) | 2024-03-29 |
Family
ID=90401511
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311845970.7A Pending CN117792763A (zh) | 2023-12-28 | 2023-12-28 | 一种网络漏洞扫描方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117792763A (zh) |
-
2023
- 2023-12-28 CN CN202311845970.7A patent/CN117792763A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11159528B2 (en) | Authentication to network-services using hosted authentication information | |
US11115404B2 (en) | Facilitating service connections in serverless code executions | |
US20210297410A1 (en) | Mec platform deployment method and apparatus | |
US20200412825A1 (en) | Connection pooling for scalable network services | |
US9184918B2 (en) | Trusted hardware for attesting to authenticity in a cloud environment | |
US11438421B2 (en) | Accessing resources in a remote access or cloud-based network environment | |
EP3991390A1 (en) | Connection pooling for scalable network services | |
CN112035215B (zh) | 节点集群的节点自治方法、系统、装置及电子设备 | |
US20220174046A1 (en) | Configuring network security based on device management characteristics | |
JP2019526843A (ja) | ホストされたアプリケーションへの動的アクセス | |
JP2019522282A (ja) | クラウドコンピューティングノードのセキュアな設定 | |
CN110401641B (zh) | 用户认证方法、装置、电子设备 | |
US11522847B2 (en) | Local mapped accounts in virtual desktops | |
CN111224952B (zh) | 用于定向流量的网络资源获取方法、装置及存储介质 | |
US20220029917A1 (en) | Executing workloads across multiple cloud service providers | |
CN113923023A (zh) | 权限配置和数据处理的方法、装置、电子设备及介质 | |
CN108900324B (zh) | 校验虚拟机通信性能的方法及装置 | |
CN111726328B (zh) | 用于对第一设备进行远程访问的方法、系统以及相关设备 | |
US11557016B2 (en) | Tracking image senders on client devices | |
US11888898B2 (en) | Network configuration security using encrypted transport | |
CN117792763A (zh) | 一种网络漏洞扫描方法、装置及电子设备 | |
CN115291973A (zh) | 云上应用连接数据库的方法、装置、电子设备及存储介质 | |
US11368459B2 (en) | Providing isolated containers for user request processing | |
CN113329033A (zh) | 局域网之间建立通信连接的方法、用户端设备及网关设备 | |
CN114785612B (zh) | 一种云平台管理方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |