本發明涉及一種網絡端口的安全訪問方法及系統。本發明一方面通過在服務器H上安裝一個網絡過濾驅動，用于保護該服務器上的指定端口，默認情況下拒絕任何IP訪問這些受保護的端口，所以非授權IP無法訪問受保護端口，降低了網絡安全風險；另一方面本發明中通過中間人系統M來把管理員A提交的可信IP要訪問的端口傳遞給服務器H上的網絡過濾驅動，然后該網絡過濾驅動臨時放行指定的可信IP訪問受保護的網絡端口x時長y秒，所以正常合法用戶訪問不受阻，且不受管理員A的IP變化的限制：當管理員A的IP變化時，管理員A只要重新訪問中間人系統M，然后就可以訪問服務器H的網絡端口x。本發明提升了網絡端口訪問的安全性、合法用戶訪問的便利性。

技術領域

本發明屬于信息安全軟件領域，特別涉及一種網絡端口的安全訪問方法及系統。

背景技術

網絡端口是用來標識通信設備雙方的連接端點。為防止非授權訪問，一般情況，網絡端口可以明確限制只有可信IP才能訪問，或者任何人都不能訪問。

現有技術存在如下缺點：

如果對網絡端口明確限制只有可信IP才能訪問，或者任何人都不能訪問，那么合法用戶要么只有IP符合條件、可信的時候才能訪問，要么根本無法訪問，帶來訪問上的不便。

比如，一個管理員約束某設備的TCP 3389端口只有自己的IP地址 1.2.3.4 才能訪問，那么當這個管理員的IP變動的時候(比如路由重新上網、IP重新分配)，該管理員就無法訪問該設備的TCP 3389端口了。

發明內容

本發明的目的在于解決現有技術存在缺陷，提供一種網絡端口的安全訪問方法及系統。

為實現上述目的，本發明的技術方案是：一種網絡端口的安全訪問方法，包括如下步驟：

步驟S1、提供服務器H、中間人系統M；

步驟S2、在服務器H上安裝一個網絡過濾驅動，用于保護該服務器H上的指定網絡端口，該網絡過濾驅動默認情況下拒絕任何IP訪問這些受保護的網絡端口，僅當收到中間人系統M發來的通知時，該網絡過濾驅動臨時放行通知要求的IP對通知要求的網絡端口的訪問；

步驟S3、管理員A訪問中間人系統M，并且請求中間人系統M向服務器H上的網絡過濾驅動發送臨時放行管理員A對應IP地址訪問受保護的網絡端口x時長y秒的通知；

步驟S4、管理員A訪問服務器H的網絡端口x，在管理員A訪問服務器H的網絡端口x時長達到y秒后，服務器H重新禁止管理員A對應IP地址對網絡端口x的訪問。

本發明還提供了一種網絡端口的安全訪問系統，包括服務器H、中間人系統M、管理員A；

所述服務器H上安裝一個網絡過濾驅動，用于保護該服務器上的指定網絡端口，默認情況下拒絕任何IP訪問這些受保護的網絡端口；當收到中間人系統M發來的通知時，該網絡過濾驅動臨時放行通知要求的IP對通知要求的網絡端口的訪問，并在達到預定訪問時間后重新禁止對通知要求的網絡端口的訪問；

所述中間人系統M，能夠與服務器H和管理員A通訊；該中間人系統根據管理員A的請求向服務器H上的網絡過濾驅動發送臨時放行管理員A對應IP地址訪問受保護網絡端口x時長y秒的通知；

所述管理員A，在開始訪問服務器H的網絡端口x之前，必須先訪問中間人系統M，并且請求中間人系統M向服務器H上的網絡過濾驅動發送臨時放行管理員A對應IP地址訪問受保護網絡端口x時長y秒的通知，然后，管理員A才能訪問服務器H的網絡端口x。

相較于現有技術，本發明具有以下有益效果：

一方面，因為本發明中通過在服務器H上安裝一個網絡過濾驅動，用于保護該服務器上的指定端口，默認情況下拒絕任何IP訪問這些受保護的端口，所以非授權IP無法訪問受保護端口，降低了網絡安全風險。