[发明专利]安全防护扫描方法与防火墙系统

权利要求书

1.一种安全防护扫描方法，包括读取扫描配置，初始化安全防护策略、防护漏洞、扫描参数与网络监听，对主机执行安全防护扫描，保存扫描数据并退出；其特征在于，所述安全防护扫描包括：判断目标主机是否在线，扫描确定在线目标的端口与服务，遍历每个在线目标、按相应的安全防护策略执行扫描，对端口与服务进行弱口令猜解；

所述安全防护扫描包括对主机的调度：

S11.接收并处理扫描数据，

S12.判断当前主机是否扫描结束，若已结束则接收下一主机的扫描启动指令、执行步骤S11，

S13.若当前主机未扫描结束则根据当前扫描任务，按照配置执行策略扫描和/或弱口令猜解；

所述安全防护扫描包括对任务的调度：

S21.初始化扫描队列与网络监听，

S22.启动扫描任务，循环接收数据，

S23.判断当前主机是否接收到任务数据，

S24.若当前主机已接收到任务数据则进行数据处理，进一步判断当前扫描任务是否被暂停或停止，若未被暂停或停止则继续接收当前扫描任务的数据，若当前任务已被暂停或停止则结束数据处理并退出扫描任务，

S25.若当前主机未接收到任务数据则接收下一个扫描任务，执行步骤S22。

2.根据权利要求1所述的安全防护方法，其特征在于，安全防护扫描进程在用户指定的端口上接收指令，所述指令包括启动、停止、暂停与继续扫描请求。

3.根据权利要求2所述的安全防护方法，其特征在于，对于暂停指令，配置再次启动时继续扫描或重新扫描，若配置为重新扫描，则再次启动时清除历史数据。

4.根据权利要求2所述的安全防护方法，其特征在于，若未对安全扫描引擎的监听端口进行指定，则监听缺省端口；若未对扫描目标进行指定，则读取配置的缺省扫描目标。

5.根据权利要求1所述的安全防护方法，其特征在于，所述在线目标的端口扫描配置包括： dns解析、操作系统类型解析、IPV6地址、存活判断、SYN连接扫描、UDP端口扫描，扫描结果存储到xml文件。

6.一种防火墙系统，其特征在于，包括：

界面配置模块，通过webui实现安全防护扫描的配置操作；

通信指令模块，根据配置的扫描参数，发起扫描指令；

数据存储模块，用于保存配置信息、扫描参数与扫描结果数据；

扫描引擎模块，用于：主机在线判断与端口及服务扫描，安全防护策略扫描，弱口令猜解。

7.根据权利要求6所述的防火墙系统，其特征在于，Web界面将指令发送至Watchdog进行指令类型的判断：

若指令是启动或继续扫描，则调用底层扫描引擎执行；

若指令是停止或暂停扫描，则发消息至扫描引擎的监听端口；

若指令是报表导出，则调用底层的报表生成程序生成报表后web界面触发下载，同时更新报表生成记录。

8.根据权利要求6所述的防火墙系统，其特征在于，数据存储模块保存配置数据、扫描结果、IPS防护对象、Acl规则及地址对象与服务对象；

所述配置数据包括以sqlite库形式存放的扫描目标、端口与口令猜解，

所述扫描目标配置包括：配置参数、任务运行状态、进度和起始及完成时间，扫描所用的端口配置，用户的自定义字典配置；

所述扫描结果数据包括：

扫描任务的进度、状态、开启和结束时间，

扫描任务中各主机IP的进度、状态、开启和结束时间、主机名及风险等级，

扫描时用到的弱口令猜解各IP的服务实时状态，包括已扫描弱口令数，未完成弱口令数、开始结束时间、状态，

扫描后的漏洞信息，在探测到开放的端口后创建一条由ip/协议/端口/应用对组成的记录，

实时的临时信息，扫描过程重新启动时，加载该临时信息继续扫描，接续上次终止前的动作继续运行，所述临时信息只能由安全防护扫描引擎实时写入。

9.根据权利要求6所述的防火墙系统，其特征在于，还包括日志模块，用来记录对安全防护模块进行配置时产生的管理员操作信息，所述操作信息由web界面调用接口发送给系统的日志模块进行日志解析、存储及外发；

日志模块还记录扫描引擎模块的代码逻辑流程的调试信息，以定位问题。