[发明专利]网络设备和确定这样的网络设备中的安全问题的方法

说明书

诸如网关之类的设备(110)包括：通信接口(113)，其被配置为经由网络(140)接收入站HTTP连接，存储器(112)，其被配置为存储与网络搜索引擎相对应的域名列表，以及至少一个硬件处理器(111)，其被配置为从入站HTTP连接获得(S210)设备的IP地址，例如使用反向DNS获得(S220)与IP地址相对应的域名，如果域名在与网络搜索引擎相对应的域名列表上，则确定(S230)该设备对网络(140)开放，以及如果该设备对网络(140)开放，则执行(S240)动作。

技术领域

本公开通常涉及网络安全，并且具体涉及网络设备的安全。

背景技术

本部分旨在向读者介绍可能与下面描述和/或要求保护的本公开的各个方面有关的技术的各个方面。相信该讨论有助于向读者提供背景信息，以便于更好地理解本公开的各个方面。因此，应当理解，这些陈述要在该角度上来阅读，而不是作为对现有技术的承认。

网关(GW)连接内部网络和外部网络(通常是互联网)。通常，可以通过管理型超文本标记语言(HTML)页面来管理GW，该管理型超文本标记语言(HTML)页面通过GW使用超文本传输协议(HTTP)服务器(例如Apache或NGINX)在本地运行。经由该HTML页面，用户可以配置GW功能。为了访问管理型HTML页面，用户通常从本地网络连接到GW中的预定端口，通常是80,8080,443和8443。

通常也可以远程地、即从外部网络中的远程计算机管理GW。这种可能性的主要用途是通过互联网服务提供商(ISP)的服务台对GW的远程故障排除(troubleshooting)。通常，这需要GW在至少一些端口上开放其防火墙，从而使GW暴露于互联网。一旦故障排除结束，则再次关闭(close)GW防火墙，结束对互联网的暴露。一些最近的网关包括定时器，其超时通常引起远程端口的关闭。

然而，可能会发生错误配置GW或者未正确关闭GW防火墙，使这样的GW在故障排除之后仍然暴露于互联网，可能对于网络搜索引擎(例如Bing、Google和Yahoo！)将这些GW编索引来说足够长。可能的对策是在GW存储的robot.txt文件中放置诸如“Disallow:/”之类的指示，这至少在理论上应该阻止网络抓取器(web crawler)将GW编索引，但情况并非总是如此，因为并非所有网络抓取器都遵守这样的指示。

此外，诸如Shodan(www.shodan.io)之类的站点提供先前通过网络抓取收集的、关于连接到互联网的设备(包括GW)的信息。设备所有者和黑客都可以使用站点来检测已编索引的设备中的漏洞。这可能导致对于已编索引的GW的所有者和用户的安全风险。

对该问题的一个解决方案只是远程地关闭在这样的站点上发现的GW。然而，这样做并不是非常及时或回应性地，而且它还需要可能的大型基础设施来监视这样的站点或者在搜索对互联网开放的GW中抓取互联网。

另一个解决方案可以是阻止来自所有IP地址除了一些合法IP地址的远程管理连接，但这种解决方案几乎不可行，因为远程管理连接可以合法地来自地球上的任何地方(并且因此几乎来自任何IP地址)。此外，如果合法的管理员没有被允许的IP地址，则可能发生不能远程管理的情况。

因此将理解，存在对解决传统设备的至少一些缺点的解决方案的期望。本原理提供这样的解决方案。

发明内容

在第一方面，本原理涉及一种设备，包括通信接口，其被配置为经由网络接收入站连接，以及至少一个硬件处理器，其被配置为从入站连接获得与始发设备相对应的域名，如果与IP地址相对应的域名在与网络搜索引擎相对应的域名列表上，则确定第一设备对网络开放，以及，如果第一设备对网络开放，则执行旨在导致第一设备对网络关闭的动作。

第一方面的各种实施例包括：

·设备还包括存储器，其被配置为存储与网络搜索引擎相对应的标识符列表。