CN103546434A - 网络访问控制的方法、装置和系统 - Google Patents
网络访问控制的方法、装置和系统 Download PDFInfo
- Publication number
- CN103546434A CN103546434A CN201210242621.1A CN201210242621A CN103546434A CN 103546434 A CN103546434 A CN 103546434A CN 201210242621 A CN201210242621 A CN 201210242621A CN 103546434 A CN103546434 A CN 103546434A
- Authority
- CN
- China
- Prior art keywords
- domain name
- address
- access control
- target
- objective network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络访问控制的方法、装置和系统。该方法包括:建立域名访问控制列表,该域名访问控制列表中包括目标网络的域名、该域名对应的一个以上目标IP地址以及对目标IP地址的访问控制操作之间的对应关系,目标域名与一个以上目标IP地址之间的对应关系根据域名服务器DNS的解析结果进行更新;响应于接收到访问请求,根据域名访问控制列表,对访问请求进行访问控制。本发明所提供的方法实现了基于域名的访问控制,从而能够及时对访问控制的条件进行更新,简化了管理维护访问控制的操作。
Description
技术领域
本发明涉及网络通信领域,特别涉及一种网络访问控制的方法、装置和系统。
背景技术
对于网络通信来说,在一定的网络应用场景中,常需要根据不同的安全需要对互联网的访问实施不同的访问控制,例如,基于被访问的目标对象,实施访问控制策略。被访问的目标可能是网络银行、门户网站、公司等机构提供的网站,这些网站通常都使用固定的域名。然而,网站时常需要进行IP地址的调整,这将导致固定域名对应的IP地址经常发生变化,此时需要对网络的访问控制策略进行更新。若网络管理人员未能及时获悉这些IP地址的变化,没有对访问控制策略进行及时更新,不仅可能导致网络安全的隐患,还可能影响用户正常的网络访问。
例如,在某特定的网络中,访问控制策略不允许对域名为www.abcde.com的网站进行访问,该网站的域名www.abcde.com对应的IP地址为10.10.10.11,10.10.10.13,10.10.10.15,10.10.10.17,10.10.10.19。网络管理人员根据域名www.abcde.com对应的5个IP地址,添加5条访问控制列表,以禁止对以上5个IP地址的访问,并执行至少5条对访问控制列表的配置命令。然而,一段时间之后,当该域名对应的IP被更换为20.10.10.11,20.10.10.13,20.10.10.15,20.10.10.17,20.10.10.19,网络管理人员不能及时获悉网站IP地址已经更换的信息,一方面,导致未禁止对新IP地址的访问,使得对该网站的访问控制策略便失去作用,甚至导致网络的安全隐患,另一方面,若之前使用的旧IP地址被作为其他允许访问的网站域名使用的IP地址,滞后的访问控制更新还将影响用户不能访问允许访问的网站。
由此可见,现有技术使用的访问控制方法需要网络管理人员时刻关注IP地址的变化信息,在发生变化时,对涉及IP地址的网络设备进行访问控制的更新,而不能自动及时地获知IP地址的变化进行更新。这种方法不仅需要投入网络管理人员大量的维护工作,还导致了对访问控制策略更新速度慢,进而还可能影响网络安全,或影响用户正常的网络访问。
发明内容
本发明针对上述现有技术中的问题,所要解决的一个技术问题是:提供一种网络访问控制的方法、装置和系统,通过基于域名的访问控制实现对访问控制的及时更新。
根据本发明的第一个方面,本发明实施例提供了一种网络访问控制的方法,所述方法包括:
建立域名访问控制列表,所述域名访问控制列表中包括目标网络的域名、所述域名相对应的一个以上目标IP地址以及对所述目标IP地址的访问控制操作之间的对应关系,所述目标域名与所述一个以上目标IP地址之间的对应关系根据域名服务器DNS的解析结果进行更新;
响应于接收到访问请求,根据所述域名访问控制列表,对所述访问请求进行访问控制。
根据本发明的第二个方面,本发明实施例还提供了一种网络访问控制的装置,所述装置包括:
域名管理单元,用于建立域名访问控制列表,所述域名访问控制列表中包括目标网络的域名、所述域名相对应的一个以上目标IP地址以及对所述目标IP地址的访问控制操作之间的对应关系,所述目标域名与所述一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新;
访问控制执行单元,用于响应于接收到访问请求,根据所述域名访问控制列表,对所述访问请求进行访问控制。
根据本发明的第三个方面,本发明实施例还提供了一种网络访问控制的系统,所述系统包括根据本发明第二个方面所提供的网络访问控制的装置;
域名服务器DNS,用于解析所述目标网络的域名,向所述网络访问控制的装置返回所述目标网络的域名对应的目标IP地址。
基于本发明上述实施例提供的网络访问控制的方法、装置和系统,通过建立域名访问控制列表,该域名访问控制列表中包括目标网络的域名与目标网络的域名相对应的一个以上目标IP地址以及对目标IP地址的访问控制操作之间的对应关系,目标域名与目标IP地址之间的对应关系根据域名服务器DNS的解析结果进行更新,使得在对访问请求进行访问控制时,对特定网站的访问控制针对被访问目标网络的域名进行。根据DNS的解析结果对被访问的目标IP地址进行更新,通过自动获知目标网站的域名所对应IP地址的更新信息,可以实现基于域名的访问控制,而不需是通过管理具体的目标IP地址进行访问控制,从而在目标IP地址发生变化时,可以及时对访问控制的条件进行及时准确地更新,有效防止更新的滞后。不仅简化了管理访问控制的操作,减少了网络管理人员的维护工作,更进一步地,访问控制的准确实施还有助于网络安全的实现,也为向用户提供正常的网络访问提供了保障。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1示出本发明所提供的网络访问控制方法一种实施例的流程示意图;
图2示出本发明所提供的网络访问控制方法另一种实施例的流程示意图;
图3示出本发明所提供的网络访问控制装置一种实施例的结构示意图;
图4示出本发明所提供的网络访问控制装置另一种实施例的结构示意图;
图5示出本发明所提供的网络访问控制系统一种实施例的组成示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置不限制本发明的范围。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
网络访问控制的方法
参见图1所示,图1示出本发明所提供的网络访问控制方法一种实施例的流程示意图。该实施例的操作具体可以由网络中需要配置对访问请求进行访问控制的设备,例如接入层的宽带远程接入服务器(Broadband Remote Access Server,BRAS)、全业务路由器(ServiceRoute,SR)等业务控制设备,或者是汇聚层、核心层的路由器、交换机等网络实体执行。该实施例的网络访问控制方法包括:
在步骤101中,建立域名访问控制列表,域名访问控制列表中包括目标网络的域名、目标网络的域名相对应的一个以上目标IP地址以及对目标IP地址的访问控制操作之间的对应关系,目标域名与一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新。
通过在步骤101中建立域名访问控制列表。目标网络的域名标识了目标网站的计算机或计算机组的名称,与该域名相对应的IP地址是被访问目标计算机的使用的IP地址。域名访问控制列表中包括目标网络的域名与目标网络的域名相对应的一个以上目标IP地址,同时还包括对目标IP地址的访问控制操作之间的对应关系。目标域名与目标IP地址之间的对应关系根据(Domain Name System,DNS)的解析结果进行更新。将字符形式的目标网络的域名转换为目标IP地址,当目标网络的域名对应的IP地址发生更变时,DNS对目标网络的域名的解析结果也会相应地发生改变,因此,根据DNS的解析结果能够对目标域名与一个以上目标IP地址之间的对应关系进行更新。
步骤101中,建立域名访问控制列表的操作具体可以是通过向DNS发送对目标网络的域名解析请求,获得与目标网络的域名相对应的一个以上目标IP地址,从而建立域名访问控制列表。或者,也可以是根据预先获知或之前的目标网络的域名与其相对应的一个以上目标IP地址,设置目标网络的域名相对应的一个以上目标IP地址,并建立域名访问控制列表。
步骤101中,目标域名与一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新,具体可以有不同的实施方式,以下示例性地描述其中的两种。
在一种具体实现方式中,可以向DNS发送域名访问控制列表中包含的目标网络的域名的解析请求;响应于DNS返回的与目标网络的域名相对应的一个以上目标IP地址发生变更的信息,更新域名访问控制列表中发生变更的目标IP地址。
具体地,向DNS发送目标网络域名的请求解析,可以采用周期性地发送,也可以非周期性地请求,或两种请求相结合。对于周期性地向DNS发送域名解析请求的方式,周期的时间间隔可以根据目标网络的域名对应的目标IP地址变化的频率进行调整,当目标IP地址经常变化时,缩短发送目标网络域名的解析请求时间间隔。
在另一种具体实现方式中,DNS在接收到基于目标网络的域名首次发送的解析请求时,记录发送解析请求的请求方标识,以及记录目标网络的域名与对应的目标IP地址之间的对应关系;并在目标网络的域名相对应的目标IP地址相对于对应关系中的目标IP地址发生变化时更新该对应关系,基于请求方标识向请求方推送目标网络的域名对应的目标IP地址;请求方根据DNS最新推送的目标网络的域名对应的目标IP地址更新域名访问控制列表。请求方标识可以是请求方用户标识或者请求方终端的IP地址。
根据DNS的解析结果对被访问的目标IP地址进行更新,从而能够自动获知目标网站的域名所对应IP地址的更新信息,实现基于域名的访问控制,而不是由网络管理人员对每一个目标IP地址是否发生更新进行逐一查询,来获知更新信息。因此,在目标IP地址发生变化时,可以及时对访问控制的条件进行及时准确地更新,有效防止更新的滞后,简化了管理访问控制的操作。
在本发明网络访问控制方法的任意一个实施例中,域名访问控制列表还包括对目标网络的域名进行访问的访问请求的源IP地址、目标端口号、源端口号信息,对访问请求进行访问控制可以包括允许或者拒绝以来自源IP地址的源端口号对目标IP地址的目标端口号的访问请求。将目标IP地址、源IP地址、目标端口号、源端口号以及访问控制操作这五个信息看作五元组,通过对五元组的访问控制条件,实现对访问请求更全面的访问控制。本领域技术人员应该知道,对访问请求的访问控制条件,可以根据具体的访问控制策略进行设置。
根据本发明网络访问控制方法实施例的一个具体示例,域名访问控制列表具体可以有不同的实现方式。以下示例性地示出了其中的一种。
域名访问控制列表包括两个访问控制子表:
第一访问控制子表的列表项中包含目标网络的域名以及与目标网络的域名相对应的一个以上目标IP地址之间的对应关系;
第二访问控制子表的列表项中包含一个以上目标IP地址与对一个以上目标IP地址的访问控制操作之间的对应关系。
以下举例对这种实施例的实现方式进行详细说明。
第一访问控制子表如表1所示,包含目标网络的域名以及与目标网络的域名相对应的一个以上目标IP地址之间的对应关系。目标网络的域名分别为www.abc.com以及www.efg.com,它们使用的目标IP地址具体分别为10.10.1.3、10.10.1.5、10.10.1.7以及20.10.1.8、20.10.1.10。第二访问控制子表如表2所示,第二访问控制子表的列表项中包含目标IP地址与对目标IP地址的访问控制操作之间的对应关系,如表2中所示的对目标IP地址访问请求的允许或拒绝操作,可以将第二访问控制子表的每一个列表项视为一个访问控制列表,以执行对访问请求的访问控制。
以周期性地向DNS请求解析的方式为例,根据第一访问控制子表中的目标网络的域名,周期性地向DNS请求解析www.abc.com以及www.efg.com。响应于DNS返回的与目标网络的域名相对应的目标IP地址发生变更的信息,更新第二访问控制子表中发生变更的目标IP地址对应的列表项。例如,www.abc.com对应的10.10.1.3变更为10.10.1.22,则对第一访问控制子表与第二访问控制子表分别进行更新。可以理解的是,根据目标IP地址的变化情况,更新操作包括增加、删除或更改第一访问控制子表与第二访问控制子表中对应的列表项。
表1第一访问控制子表
表2第二访问控制子表示例一
| 目标IP地址 | 访问控制操作 | |
| 访问控制列表1 | 10.10.1.3→10.10.1.22 | 允许 |
| 访问控制列表2 | 10.10.1.5 | 允许 |
| 访问控制列表3 | 10.10.1.7 | 允许 |
| 访问控制列表4 | 20.10.1.8 | 拒绝 |
| 访问控制列表5 | 20.10.1.10 | 拒绝 |
获知域名访问控制列表具体的实现方式是可以不同的,例如,可以将第一访问控制子表与第二访问控制子表进行合并,从而以一张表的形式进行实施。与前述方法实施例相对应,域名访问控制列表还可以包括对目标网络的域名进行访问的访问请求的源IP地址、目标端口号、源端口号信息,对应地,第二访问控制列表中,还可以包括访问的访问请求的源IP地址、目标端口号、源端口号信息,如表3所示。
表3第二访问控制子表示例二
在步骤102中,响应于接收到访问请求,根据域名访问控制列表,对访问请求进行访问控制。
以上实施例中根据域名访问控制列表,对访问请求进行访问控制的执行实体为网络设备,例如路由器时,访问控制列表被应用在路由器的端口上,从而对通过路由器端口的数据包进行访问控制。另外,上述实施例提供的网络访问控制的方法也可以用于其他例如,防火墙,对访问请求进行访问控制的应用中。
基于本发明上述实施例提供的网络访问控制的方法,使得在对访问请求进行访问控制时,对特定网站的访问控制可以针对被访问目标网络的域名进行。基于目标网络的域名,即本发明所提供的域名访问控制列表,来对访问控制进行管理维护,根据DNS对域名的解析结果对被访问的目标IP地址进行更新,从而自动获知目标网站的域名所对应IP地址的更新信息,可以实现基于域名的访问控制,而不需是通过管理具体的目标IP地址进行访问控制。因此,在目标IP地址发生变化时,可以及时对访问控制的条件进行及时准确地更新,有效防止更新的滞后,并且简化了管理访问控制的操作,减少了网络管理人员的维护工作。更进一步地,通过访问控制的准确实施还有助于网络安全的实现,也为向用户提供正常的网络访问提供了保障。
参见图2所示,图2示出本发明所提供的网络访问控制方法另一种实施例的流程示意图。图2实施例所示的网络访问控制方法包括:
在步骤200中,接收用户输入的目标网络的域名、源IP地址、目标端口号、源端口号,以及对目标网络的域名的访问控制操作信息,域名访问控制列表还包括对目标网络的域名进行访问的访问请求的源IP地址、目标端口号、源端口号信息;或者进一步根据用户输入的信息对域名访问控制列表中的目标网络的域名、源IP地址、目标端口号、源端口号、访问控制操作信息进行更新。
在步骤201中,建立域名访问控制列表,域名访问控制列表中包括目标网络的域名与目标网络的域名相对应的一个以上目标IP地址以及对目标IP地址的访问控制操作之间的对应关系,目标域名与一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新。
在步骤202中,响应于接收到访问请求,根据域名访问控制列表,对访问请求进行访问控制。对访问请求进行的访问控制包括允许访问或拒绝访问。
步骤201与步骤202的描述与上述步骤101与步骤102类似,这里不再详述。
在图2所示出的实施例中,接收目标网络的域名等信息的输入,并基于域名访问控制列表实现对访问请求的访问控制。可见,在步骤200中,接收的是目标网络的域名而不是具体的目标IP地址,以前述表1为例,对于目标网络www.abc.com的控制,接收一个域名的输入,而不是具体的3个目标IP地址,相应地,网络管理人员只需要输入对目标域名的访问控制的策略,而不是对具体目标IP地址的访问控制的策略。与现有技术相比,进一步简化了管理访问控制的操作。
网络访问控制的装置
参见图3所示,图3示出本发明所提供的网络访问控制装置一种实施例的结构示意图。该实施例中的网络访问控制的装置包括:
域名管理单元301,用于建立域名访问控制列表,域名访问控制列表中包括目标网络的域名、目标网络的域名对应的一个以上目标IP地址以及对目标IP地址的访问控制操作之间的对应关系,目标域名与一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新。
根据本发明网络访问控制装置实施例的一个具体示例,域名管理单元301可以通过向DNS请求解析目标网络的域名,获得与目标网络的域名相对应的一个以上目标IP地址,建立域名访问控制列表。
目标域名与一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新,具体可以有不同的实施方式。
在一种具体实现方式中,域名管理单元301向DNS发送域名访问控制列表中包含的目标网络的域名的解析请求;响应于DNS返回的与目标网络的域名相对应的一个以上目标IP地址发生变更的信息,更新域名访问控制列表中发生变更的目标IP地址;或者还用于设置目标网络的域名相对应的一个以上目标IP地址,并建立域名访问控制列表。
具体地,域名管理单元可以采用周期性地发送解析请求,或非周期性地请求,或两种请求相结合,向DNS发送域名访问控制列表中包含的目标网络的域名的解析请求。
在另一种具体实现方式中,域名管理单元301可以根据DNS最新推送的目标网络的域名对应的目标IP地址更新域名访问控制列表。DNS在接收到基于目标网络的域名首次发送的解析请求时,记录发送解析请求的请求方标识,以及记录目标网络的域名与对应的目标IP地址之间的对应关系;并在目标网络的域名相对应的目标IP地址相对于对应关系中的目标IP地址发生变化时更新对应关系,基于请求方标识向请求方推送目标网络的域名对应的目标IP地址。请求方标识可以是包含域名管理单元301的用户终端的用户标识或者请求方终端的IP地址。
访问控制执行单元302,用于响应于接收到访问请求,根据域名访问控制列表,对访问请求进行访问控制。
在本发明网络访问控制方法的任意一个实施例中,域名访问控制列表还可以包括对目标网络的域名进行访问的访问请求的源IP地址、目标端口号、源端口号信息,访问控制执行单元402具体可以用于允许或拒绝以来自源IP地址的源端口号对目标IP地址的目标端口号的访问请求。
根据本发明网络访问控制装置实施例的一个具体示例,域名访问控制列表具体可以有不同的实现方式。示例性地,域名访问控制列表包括两个访问控制子表:
第一访问控制子表的列表项中包含目标网络的域名以及与目标网络的域名相对应的一个以上目标IP地址之间的对应关系;
第二访问控制子表的列表项中包含一个以上目标IP地址与对一个以上目标IP地址的访问控制操作之间的对应关系。
参见图4所示,图4示出本发明所提供的网络访问控制装置另一种实施例的结构示意图。根据本发明网络访问控制方法实施例的一个具体示例,该装置还包括接收输入单元400,用于接收用户输入的目标网络的域名、源IP地址、目标端口号、源端口号,以及对目标网络的域名的访问控制操作信息,域名访问控制列表还包括对目标网络的域名进行访问的访问请求的源IP地址、目标端口号、源端口号信息;
域名管理单元进一步根据接收用户输入的信息对域名访问控制列表中的目标网络的域名、源IP地址、目标端口号、源端口号、访问控制操作信息进行更新。对访问请求进行的访问控制包括允许访问或拒绝访问。
基于本发明上述实施例提供的网络访问控制的装置,使得在对访问请求进行访问控制时,对特定网站的访问控制可以针对被访问目标网络的域名进行。基于目标网络的域名,域名管理单元301根据DNS对域名的解析结果对被访问的目标IP地址进行更新,从而自动获知目标网站的域名所对应IP地址的更新信息,可以实现基于域名的访问控制,而不需是通过管理具体的目标IP地址进行访问控制。因此,在目标IP地址发生变化时,可以及时对访问控制的条件进行及时准确地更新,有效防止更新的滞后,并且简化了管理访问控制的操作,减少了网络管理人员的维护工作。
网络访问控制的系统
参加图5所示,图5示出本发明所提供的网络访问控制系统一种实施例的组成示意图。该实施例中的网络访问控制系统包括网络访问控制装置501与DNS502。
网络访问控制装置501可以是上述网络访问控制的装置实施例中的任意一种。
DNS502,用于解析目标网络的域名,向网络访问控制的装置返回目标网络的域名对应的目标IP地址。
根据本发明网络访问控制系统实施例的一个具体示例,DNS502DNS在接收到基于目标网络的域名首次发送的解析请求时,记录发送解析请求的请求方标识,以及记录目标网络的域名与对应的目标IP地址之间的对应关系;并在目标网络的域名相对应的目标IP地址相对于对应关系中的目标IP地址发生变化时更新对应关系,基于请求方标识向请求方推送目标网络的域名对应的目标IP地址。请求方标识可以是网络访问控制装置501所在的用户终端的用户标识或者请求方终端的IP地址。网络访问控制装置501根据DNS502最新推送的目标网络的域名对应的目标IP地址更新域名访问控制列表。
至此,已经详细描述了根据本发明的一种网络访问控制的方法、装置和系统。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于装置、系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
可能以许多方式来实现本发明的方法、装置和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的网络访问控制的方法、装置和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
Claims (18)
1.一种网络访问控制的方法,其特征在于,所述方法包括:
建立域名访问控制列表,所述域名访问控制列表中包括目标网络的域名、所述域名对应的一个以上目标IP地址以及对所述目标IP地址的访问控制操作之间的对应关系,所述目标域名与所述一个以上目标IP地址之间的对应关系根据域名服务器DNS的解析结果进行更新;
响应于接收到访问请求,根据所述域名访问控制列表,对所述访问请求进行访问控制。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
向DNS发送所述目标网络的域名的解析请求,获得与所述目标网络的域名相对应的一个以上目标IP地址,建立所述域名访问控制列表;或者
设置所述目标网络的域名相对应的一个以上目标IP地址,并建立所述域名访问控制列表。
3.根据权利要求2所述的方法,其特征在于,所述目标域名与所述一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新包括:
向所述DNS发送所述域名访问控制列表中包含的目标网络的域名的解析请求;
响应于所述DNS返回的与所述目标网络的域名相对应的所述一个以上目标IP地址发生变更的信息,更新所述域名访问控制列表中发生变更的目标IP地址。
4.根据权利要求3所述的方法,其特征在于,向所述DNS请求解析所述域名访问控制列表中包含的目标网络的域名包括:
周期性地向所述DNS发送所述域名访问控制列表中包含的目标网络的域名的解析请求。
5.根据权利要求2所述的方法,其特征在于,所述目标网络的域名与所述一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新包括:
DNS在接收到基于所述目标网络的域名首次发送的解析请求时,记录发送所述解析请求的请求方标识,以及记录所述目标网络的域名与对应的目标IP地址之间的对应关系;
并在所述目标网络的域名相对应的目标IP地址相对于所述对应关系中的目标IP地址发生变化时更新所述对应关系,基于所述请求方标识向所述请求方推送所述目标网络的域名对应的目标IP地址;
所述请求方根据DNS最新推送的所述目标网络的域名对应的目标IP地址更新所述域名访问控制列表。
6.根据权利要求1至5任意一项所述的方法,其特征在于,所述域名访问控制列表包括两个访问控制子表:
第一访问控制子表的列表项中包含目标网络的域名以及与所述目标网络的域名相对应的一个以上目标IP地址之间的对应关系;
第二访问控制子表的列表项中包含所述一个以上目标IP地址与对所述一个以上目标IP地址的访问控制操作之间的对应关系。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收用户输入的所述目标网络的域名、源IP地址、目标端口号、源端口号,以及对所述目标网络的域名的访问控制操作信息,所述域名访问控制列表还包括对所述目标网络的域名进行访问的访问请求的源IP地址、目标端口号、源端口号信息;
或者进一步根据用户输入的信息对所述域名访问控制列表中的目标网络的域名、源IP地址、目标端口号、源端口号、访问控制操作信息进行更新。
8.根据权利要求7所述的方法,其特征在于,所述对所述访问请求进行的访问控制包括允许访问或拒绝访问。
9.一种网络访问控制的装置,其特征在于,所述装置包括:
域名管理单元,用于建立域名访问控制列表,所述域名访问控制列表中包括目标网络的域名、所述域名对应的一个以上目标IP地址以及对所述目标IP地址的访问控制操作之间的对应关系,所述目标域名与所述一个以上目标IP地址之间的对应关系根据DNS的解析结果进行更新;
访问控制执行单元,用于响应于接收到访问请求,根据所述域名访问控制列表,对所述访问请求进行访问控制。
10.根据权利要求9所述的装置,其特征在于,所述域名管理单元,还用于向DNS发送所述目标网络的域名的解析请求,获得与所述目标网络的域名相对应的一个以上目标IP地址,建立所述域名访问控制列表;或者
还用于设置所述目标网络的域名相对应的一个以上目标IP地址,并建立所述域名访问控制列表。
11.根据权利要求10所述的装置,其特征在于,所述域名管理单元向所述DNS发送所述域名访问控制列表中包含的目标网络的域名的解析请求;响应于所述DNS返回的与所述目标网络的域名相对应的所述一个以上目标IP地址发生变更的信息,更新所述域名访问控制列表中发生变更的目标IP地址。
12.根据权利要求11所述的装置,其特征在于,所述域名管理单元周期性地向所述DNS发送所述域名访问控制列表中包含的目标网络的域名的解析请求。
13.根据权利要求12所述的装置,其特征在于,所述域名管理单元根据DNS最新推送的所述目标网络的域名对应的目标IP地址更新所述域名访问控制列表,所述DNS在接收到基于所述目标网络的域名首次发送的解析请求时,记录发送所述解析请求的请求方标识,以及记录所述目标网络的域名与对应的目标IP地址之间的对应关系;并在所述目标网络的域名相对应的目标IP地址相对于所述对应关系中的目标IP地址发生变化时更新所述对应关系,基于所述请求方标识向所述请求方推送所述目标网络的域名对应的目标IP地址。
14.根据权利要求9至13任意一项所述的装置,其特征在于,所述域名访问控制列表包括两个访问控制子表:
第一访问控制子表的列表项中包含目标网络的域名以及与所述目标网络的域名相对应的一个以上目标IP地址之间的对应关系;
第二访问控制子表的列表项中包含所述一个以上目标IP地址与对所述一个以上目标IP地址的访问控制操作之间的对应关系。
15.根据权利要求14所述的装置,其特征在于,所述装置还包括:
接收输入单元,用于接收用户输入的所述目标网络的域名、源IP地址、目标端口号、源端口号,以及对所述目标网络的域名的访问控制操作信息,所述域名访问控制列表还包括对所述目标网络的域名进行访问的访问请求的源IP地址、目标端口号、源端口号信息;
所述域名管理单元进一步根据接收用户输入的信息对所述域名访问控制列表中的目标网络的域名、源IP地址、目标端口号、源端口号、访问控制操作信息进行更新。
16.根据权利要求15所述的装置,其特征在于,所述对所述访问请求进行的访问控制包括允许访问或拒绝访问。
17.一种网络访问控制的系统,其特征在于,所述系统包括根据权利要9至16任意一项所述的网络访问控制的装置;
DNS,用于解析所述目标网络的域名,向所述网络访问控制的装置返回所述目标网络的域名对应的目标IP地址。
18.根据权利要求17所述的系统,其特征在于,所述DNS在接收到基于所述目标网络的域名首次发送的解析请求时,记录发送所述解析请求的请求方标识,以及记录所述目标网络的域名与对应的目标IP地址之间的对应关系;并在所述目标网络的域名相对应的目标IP地址相对于所述对应关系中的目标IP地址发生变化时更新所述对应关系,基于所述请求方标识向所述请求方推送所述目标网络的域名对应的目标IP地址;
所述网络访问控制的装置根据所述DNS最新推送的所述目标网络的域名对应的目标IP地址更新所述域名访问控制列表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210242621.1A CN103546434A (zh) | 2012-07-13 | 2012-07-13 | 网络访问控制的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210242621.1A CN103546434A (zh) | 2012-07-13 | 2012-07-13 | 网络访问控制的方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103546434A true CN103546434A (zh) | 2014-01-29 |
Family
ID=49969490
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210242621.1A Pending CN103546434A (zh) | 2012-07-13 | 2012-07-13 | 网络访问控制的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103546434A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301180A (zh) * | 2014-10-16 | 2015-01-21 | 杭州华三通信技术有限公司 | 一种业务报文处理方法和设备 |
| CN105592176A (zh) * | 2014-10-27 | 2016-05-18 | 中国移动通信集团公司 | 一种信息处理方法、网络设备及系统 |
| CN105991450A (zh) * | 2015-03-02 | 2016-10-05 | 杭州迪普科技有限公司 | Mac地址表更新方法及装置 |
| CN106161664A (zh) * | 2015-04-15 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 域名解析方法及装置、数据传输方法及装置 |
| CN106790720A (zh) * | 2017-03-21 | 2017-05-31 | 聚好看科技股份有限公司 | 业务服务请求实现方法及装置 |
| CN106899711A (zh) * | 2017-05-09 | 2017-06-27 | 南京赢纳信息科技有限公司 | 一种基于Linux的动态域名解析模块及其黑白名单实现方法 |
| CN107332813A (zh) * | 2016-04-29 | 2017-11-07 | 华为技术有限公司 | 一种acl配置方法、acl配置设备及服务器 |
| WO2017206701A1 (zh) * | 2016-06-01 | 2017-12-07 | 中兴通讯股份有限公司 | 访问控制方法及家庭网关 |
| CN107547682A (zh) * | 2017-07-31 | 2018-01-05 | 新华三技术有限公司 | Ip地址识别方法及装置 |
| CN109981806A (zh) * | 2017-12-28 | 2019-07-05 | 北京京东尚科信息技术有限公司 | 域名处理、注册方法及系统、计算机系统 |
| CN110430189A (zh) * | 2019-08-02 | 2019-11-08 | 北京天融信网络安全技术有限公司 | 一种域名系统访问控制方法及装置 |
| CN112039869A (zh) * | 2020-08-27 | 2020-12-04 | 中国建设银行股份有限公司 | 一种网络访问关系的建立方法、装置、存储介质及设备 |
| CN113906771A (zh) * | 2019-05-21 | 2022-01-07 | 艾里斯通讯公司 | 使用域名的通信流控制 |
| CN114338817A (zh) * | 2021-12-22 | 2022-04-12 | 中国人民银行清算总中心 | 多平面网络访问控制方法及多平面网络 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060167871A1 (en) * | 2004-12-17 | 2006-07-27 | James Lee Sorenson | Method and system for blocking specific network resources |
| CN101442566A (zh) * | 2009-01-08 | 2009-05-27 | 中国电信股份有限公司 | 实现动态域名更新的方法和设备 |
| CN102025713A (zh) * | 2010-02-09 | 2011-04-20 | 中国移动通信集团北京有限公司 | 一种访问控制方法、系统及dns服务器 |
| CN102571956A (zh) * | 2012-01-09 | 2012-07-11 | 华为技术有限公司 | 关联识别表更新方法、关联识别方法、装置及系统 |
-
2012
- 2012-07-13 CN CN201210242621.1A patent/CN103546434A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060167871A1 (en) * | 2004-12-17 | 2006-07-27 | James Lee Sorenson | Method and system for blocking specific network resources |
| CN101442566A (zh) * | 2009-01-08 | 2009-05-27 | 中国电信股份有限公司 | 实现动态域名更新的方法和设备 |
| CN102025713A (zh) * | 2010-02-09 | 2011-04-20 | 中国移动通信集团北京有限公司 | 一种访问控制方法、系统及dns服务器 |
| CN102571956A (zh) * | 2012-01-09 | 2012-07-11 | 华为技术有限公司 | 关联识别表更新方法、关联识别方法、装置及系统 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301180B (zh) * | 2014-10-16 | 2018-05-15 | 新华三技术有限公司 | 一种业务报文处理方法和设备 |
| CN104301180A (zh) * | 2014-10-16 | 2015-01-21 | 杭州华三通信技术有限公司 | 一种业务报文处理方法和设备 |
| CN105592176A (zh) * | 2014-10-27 | 2016-05-18 | 中国移动通信集团公司 | 一种信息处理方法、网络设备及系统 |
| CN105592176B (zh) * | 2014-10-27 | 2019-01-01 | 中国移动通信集团公司 | 一种信息处理方法、网络设备及系统 |
| CN105991450A (zh) * | 2015-03-02 | 2016-10-05 | 杭州迪普科技有限公司 | Mac地址表更新方法及装置 |
| CN105991450B (zh) * | 2015-03-02 | 2019-05-07 | 杭州迪普科技股份有限公司 | Mac地址表更新方法及装置 |
| CN106161664A (zh) * | 2015-04-15 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 域名解析方法及装置、数据传输方法及装置 |
| CN107332813A (zh) * | 2016-04-29 | 2017-11-07 | 华为技术有限公司 | 一种acl配置方法、acl配置设备及服务器 |
| WO2017206701A1 (zh) * | 2016-06-01 | 2017-12-07 | 中兴通讯股份有限公司 | 访问控制方法及家庭网关 |
| CN107454051A (zh) * | 2016-06-01 | 2017-12-08 | 中兴通讯股份有限公司 | 访问控制方法及家庭网关 |
| CN106790720B (zh) * | 2017-03-21 | 2019-12-27 | 聚好看科技股份有限公司 | 业务服务请求实现方法及装置 |
| CN106790720A (zh) * | 2017-03-21 | 2017-05-31 | 聚好看科技股份有限公司 | 业务服务请求实现方法及装置 |
| CN106899711A (zh) * | 2017-05-09 | 2017-06-27 | 南京赢纳信息科技有限公司 | 一种基于Linux的动态域名解析模块及其黑白名单实现方法 |
| CN107547682A (zh) * | 2017-07-31 | 2018-01-05 | 新华三技术有限公司 | Ip地址识别方法及装置 |
| CN109981806A (zh) * | 2017-12-28 | 2019-07-05 | 北京京东尚科信息技术有限公司 | 域名处理、注册方法及系统、计算机系统 |
| CN109981806B (zh) * | 2017-12-28 | 2022-07-05 | 北京京东尚科信息技术有限公司 | 域名处理、注册方法及系统、计算机系统 |
| CN113906771A (zh) * | 2019-05-21 | 2022-01-07 | 艾里斯通讯公司 | 使用域名的通信流控制 |
| CN110430189A (zh) * | 2019-08-02 | 2019-11-08 | 北京天融信网络安全技术有限公司 | 一种域名系统访问控制方法及装置 |
| CN112039869A (zh) * | 2020-08-27 | 2020-12-04 | 中国建设银行股份有限公司 | 一种网络访问关系的建立方法、装置、存储介质及设备 |
| CN114338817A (zh) * | 2021-12-22 | 2022-04-12 | 中国人民银行清算总中心 | 多平面网络访问控制方法及多平面网络 |
| CN114338817B (zh) * | 2021-12-22 | 2023-11-10 | 中国人民银行清算总中心 | 多平面网络访问控制方法及多平面网络 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103546434A (zh) | 网络访问控制的方法、装置和系统 | |
| US10951582B2 (en) | Dynamic firewall configuration | |
| CN103201999B (zh) | 请求路由选择处理 | |
| US9832228B2 (en) | Methods, systems, and computer program products for managing firewall change requests in a communication network | |
| US9860346B2 (en) | Dynamic application programming interface builder | |
| CN103634314A (zh) | 一种基于虚拟路由器vsr的服务访问控制方法及设备 | |
| CN101540755B (zh) | 一种修复数据的方法、系统和装置 | |
| CN1874223B (zh) | 实现网络设备mac和ip绑定的接入控制方法 | |
| Mueller | Critical resource: An institutional economics of the Internet addressing-routing space | |
| CA2654400A1 (en) | Methods and systems for presenting online content elements based on information known to a service provider | |
| CN105592052A (zh) | 一种防火墙规则配置方法及装置 | |
| CN102025713A (zh) | 一种访问控制方法、系统及dns服务器 | |
| CN105721420A (zh) | 访问权限控制方法和反向代理服务器 | |
| CN101316182A (zh) | 一种用户终端的授权数目控制方法和设备 | |
| CN105915535A (zh) | 一种基于用户身份的虚拟化资源访问控制方法 | |
| CN105225072A (zh) | 一种多应用系统的访问管理方法及系统 | |
| CN103678676A (zh) | Ip库处理方法和系统 | |
| CN100389575C (zh) | 一种实现网上设备接入管理的方法 | |
| CN101309279B (zh) | 终端访问的控制方法、系统和设备 | |
| CN106936907A (zh) | 一种文件处理方法、逻辑服务器、接入服务器及系统 | |
| CN104734869A (zh) | 基于动态探测的智能dns域名系统及方法 | |
| CN106209799A (zh) | 一种实现动态网络防护的方法、系统及动态防火墙 | |
| CN108023877A (zh) | 一种基于家庭网关实现防火墙域名控制的系统方法 | |
| CN113779515B (zh) | 一种权限管理方法、系统及存储介质 | |
| US8819271B2 (en) | System and method to access and use layer 2 and layer 3 information used in communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140129 |