CN103546594B - 配置隔离区指向地址的方法与装置 - Google Patents
配置隔离区指向地址的方法与装置 Download PDFInfo
- Publication number
- CN103546594B CN103546594B CN201310521631.3A CN201310521631A CN103546594B CN 103546594 B CN103546594 B CN 103546594B CN 201310521631 A CN201310521631 A CN 201310521631A CN 103546594 B CN103546594 B CN 103546594B
- Authority
- CN
- China
- Prior art keywords
- address
- detection
- configuration
- lan device
- isolation area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 67
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000001514 detection method Methods 0.000 claims abstract description 72
- 230000004044 response Effects 0.000 claims abstract description 25
- 238000005516 engineering process Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000007689 inspection Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种配置隔离区指向地址的方法与装置,方法包括:获取预设的地址分配表中的第一地址;向具有第一地址的局域网设备发送检测包;当接收到具有第一地址的局域网设备根据检测包返回的检测响应时,将第一地址作为隔离区指向地址配置到网关设备的WAN口地址栏中。根据本发明提供的配置隔离区指向地址的方法与装置,通过发送检测包来检测哪一个局域网设备在线,并将该局域网的设备作为隔离区指向地址添加到网关设备的WAN口地址栏中,可以避免人工手动填写网关设备的WAN口地址栏,提高配置隔离区指向地址的效率。
Description
技术领域
本发明涉及网络技术,尤其涉及一种配置隔离区指向地址的方法与装置。
背景技术
随着互联网技术的飞速发展,全球的网络资源也呈现出接入数量巨大与业务种类繁多等特点,因此网络安全的保证也变得越来越重要。目前的网络安全手段很多,如防火墙、防病毒软件、数据包检测(Deep Packet Inspection,DPI)技术等,隔离区(Demilitarized Zone,DMZ)技术也是其中之一。
DMZ技术是为了解决安装防火墙后,外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP(File Transfer Protocol,文件传输协议)服务器和论坛等。DMZ缓冲区能够更加有效地保护了内部网络。
目前的某些网关设备上也具备了DMZ功能。在配置DMZ功能的过程中,还需要提前获取LAN(Local Area Network,局域网)侧在线主机设备的IP(Internet Protocol,网络之间互连的协议)地址,并且由人工手动填写的方式完成,以实现DMZ的指向功能,这样的人工配置方法一定程度上降低了配置DMZ指向地址的效率。
发明内容
本发明提供一种配置隔离区指向地址的方法与装置,以解决现有技术中需要人工手动配置DMZ指向地址从而造成的配置效率较低的问题。
本发明第一个方面提供一种配置隔离区指向地址的方法,包括:
获取预设的地址分配表中的第一地址;
向具有所述第一地址的局域网设备发送检测包;
当接收到所述具有第一地址的局域网设备根据所述检测包返回的检测响应时,将所述第一地址作为隔离区指向地址配置到网关设备的WAN口地址栏中。
本发明第二个方面提供一种配置隔离区指向地址的装置,包括:
获取单元,用于获取预设的地址分配表中的第一地址;
发送单元,用于向具有所述第一地址的局域网设备发送检测包;
配置单元,用于当接收到所述具有第一地址的局域网设备根据所述检测包返回的检测响应时,将所述第一地址作为隔离区指向地址配置到网关设备的WAN口地址栏中。
由上述技术方案可知,本发明提供的配置隔离区指向地址的方法与装置,通过发送检测包来检测哪一个局域网设备在线,并将该局域网的设备作为隔离区指向地址添加到网关设备的WAN口地址栏中,可以避免人工手动填写网关设备的WAN口地址栏,提高配置隔离区指向地址的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明一实施例的配置隔离区指向地址的方法的流程示意图;
图2为根据本发明另一实施例的配置隔离区指向地址的方法的流程示意图;
图3为根据本发明又一实施例的配置隔离区指向地址的装置的结构示意图;
图4为根据本发明再一实施例的配置隔离区指向地址的装置的结构示意图。
具体实施方式
实施例一
本实施例提供一种配置隔离区指向地址的方法。该配置隔离区指向地址的方法适用于具有DMZ功能的网关设备。本实施例的执行主体为配置隔离区指向地址的装置,该配置隔离区指向地址的装置可以设置在具有DMZ功能的网关设备中。
如图1所示,为根据本实施例的配置隔离区指向地址的方法的流程示意图。
步骤101,获取预设的地址分配表中的第一地址。
该预设的地址分配表可以是DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)地址池。该DHCP地址池中包含多个地址,当有局域网设备接入该网关设备时,可以由网关设备为局域网设备分配DHCP地址池中的地址。该地址分配表可以设置在网关设备中。
步骤102,向具有第一地址的局域网设备发送检测包。
当获取到第一地址之后,配置隔离区指向地址的装置可以向具有该第一地址的局域网设备发送检测包,该检测包具体可以是ICMP(Internet Control Message Protocol,Internet控制报文协议)检测包,该检测包用于检测具有第一地址的局域网设备是否在线。局域网设备具体可以是PC(Personal Computer,个人计算机)。
步骤103,当接收到具有第一地址的局域网设备根据检测包返回的检测响应时,将第一地址作为隔离区指向地址配置到网关设备的WAN(Wide Area Network,广域网)口地址栏中。
当接收到具有第一地址的局域网设备返回的检测响应时,说明该具有第一地址的局域网设备在线,可以作为DMZ指向的主机。DMZ主机可以为外网设备提供服务,即当局域网设备不作为DMZ指向的主机时,外网设备无法访问该局域网设备,不能为外网设备提供服务,当局域网设备作为DMZ指向的主机时,外网设备可以通过访问网关设备中的WAN口地址就可以访问DMZ主机。
可选地,在步骤101之后,且在步骤102之前还可以包括:
判断第一地址是否已经被分配到局域网设备中;
当判断结果为是时,执行向具有第一地址的局域网设备发送检测包的步骤。
由于地址分配表中的地址可能存在未被分配的情况,因此可以在获取到地址之后判断该地址是否已经被分配到局域网中。具体地,当地址分配表中的某一地址已经被占用,即已经分配到局域网设备中时,可以在该地址上标记预设的符号,以使配置隔离区指向地址的装置识别该地址是否已经被分配到局域网设备中。当识别结果为该第一地址未分配到局域网设备中时,可以选择另一地址,例如第二地址,并向具有第二地址的局域网设备发送检测包。
本实施例的配置隔离区指向地址的方法,通过发送检测包来检测哪一个局域网设备在线,并将该局域网的设备作为隔离区指向地址添加到网关设备的WAN口地址栏中,可以避免人工手动填写网关设备的WAN口地址栏,提高配置隔离区指向地址的效率。
实施例二
本实施例对实施例一做进一步补充说明。
具体地,当未接收到具有第一地址的局域网设备根据检测包返回的检测响应时,获取地址分配表的中的第二地址;
向具有第二地址的局域网设备发送检测包;
当接收到具有第二地址的局域网设备根据检测包返回的检测响应时,将第二地址作为隔离区指向地址配置到网关设备的WAN口地址栏中。
本实施例的第二地址与第一地址不同。具体地,可以预设一响应时间阈值,例如3~5秒钟。当配置隔离区指向地址的装置发送检测包之后,未收到检测响应的时间超过响应时间阈值时,可以确定该具有第一地址的局域网设备未在线。接下来,配置隔离区指向地址的装置获取第二地址,并向具有第二地址的局域网设备发送检测包。当接收到具有第二地址的局域网设备根据检测包返回的检测响应时,将第二地址作为隔离区指向地址配置到网关设备的WAN口地址栏中。如果未接收到具有第二地址的局域网设备根据检测包返回的检测响应时,可以获取地址分配表中的第三地址,并向具有第三地址的局域网设备发送检测包,如此循环,直至获取到检测响应为止。
需要指出的是,在获取第二地址之后,可以同样判断该第二地址是否被分配到局域网设备中,具体判断方法与实施例一中判断第一地址是否被分配到局域网设备中的方法相同,在此不再赘述。
如图2所示,具体举例来说,当PC1接入到网关设备侧的LAN侧时,网关设备采用DHCP协议为该PC1分配DHCP地址分配表中的IP(InternetProtocol,网络之间互连的协议)地址,即IP1。当PC2接入到网关设备侧的LAN侧时,网关设备采用DHCP协议为该PC2分配DHCP地址分配表中的IP地址,即IP2。此时,假设PC1不在线,PC2在线。
步骤201,配置隔离区指向地址的装置获取IP1。
步骤202,配置隔离区指向地址的装置向具有地址IP1的PC1发送ICMP检测包。该ICMP具体可以是ping包。
步骤203,当超过预设的响应时间阈值未接收到PC1返回的检测响应时,配置隔离区指向地址的装置获取IP2。
步骤204,配置隔离区指向地址的装置向PC2发送ICMP检测包。该ICMP检测包具体可以是ping包。
步骤205,配置隔离区指向地址的装置接收到PC2返回的检测响应。
步骤206,配置隔离区指向地址的装置将IP2作为隔离区指向地址配置到网关设备的WAN口地址栏中。
根据本实施例的配置隔离区指向地址的方法,通过ICMP检测包注意检测局域网侧设备的连接性,并将所检测到的在线的局域网侧设备的地址作为隔离区指向地址添加到网关设备的WAN口地址栏中,尽量避免了人工手动添加地址的繁琐步骤。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
实施例三
本实施例提供一种配置隔离区指向地址的装置,用于实现实施例一的配置隔离区的方法。该配置隔离区指向地址的装置可以集成在网关设备中。
如图3所示,为根据本实施例的配置隔离区指向地址的装置的结构示意图。该配置隔离区指向地址的装置包括:获取单元301、发送单元302和配置单元303。
其中,获取单元301用于获取预设的地址分配表中的第一地址;发送单元302用于向具有获取单元301获取到的第一地址的局域网设备发送检测包;配置单元303用于当接收到具有第一地址的局域网设备根据发送单元302发送的检测包返回的检测响应时,将第一地址作为隔离区指向地址配置到网关设备的WAN口地址栏中。
该配置隔离区指向地址的装置具体的操作方法与实施例一一致,在此不再赘述。
本实施例的配置隔离区指向地址的装置,通过发送检测包来检测哪一个局域网设备在线,并将该局域网的设备作为隔离区指向地址添加到网关设备的WAN口地址栏中,可以避免人工手动填写网关设备的WAN口地址栏,提高配置隔离区指向地址的效率。
可选地,如图4所示,本实施例的配置隔离区指向地址的装置还可以包括判断单元401,该判断单元401用于判断获取单元301所获取的第一地址是否已经被分配到局域网设备中,并当判断结果为是时,触发发送单元302。
实施例四
本实施例对实施例三的配置隔离区指向地址的装置做进一步解释说明。
可选地,当未接收到具有第一地址的局域网设备根据检测包返回的检测响应时,本实施例中的获取单元301还用于获取地址分配表的中的第二地址;发送单元302还用于向具有获取单元301获取到的第二地址的局域网设备发送检测包;配置单元303还用于当接收到具有第二地址的局域网设备根据发送单元302发送的检测包返回的检测响应时,将第二地址作为隔离区指向地址配置到网关设备的WAN口地址栏中。
本实施例的配置隔离区指向地址的装置的具体操作方法与实施例二一致,在此不再赘述。
根据本实施例的配置隔离区指向地址的装置,当检测到具有第一地址的局域网设备不在线时,接下来检测具有第二地址的局域网设备是否在线,直至检测到在线的局域网设备,并将该局域网设备的地址作为隔离区指向地址自动添加到网关设备的WAN口地址栏中,尽量避免了人工手动添加地址的繁琐步骤。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (3)
1.一种配置隔离区指向地址的方法,其特征在于,包括:
获取预设的地址分配表中的第一地址;
向具有所述第一地址的局域网设备发送检测包;
当接收到所述具有第一地址的局域网设备根据所述检测包返回的检测响应时,将所述第一地址作为隔离区指向地址配置到网关设备的WAN口地址栏中;
还包括:
当未接收到所述具有第一地址的局域网设备根据所述检测包返回的检测响应时,获取所述地址分配表的中的第二地址;
向具有所述第二地址的局域网设备发送检测包;
当接收到所述具有第二地址的局域网设备根据所述检测包返回的检测响应时,将所述第二地址作为隔离区指向地址配置到网关设备的WAN口地址栏中;
在所述获取预设的地址分配表中的第一地址之后,且在向具有第一地址的局域网设备发送检测包之前,还包括:
判断所述第一地址是否已经被分配到局域网设备中;
当判断结果为是时,执行所述向具有第一地址的局域网设备发送检测包的步骤。
2.根据权利要求1所述的配置隔离区指向地址的方法,其特征在于,所述检测包为ICMP检测包。
3.一种配置隔离区指向地址的装置,其特征在于,包括:
获取单元,用于获取预设的地址分配表中的第一地址;
发送单元,用于向具有所述第一地址的局域网设备发送检测包;
配置单元,用于当接收到所述具有第一地址的局域网设备根据所述检测包返回的检测响应时,将所述第一地址作为隔离区指向地址配置到网关设备的WAN口地址栏中;
当未接收到所述具有第一地址的局域网设备根据所述检测包返回的检测响应时,所述获取单元还用于获取所述地址分配表的中的第二地址;
所述发送单元还用于向具有所述第二地址的局域网设备发送检测包;
所述配置单元还用于当接收到所述具有第二地址的局域网设备根据所述检测包返回的检测响应时,将所述第二地址作为隔离区指向地址配置到网关设备的WAN口地址栏中。
还包括:
判断单元,用于判断所述第一地址是否已经被分配到局域网设备中,并当判断结果为是时,触发所述发送单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310521631.3A CN103546594B (zh) | 2013-10-29 | 2013-10-29 | 配置隔离区指向地址的方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310521631.3A CN103546594B (zh) | 2013-10-29 | 2013-10-29 | 配置隔离区指向地址的方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103546594A CN103546594A (zh) | 2014-01-29 |
| CN103546594B true CN103546594B (zh) | 2017-01-25 |
Family
ID=49969632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310521631.3A Active CN103546594B (zh) | 2013-10-29 | 2013-10-29 | 配置隔离区指向地址的方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103546594B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104158701A (zh) * | 2014-08-18 | 2014-11-19 | 中国联合网络通信集团有限公司 | 网关功能测试方法和装置 |
| CN104283982B (zh) * | 2014-10-21 | 2019-04-02 | 中国联合网络通信集团有限公司 | 一种dmz主机自动指向的方法、系统及网关 |
| CN105338130B (zh) * | 2015-11-17 | 2018-06-01 | 中国联合网络通信集团有限公司 | 配置隔离区指向地址的方法和系统及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102497361A (zh) * | 2011-12-06 | 2012-06-13 | 光庭导航数据(武汉)有限公司 | 抢修调度管理通讯系统及其搭建方法 |
| CN102571937A (zh) * | 2010-12-30 | 2012-07-11 | 卡巴斯基实验室封闭式股份公司 | 用于远程管理计算机网络的系统及方法 |
| CN102710518A (zh) * | 2012-05-31 | 2012-10-03 | 福建升腾资讯有限公司 | 广域网下实现nat穿透的方法及系统 |
| CN103313429A (zh) * | 2013-07-10 | 2013-09-18 | 江苏君立华域信息安全技术有限公司 | 一种识别伪造wifi热点的处理方法 |
-
2013
- 2013-10-29 CN CN201310521631.3A patent/CN103546594B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571937A (zh) * | 2010-12-30 | 2012-07-11 | 卡巴斯基实验室封闭式股份公司 | 用于远程管理计算机网络的系统及方法 |
| CN102497361A (zh) * | 2011-12-06 | 2012-06-13 | 光庭导航数据(武汉)有限公司 | 抢修调度管理通讯系统及其搭建方法 |
| CN102710518A (zh) * | 2012-05-31 | 2012-10-03 | 福建升腾资讯有限公司 | 广域网下实现nat穿透的方法及系统 |
| CN103313429A (zh) * | 2013-07-10 | 2013-09-18 | 江苏君立华域信息安全技术有限公司 | 一种识别伪造wifi热点的处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103546594A (zh) | 2014-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9847965B2 (en) | Asset detection system | |
| CN102075347B (zh) | 一种安全配置核查设备和方法以及采用该设备的网络系统 | |
| CN104717107B (zh) | 网络设备探测的方法、装置及系统 | |
| EP2837157B1 (en) | Network address repository management | |
| CN102884764B (zh) | 一种报文接收方法、深度包检测设备及系统 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| WO2013155344A1 (en) | System asset repository management | |
| CN104967609A (zh) | 内网开发服务器访问方法、装置及系统 | |
| CN102571729A (zh) | Ipv6网络接入认证方法、装置及系统 | |
| CN103546594B (zh) | 配置隔离区指向地址的方法与装置 | |
| CN107613037A (zh) | 一种域名重定向方法和系统 | |
| CN106789535A (zh) | Ssl vpn的ip接入方法及装置 | |
| CN107666473A (zh) | 一种攻击检测的方法及控制器 | |
| CN103535015B (zh) | 公网地址资源的管理方法、端口控制协议服务器及客户端 | |
| CN106470253A (zh) | Ip地址回收方法和装置 | |
| CN103747115A (zh) | 基于虚拟网卡的虚拟机ip地址发现方法 | |
| CN102025797A (zh) | 地址前缀处理方法、装置、系统及网络设备 | |
| CN107547674A (zh) | 地址分配方法和装置 | |
| CN103281288B (zh) | 一种手机防火墙系统及方法 | |
| CN106506640B (zh) | 一种snmp请求的处理方法及装置 | |
| CN104283982B (zh) | 一种dmz主机自动指向的方法、系统及网关 | |
| CN107391714A (zh) | 一种截图方法、截图服务器、截图服务系统及介质 | |
| CN105959248B (zh) | 报文访问控制的方法及装置 | |
| CN103561025B (zh) | 防dos攻击能力检测方法、装置和系统 | |
| CN105827615A (zh) | 一种Smart Rack防止DDOS攻击的优化方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |