本公開涉及一種網絡連接的監控方法、裝置、系統和計算機可讀存儲介質，涉及網絡安全技術領域。該方法包括：響應于內網的端口發起建立外網連接的報文，接收接入服務器發來的外網連接的相關信息，接入服務器為外網提供接入端口；根據相關信息，判斷外網連接是否合法；將判斷結果發送給接入服務器，以便接入服務器根據判斷結果決定是否對外網連接執行斷開處理。

技術領域

本公開涉及網絡安全技術領域，特別涉及一種網絡連接的監控方法、網絡連接的監控裝置、網絡連接的監控系統和計算機可讀存儲介質。

背景技術

外網主機可以通過網絡協議與內網主機建立連接。例如，SSH(Secure Shell，安全外殼)協議作為一種網絡協議采用了非對稱加密方式進行認證和數據傳輸，成為遠程管理主機設備的主流協議。SSH協議擁有強大的TCP(Transmission Control Protocol，傳輸控制協議)端口轉發能力，尤其本地端口轉發功能應用更加強大，使得它成為穿透內網的常用VPN(Virtual Private Network，虛擬專用網絡)工具。

在相關技術中，外網主機與內網主機建立連接后，可以把內網的所有主機的服務端口都映射到外網，為其它外網主機提供訪問的能力。

發明內容

本公開的發明人發現上述相關技術中存在如下問題：映射行為由外網的SSH客戶端控制，不受內網服務器的控制也不受防火墻的監管。因此導致內網主機服務器暴露到外網上，降低了網絡安全性。

鑒于此，本公開提出了一種網絡連接的監控技術方案，能夠提高網絡安全性。

根據本公開的一些實施例，提供了一種網絡連接的監控方法，包括：響應于內網的端口發起建立外網連接的報文，接收接入服務器發來的外網連接的相關信息，接入服務器為外網提供接入端口；根據相關信息，判斷外網連接是否合法；將判斷結果發送給接入服務器，以便接入服務器根據判斷結果決定是否對外網連接執行斷開處理。

在一些實施例中，相關信息包括外網連接的外網發起方的相關信息、內網目標的相關信息、時間信息中的至少一項，時間信息用于確定能夠與內網建立連接的時間。

在一些實施例中，外網發起方的相關信息包括外網發起方的用戶名、客戶端IP(Internet Protocol，互聯網協議)地址、客戶端軟件名稱中的一項或多項；內網目標的相關信息包括內網目標的IP地址、端口信息中的至少一項。

在一些實施例中，報文為接入服務器通過實時跟蹤服務器日志獲取。

在一些實施例中，該方法還包括：接收接入服務器返回的對外網連接的處理結果。

在一些實施例中，接入服務器為SSH服務器，外網連接為VPN連接。

根據本公開的另一些實施例，提供一種網絡連接的監控裝置，包括：接收單元，用于響應于內網的端口發起建立外網連接的報文，接收接入服務器發來的連接的相關信息，接入服務器為外網提供接入端口；判斷單元，用于根據相關信息，判斷外網連接是否合法；發送單元，用于將判斷結果發送給接入服務器，以便接入服務器根據判斷結果決定是否對外網連接執行斷開處理。

在一些實施例中，相關信息包括連接的外網發起方的相關信息、內網目標的相關信息、時間信息中的至少一項，時間信息用于確定能夠與內網建立連接的時間。

在一些實施例中，外網發起方的相關信息包括外網發起方的用戶名、客戶端IP地址、客戶端軟件名稱中的一項或多項；內網目標的相關信息包括內網目標的IP地址、端口信息中的至少一項。

在一些實施例中，報文為接入服務器通過實時跟蹤服務器日志獲取。

在一些實施例中，接收單元接收接入服務器返回的對外網連接的處理結果。

在一些實施例中，接入服務器為SSH服務器，外網連接為VPN連接。