CN104202444B - 一种外部访问控制方法、网关及dns服务器 - Google Patents

一种外部访问控制方法、网关及dns服务器 Download PDF

Info

Publication number
CN104202444B
CN104202444B CN201410504935.3A CN201410504935A CN104202444B CN 104202444 B CN104202444 B CN 104202444B CN 201410504935 A CN201410504935 A CN 201410504935A CN 104202444 B CN104202444 B CN 104202444B
Authority
CN
China
Prior art keywords
address
domain name
dns
interaction time
dns server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410504935.3A
Other languages
English (en)
Other versions
CN104202444A (zh
Inventor
凌灵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Bobai Information Technology Co.,Ltd.
Original Assignee
Shanghai Feixun Data Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feixun Data Communication Technology Co Ltd filed Critical Shanghai Feixun Data Communication Technology Co Ltd
Priority to CN201410504935.3A priority Critical patent/CN104202444B/zh
Publication of CN104202444A publication Critical patent/CN104202444A/zh
Application granted granted Critical
Publication of CN104202444B publication Critical patent/CN104202444B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种外部访问控制方法、网关及DNS服务器,用以接收URL格式的网络访问受限对象的配置并判断网络访问受限对象的类型;当类型为IP地址时,生成与IP地址相对应的IP数据包过滤规则;当类型为域名时,生成与域名相对应的IP数据包过滤规则,并在网关的本地缓存中或者DNS服务器中查找与域名相对应的IP地址,并根据查找结果生成与IP地址相对应的IP数据包过滤规则。本发明在网关部分分别针对不同的网关实现网络访问受限对象的域名和IP地址的同步控制,保证控制的有效性、全面性、以及灵活性。

Description

一种外部访问控制方法、网关及DNS服务器
技术领域
本发明涉及网络通信领域,特别是涉及一种外部访问控制方法、网关及DNS服务器。
背景技术
URL,也被称为网页地址,是因特网上标准的资源地址,用于完整地描述Internet上网页和其他资源的地址的一种标识方法。Internet上的每一个网页都具有一个唯一的URL地址名称标识,通常称之为URL地址,这种地址可以是本地磁盘,也可以是局域网上的某一台计算机,更多的是Internet上的站点。简单得说,URL就是Web地址,俗称“网址”。
URL过滤是现在防火墙的一个重要的访问控制方法,URL控制基本限制在域名级别。这样带来的问题就是,在访问前先使用IP地址解析工具解析出IP地址后再用IP地址访问,这样URL域名过滤就会失效,不能同时对域名和IP地址进行过滤。其二,即使域名限制成立,但等URL重组完,再识别,再强行断开连接,对系统,包括客户端、服务器和防火墙的资源都是很大的一种浪费。
针对URL过滤在技术上的缺陷,出现了DNS过滤。DNS过滤就是在域名解析时就进行限制,客户端发来的域名解析请求包中包含有域名,可以提取出来进行分析判断。一般域名请求使用的是UDP(User Datagram Protocol,用户数据报协议)包,UDP包中包含了域名信息,不需要通过重组来分离域名信息。DNS过滤虽然可以对域名对应的所有服务进行全面的限制,没有IP访问的漏洞,但DNS过滤不能做到像URL过滤那样,可以将过滤限制到文件级别的粒度。而且,DNS过滤是在DNS服务器上运行的,这点若在大型网络中进行配置是极为不灵活的。在大型社区网络中,多台网关,即客户端,对应一台DNS服务器,如果在DNS服务器上进行DNS过滤,必然会影响到多台客户端,即一条DNS过滤规则会对所有的客户端生效,若要对不同的客户端进行分别的访问控制,那在DNS服务器上就无法实现。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种外部访问控制方法、网关、及DNS服务器,用于解决现有技术中不能有效的分别争对不同的网关同时进行其网络访问限制对象的域名和IP地址的访问控制的问题。
为实现上述目的及其他相关目的,本发明提供一种外部访问控制方法,一种外部访问控制方法,包括如下步骤:接收URL格式的网络访问受限对象的配置;判断所述网络访问受限对象的类型;当所述类型为IP地址时,生成与所述IP地址相对应的第一IP数据包过滤规则;当所述类型为域名时,生成与所述域名相对应的第二IP数据包过滤规则,并查找本地缓存中是否存在与所述域名相对应的IP地址,若存在,提取所述IP地址,生成与所述本地缓存中提取的IP地址相对应的第三IP数据包过滤规则;若不存在,执行以下步骤:与预设的DNS服务器进行一次正常的报文交互,获取第一交互时间;向所述DNS服务器发送与所述域名相对应的DNS查询报文,用以查询与所述域名相对应的IP地址;获取所述DNS服务器反馈的DNS响应报文,计算与所述DNS服务器交互的第二交互时间,当所述第二交互时间小于所述第一交互时间时,丢弃所述DNS响应报文;当所述第二交互时间大于或等于所述第一交互时间时,提取所述DNS响应报文中的所述IP地址,将所述IP地址保存至所述本地缓存中,且生成与从所述DNS响应报文中提取的所述IP地址相对应的第四IP数据包过滤规则。
可选的,所述外部访问控制方法还包括设置向所述DNS服务器发送所述DNS查询报文的次数阈值;向所述DNS服务器发送与所述域名相对应的DNS查询报文后,记录所述DNS查询报文发送次数;当由于所述第二交互时间小于所述第一交互时间而丢弃所述DNS响应报文后,判断所述DNS查询报文发送次数是否大于所述次数阈值,当判断结果为是时,返回查询失败信息,不对所述域名对应的所述IP地址进行过滤;当判断结果为否时,重新向所述DNS服务器发送与所述域名相对应的DNS查询报文。
本发明还提供一种网关,包括:过滤对象配置模块,用以接收URL格式的网络访问受限对象的配置;过滤对象类型判断模块,用以判断接收到的所述网络访问受限对象的类型;过滤规则生成模块,与所述过滤对象类型判断模块连接,当所述网络访问受限对象的类型为IP地址时,生成与所述IP地址相对应的第一IP数据包过滤规则;当所述网络访问受限对象的类型为域名时,生成与所述域名相对应的第二IP数据包过滤规则,并查找与所述域名相对应的IP地址,根据查找结果生成与所述IP地址相对应的第三IP数据包过滤规则;IP地址查询模块,当所述网络访问受限对象的类型为域名时,查找本地缓存中是否存在与所述域名相对应的IP地址,若是,向所述过滤规则生成模块返回所述IP地址;若否,与预设的DNS服务器进行一次正常的报文交互,获取第一交互时间;向所述DNS服务器发送与所述域名相对应的DNS查询报文,用以查询与所述域名相对应的IP地址;获取所述DNS服务器反馈的DNS响应报文,计算与所述DNS服务器交互的第二交互时间,当所述第二交互时间小于所述第一交互时间时,丢弃所述DNS响应报文;当所述第二交互时间大于或等于所述第一交互时间时,提取所述DNS响应报文中的所述IP地址,将所述IP地址保存至所述本地缓存中,并将所述IP地址向所述过滤规则生成模块进行反馈。
可选的,所述IP地址查询模块还包括查询次数阈值设定模块,用以设置向所述DNS服务器发送与所述域名相对应的DNS查询报文的次数阈值;所述IP地址查询模块还包括查询次数计数模块,用以当向所述DNS服务器发送与所述域名相对应的DNS查询报文时,自动加一进行发送次数的累计;所述IP地址查询模块还包括查询次数判断模块,用以根据所述查询次数计数模块的记录结果判断所述DNS查询报文发送次数是否大于所述次数阈值,当判断结果为是时,返回查询失败信息,不对所述域名对应的所述IP地址进行过滤;当判断结果为否时,重新向所述DNS服务器发送所述DNS查询报文。
本发明还提供一种DNS服务器,包括:IP地址查找模块,用以根据接收到的携带有域名信息的DNS查询报文查找与所述域名相对应的IP地址;报文交互模块,用以与外部设备进行正常的报文交互以供计算出第一交互时间,且根据所述IP地址查找模块的查找结果反馈携带有所述IP地址信息的DNS响应报文并以供计算出第二交互时间;其中,所述第一交互时间及第二交互时间用于供所述外部设备在所述第二交互时间大于或等于所述第一交互时间时,提取所述DNS响应报文中的所述IP地址并保存至所述外部设备本地缓存中,且生成与所述IP地址相对应的IP数据包过滤规则。
可选的,所述DNS服务器还包括阈值设定模块,用以设定所述IP地址查找模块的查找时间阈值,当查找时间大于预设的所述时间阈值时,查找结束,并向所述外部设备反馈查找失败信息。
如上所述,本发明的一种外部访问控制方法、网关、及DNS服务器,在网关部分分别针对不同的网关实现网络访问受限对象的域名和IP地址的同步控制,保证控制的有效性、全面性、以及灵活性。
附图说明
图1显示为本发明的一种外部访问控制方法在一具体实施例中的步骤流程示意图。
图2显示为应用本发明的一种外部访问控制方法的一具体实施例的系统架构示意图。
图3显示为本发明的一种网关的IP地址查询模块在一具体实施例中的模块结构示意图。
图4显示为本发明的一种DNS服务器在一具体实施例中的模块结构示意图。
图5显示为本发明的一种网关在一具体实施例中的模块结构示意图。
元件标号说明
1 网关
11 过滤对象配置模块
12 过滤对象类型判断模块
13 过滤规则生成模块
14 IP地址查询模块
141 查询次数阈值设定模块
142 查询次数计数模块
143 查询次数判断模块
2 DNS服务器
21 IP地址查找模块
22 报文交互模块
S101~S112 步骤
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
请参阅图1至图5。须知,本说明书所附图式所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。同时,本说明书中所引用的如“上”、“下”、“左”、“右”、“中间”及“一”等的用语,亦仅为便于叙述的明了,而非用以限定本发明可实施的范围,其相对关系的改变或调整,在无实质变更技术内容下,当亦视为本发明可实施的范畴。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图示中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
请参阅图1,显示为本发明提供的一种外部访问控制方法在一具体实施例中的步骤流程示意图,本发明中所述外部访问控制方法可以应用于如图2所示的应用本发明的一种外部访问控制方法的一具体实施例的系统架构中,所述远程控制终端对所有的网关进行监控和配置,用于向特定的网关下发网络访问受限对象,每个网关都与一预设的DNS服务器通信,所述远程控制终端例如为电信或移动等运营商提供的远程控制设备,又例如为智能手机或者个人电脑等电子设备。所述远程控制终端主要用于监控网关,按需要下发相关配置,例如网络访问受限对象的配置和下发。所述DNS服务器即计算机域名系统,是由域名解析器和域名服务器组成的。所述域名服务器中保存有该网络中所有主机的域名和对应IP地址,所述域名解析器可以将域名转换为其相对应的IP地址。
如图1中所示,所述外部访问控制方法,包括如下步骤:
S101:接收URL格式的网络访问受限对象的配置;具体的为,接收所述远程控制终端下发的URL格式的网络访问受限对象,用以生成URL黑名单。URL(Uniform ResourceLocator,统一资源定位符)是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示,是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL,它包含的信息可以指出文件的位置。
S102:判断所述网络访问受限对象的类型;于本实施例中,所述网络访问受限对象的类型为IP地址和域名。
S103:当所述网络访问受限对象的类型为IP地址时,生成与所述IP地址相对应的 第一IP数据包过滤规则;于本实施例中,所述第一IP数据包过滤规则为与所述IP地址相对 应的iptables规则,iptables是与Linux内核集成的IP信息包过滤工具,它使插入、修改和 除去信息包过滤表中的规则变得容易,可以定制用户自定义的规则来满足用户的特定需 求。所述网络访问受限对象的类型为IP地址时,生成与所述IP地址相对应的iptables规则, 用来限制对所述IP地址的访问。
S104:当所述类型为域名时,生成与所述域名相对应的第二IP数据包过滤规则,于 本实施例中,所述第二IP数据包过滤规则例如为与所述域名相对应的iptables规则,用来 限制对所述域名的访问。
S105:查找本地缓存中是否存在与所述域名相对应的IP地址,若存在,则执行步骤 S106,即提取所述IP地址,生成与所述本地缓存中提取的IP地址相对应的第三IP数据包过 滤规则;于本实施例中,所述第三IP数据包过滤规则例如为与所述本地缓存中提取的IP地 址相对应的iptables规则,若不存在,执行以下步骤:
S107:与预设的DNS服务器进行一次正常的报文交互,获取第一交互时间;所述第一交互时间即与一预设的DNS服务器进行正常交互的正常交互时间。
S108:向所述DNS服务器发送与所述域名相对应的DNS查询报文,用以查询与所述域名相对应的IP地址。
S109:获取所述DNS服务器反馈的DNS响应报文,计算与所述DNS服务器交互的第二交互时间。
S110:判断所述第二交互时间是否小于所述第一交互时间;即将向所述DNS服务器发送DNS查询报文到接收所述DNS服务器的DNS响应报文所形成的第二交互时间与所述正常的交互时间进行比较,当所述第二交互时间小于所述第一交互时间时,即说明所接收的所述DNS响应报文为不可信任的报文,执行步骤S111,当所述第二交互时间大于或等于所述第一交互时间时,即说明所接收的所述DNS响应报文为可信任的报文,则执行步骤S112。
S111:丢弃所述DNS响应报文;即当DNS响应报文为不可信任的报文时,丢弃所述DNS响应报文。
S112:当所述第二交互时间大于或等于所述第一交互时间时,即所接收的所述DNS 响应报文为可信任的报文时,提取所述DNS响应报文中的所述IP地址,将所述IP地址保存至 所述本地缓存中,且生成与从所述DNS响应报文中提取的所述IP地址相对应的第四IP数据 包过滤规则,于本实施例中,所述第四IP数据包过滤规则例如为与从所述DNS响应报文中提 取的所述IP地址相对应的iptables规则。
这样,当所述受限访问对象的类型为IP地址时,直接生成与所述IP地址相对应的第一IP数据包过滤规则;当所述受限访问对象的类型为域名时,先生成与所述域名相对应的第二IP数据包过滤规则,并在本地缓存中查找与所述域名相对应的IP地址,当所述本地缓存中存在与所述域名相对应的IP地址时,生成与所述IP地址相对应的第三IP数据包过滤规则,当所述缓存中不存在与所述域名相对应的IP地址时,在DNS服务器中进行查找,并接收所述DNS服务器反馈的查找结果,并根据查找结果,生成与所述IP地址相对应的第四IP数据包过滤规则,于本具体实施例中,所述第一IP数据包过滤规则独立存在,即当生成所述第一IP数据包过滤规则时,其他三个IP数据包过滤规则则不存在,所述第二IP数据包过滤规则可以与所述第三IP数据包过滤规则或者所述第四IP数据包规则同时存在,所述第三IP数据报规则与所述第四IP数据包规则互斥存在。本具体实施例中的一种外部访问控制方法满足用户同时实现对网络访问受限对象的域名以及与域名相对应的IP地址的访问限制,保证网络访问控制的有效性、全面性、以及灵活性。
于另一优选实施例中,与上述实施例不同的是,所述外部访问控制方法还包括以下步骤:设置向所述DNS服务器发送所述DNS查询报文的次数阈值;向所述DNS服务器发送与所述域名相对应的DNS查询报文后,记录所述DNS查询报文发送次数;当由于所述第二交互时间小于所述第一交互时间而丢弃所述DNS响应报文后,判断所述DNS查询报文发送次数是否大于所述次数阈值,当判断结果为是时,返回查询失败信息,不对所述域名对应的所述IP地址进行过滤;当判断结果为否时,重新向所述DNS服务器发送与所述域名相对应的DNS查询报文。
本发明的外部访问控制方法,在网关部分分别针对不同的网关实现网络访问受限对象的域名和IP地址的同步控制,保证控制的有效性、全面性、以及灵活性。
本发明还提供一种网关,应用在藉由所述网关、远程控制终端及DNS服务器构成的系统架构中,所述远程控制终端对所有的网关进行监控和配置,用于向特定的网关下发网络访问受限对象,每个网关都与一预设的DNS服务器通信,所述远程控制终端例如为电信或移动等运营商提供的远程控制设备,又例如为智能手机或者个人电脑等电子设备。所述远程控制终端主要用于监控网关,按需要下发相关配置,例如网络访问受限对象的配置和下发。所述DNS服务器即计算机域名系统,是由域名解析器和域名服务器组成的。所述域名服务器中保存有该网络中所有主机的域名和对应IP地址,所述域名解析器可以将域名转换为其相对应的IP地址。
请参阅图3,显示为本发明的一种网关在一具体实施例中的模块结构示意图,所述网关1,包括:过滤对象配置模块11、过滤对象类型判断模块12、过滤规则生成模块13、以及IP地址查询模块14。
所述过滤对象配置模块11用以接收URL格式的网络访问受限对象的配置;于本实施例中,所述过滤对象配置模块11接收远程控制终端下发的所述网络访问受限对象的配置,所述远程控制终端例如为电信或移动等运营商提供的远程控制设备,又例如为智能手机或者个人电脑等电子设备。
所述过滤对象类型判断模块12用以判断接收到的所述网络访问受限对象的类型。
所述过滤规则生成模块13与所述过滤对象类型判断模块12连接,当所述网络访问 受限对象的类型为IP地址时,生成与所述IP地址相对应的第一IP数据包过滤规则;于本实 施例中,所述第一IP数据包过滤规则为与所述IP地址相对应的iptables规则,iptables是 与Linux内核集成的IP信息包过滤工具,它使插入、修改和除去信息包过滤表中的规则变得 容易,可以定制用户自定义的规则来满足用户的特定需求。所述网络访问受限对象的类型 为IP地址时,生成与所述IP地址相对应的iptables规则,用来限制对所述IP地址的访问。当 所述网络访问受限对象的类型为域名时,生成与所述域名相对应的第二IP数据包过滤规 则,于本实施例中,所述第二IP数据包过滤规则例如为与所述域名相对应的iptables规则, 用来限制对所述域名的访问。并查找与所述域名相对应的IP地址,根据查找结果生成与所 述IP地址相对应的第三IP数据包过滤规则;于本实施例中,所述第三IP数据包过滤规则为 根据查找结果而生成与所述IP地址相对应的iptables规则。
所述IP地址查询模块14用以当所述网络访问受限对象的类型为域名时,使所述过滤规则生成模块13生成所述第三IP数据包过滤规则,具体为,查找所述网关1的本地缓存中是否存在与所述域名相对应的IP地址,若是,向所述过滤规则生成模块返回所述IP地址;若否,与预设的DNS服务器进行一次正常的报文交互,获取第一交互时间;向所述DNS服务器发送与所述域名相对应的DNS查询报文,用以查询与所述域名相对应的IP地址;获取所述DNS服务器反馈的DNS响应报文,计算与所述DNS服务器交互的第二交互时间,当所述第二交互时间小于所述第一交互时间时,即说明所接收的所述DNS响应报文为不可信任的报文,丢弃所述DNS响应报文;当所述第二交互时间大于或等于所述第一交互时间时,即说明所接收的所述DNS响应报文为可信任的报文,提取所述DNS响应报文中的所述IP地址,将所述IP地址保存至所述网关1的所述本地缓存中,并将所述IP地址向所述过滤规则生成模块13进行反馈。
这样,当所述网关1接收到的所述受限访问对象的类型为IP地址时,直接生成与所述IP地址相对应的第一IP数据包过滤规则;当所述受限访问对象的类型为域名时,先生成与所述域名相对应的第二IP数据包过滤规则,并在所述网关1的本地缓存中查找与所述域名相对应的IP地址,根据查找结果生成与所述IP地址相对应的第三IP数据包过滤规则,所述第一IP数据包过滤规则独立存在,即当生成所述第一IP数据包过滤规则时,其他两个IP数据包过滤规则则不存在,所述第二IP数据包过滤规则可以与所述第三IP数据包过滤规则同时存在,所述第三IP数据包过滤规则包含两种情况,即当所述网关1的本地缓存中存在与所述域名相对应的IP地址时,生成与所述IP地址相对应的第三IP数据包过滤规则,当所述本地缓存中不存在与所述域名相对应的IP地址时,在DNS服务器中进行查找,并接收所述DNS服务器反馈的查找结果,并根据查找结果,生成与所述IP地址相对应的第三IP数据包过滤规则,且两种所述第三IP数据包过滤规则为互斥存在。所以本具体实施例中的所述网关1可以满足用户同时实现对网络访问受限对象的域名以及与域名相对应的IP地址的访问限制,保证网络访问控制的有效性、全面性、以及灵活性。
于另一具体实施例中,如图4所示,显示为本发明的一种网关的IP地址查询模块在一具体实施例中的模块结构示意图。所述网关1的所述IP地址查询模块14还包括查询次数阈值设定模块141、查询次数计数模块142、以及查询次数判断模块143。
所述查询次数阈值设定模块141用以设置向所述DNS服务器发送与所述域名相对应的DNS查询报文的次数阈值。
所述查询次数计数模块142用以当向所述DNS服务器发送与所述域名相对应的DNS查询报文时,自动加一进行发送次数的累计,于具体实施例中,所述查询次数计数模块142可以为软件计数模块,也可以为硬件的计数器。
所述查询次数判断模块143用以根据所述查询次数计数模块的记录结果判断所述DNS查询报文发送次数是否大于所述次数阈值,当判断结果为是时,返回查询失败信息,不对所述域名对应的所述IP地址进行过滤;当判断结果为否时,重新向所述DNS服务器发送所述DNS查询报文。
本发明在网关部分分别针对不同的网关实现网络访问受限对象的域名和IP地址的同步控制,保证控制的有效性、全面性、以及灵活性。
本发明还提供一种DNS服务器,应用在藉由网关、远程控制终端及所述DNS服务器构成的系统架构中,所述远程控制终端对所有的网关进行监控和配置,用于向特定的网关下发网络访问受限对象,每个网关都与一预设的DNS服务器通信,所述远程控制终端例如为电信或移动等运营商提供的远程控制设备,又例如为智能手机或者个人电脑等电子设备。所述远程控制终端主要用于监控网关,按需要下发相关配置,例如网络访问受限对象的配置和下发。所述DNS服务器即计算机域名系统,是由域名解析器和域名服务器组成的。所述域名服务器中保存有该网络中所有主机的域名和对应IP地址,所述域名解析器可以将域名转换为其相对应的IP地址。
请参阅图5,显示为本发明的一种DNS服务器在一具体实施例中的模块结构示意图。所述DNS服务器2包括IP地址查找模块21以及报文交互模块22。
所述IP地址查找模块21用以根据接收到的携带有域名信息的DNS查询报文查找与所述域名相对应的IP地址。
所述报文交互模块22用以与外部设备进行正常的报文交互以供计算出第一交互时间,与本具体实施例中,所述外部设备为网关,且根据所述IP地址查找模块21的查找结果反馈携带有所述IP地址信息的DNS响应报文并以供所述网关计算出与所述DNS服务器之间交互的第二交互时间。具体为所述网关与预设的DNS服务器2进行一次正常的报文交互,获取第一交互时间;所述网关向所述DNS服务器2发送与所述域名相对应的DNS查询报文,获取所述DNS服务器2反馈的DNS响应报文,计算与所述DNS服务器2交互的第二交互时间。
其中,所述第一交互时间及第二交互时间用于供所述网关在所述第二交互时间大于或等于所述第一交互时间时,提取所述DNS响应报文中的所述IP地址并保存至所述网关的本地缓存中,且生成与所述IP地址相对应的IP数据包过滤规则,即说明所述第二交互时间大于或等于所述第一交互时间时,所述DNS响应报文为可信任的报文。
综上所述,本发明的一种外部访问控制方法、网关及DNS服务器,在网关部分分别针对不同的网关实现网络访问受限对象的域名和IP地址的同步控制,保证控制的有效性、全面性、以及灵活性。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。

Claims (10)

1.一种外部访问控制方法,其特征在于,包括如下步骤:
接收URL格式的网络访问受限对象的配置;
判断所述网络访问受限对象的类型;
当所述类型为IP地址时,生成与所述IP地址相对应的第一IP数据包过滤规则;当所述类型为域名时,生成与所述域名相对应的第二IP数据包过滤规则,并查找本地缓存中是否存在与所述域名相对应的IP地址,若存在,提取所述IP地址,生成与所述本地缓存中提取的IP地址相对应的第三IP数据包过滤规则;
若不存在,执行以下步骤:
与预设的DNS服务器进行一次正常的报文交互,获取第一交互时间;
向所述DNS服务器发送与所述域名相对应的DNS查询报文,用以查询与所述域名相对应的IP地址;
获取所述DNS服务器反馈的DNS响应报文,计算与所述DNS服务器交互的第二交互时间,当所述第二交互时间小于所述第一交互时间时,丢弃所述DNS响应报文;当所述第二交互时间大于或等于所述第一交互时间时,提取所述DNS响应报文中的所述IP地址,将所述IP地址保存至所述本地缓存中,且生成与从所述DNS响应报文中提取的所述IP地址相对应的第四IP数据包过滤规则。
2.根据权利要求1所述的外部访问控制方法,其特征在于:还包括设置向所述DNS服务器发送所述DNS查询报文的次数阈值。
3.根据权利要求2所述的外部访问控制方法,其特征在于:向所述DNS服务器发送与所述域名相对应的DNS查询报文后,记录所述DNS查询报文发送次数。
4.根据权利要求3所述的外部访问控制方法,其特征在于:当由于所述第二交互时间小于所述第一交互时间而丢弃所述DNS响应报文后,判断所述DNS查询报文发送次数是否大于所述次数阈值,当判断结果为是时,返回查询失败信息,不对所述域名对应的所述IP地址进行过滤;当判断结果为否时,重新向所述DNS服务器发送与所述域名相对应的DNS查询报文。
5.一种网关,其特征在于,包括:
过滤对象配置模块,用以接收URL格式的网络访问受限对象的配置;
过滤对象类型判断模块,用以判断接收到的所述网络访问受限对象的类型;
过滤规则生成模块,与所述过滤对象类型判断模块连接,当所述网络访问受限对象的类型为IP地址时,生成与所述IP地址相对应的第一IP数据包过滤规则;当所述网络访问受限对象的类型为域名时,生成与所述域名相对应的第二IP数据包过滤规则,并查找与所述域名相对应的IP地址,根据查找结果生成与所述IP地址相对应的第三IP数据包过滤规则;
IP地址查询模块,当所述网络访问受限对象的类型为域名时,查找本地缓存中是否存在与所述域名相对应的IP地址,若是,向所述过滤规则生成模块返回所述IP地址;若否,与预设的DNS服务器进行一次正常的报文交互,获取第一交互时间;向所述DNS服务器发送与所述域名相对应的DNS查询报文,用以查询与所述域名相对应的IP地址;获取所述DNS服务器反馈的DNS响应报文,计算与所述DNS服务器交互的第二交互时间,当所述第二交互时间小于所述第一交互时间时,丢弃所述DNS响应报文;当所述第二交互时间大于或等于所述第一交互时间时,提取所述DNS响应报文中的所述IP地址,将所述IP地址保存至所述本地缓存中,并将所述IP地址向所述过滤规则生成模块进行反馈。
6.根据权利要求5所述的网关,其特征在于:所述IP地址查询模块还包括查询次数阈值设定模块,用以设置向所述DNS服务器发送与所述域名相对应的DNS查询报文的次数阈值。
7.根据权利要求6所述的网关,其特征在于:所述IP地址查询模块还包括查询次数计数模块,用以当向所述DNS服务器发送与所述域名相对应的DNS查询报文时,自动加一进行发送次数的累计。
8.根据权利要求7所述的网关,其特征在于:所述IP地址查询模块还包括查询次数判断模块,用以根据所述查询次数计数模块的记录结果判断所述DNS查询报文发送次数是否大于所述次数阈值,当判断结果为是时,返回查询失败信息,不对所述域名对应的所述IP地址进行过滤;当判断结果为否时,重新向所述DNS服务器发送所述DNS查询报文。
9.一种DNS服务器,其特征在于,包括:
IP地址查找模块,用以根据接收到的携带有域名信息的DNS查询报文查找与所述域名相对应的IP地址;
报文交互模块,用以与外部设备进行正常的报文交互以供计算出第一交互时间,且根据所述IP地址查找模块的查找结果反馈携带有所述IP地址信息的DNS响应报文并以供计算出第二交互时间;
其中,所述第一交互时间及第二交互时间用于供所述外部设备在所述第二交互时间大于或等于所述第一交互时间时,提取所述DNS响应报文中的所述IP地址并保存至所述外部设备本地缓存中,且生成与所述IP地址相对应的IP数据包过滤规则。
10.根据权利要求9所述的DNS服务器,其特征在于,还包括阈值设定模块,用以设定所述IP地址查找模块的查找时间阈值,当查找时间大于预设的所述时间阈值时,查找结束,并向所述外部设备反馈查找失败信息。
CN201410504935.3A 2014-09-26 2014-09-26 一种外部访问控制方法、网关及dns服务器 Active CN104202444B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410504935.3A CN104202444B (zh) 2014-09-26 2014-09-26 一种外部访问控制方法、网关及dns服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410504935.3A CN104202444B (zh) 2014-09-26 2014-09-26 一种外部访问控制方法、网关及dns服务器

Publications (2)

Publication Number Publication Date
CN104202444A CN104202444A (zh) 2014-12-10
CN104202444B true CN104202444B (zh) 2017-11-28

Family

ID=52087669

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410504935.3A Active CN104202444B (zh) 2014-09-26 2014-09-26 一种外部访问控制方法、网关及dns服务器

Country Status (1)

Country Link
CN (1) CN104202444B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506520B (zh) * 2016-11-24 2019-09-20 迈普通信技术股份有限公司 一种基于单点登录的认证方法及装置
CN108023877B (zh) * 2017-11-20 2020-10-30 烽火通信科技股份有限公司 一种基于家庭网关实现防火墙域名控制的系统方法
CN109167758B (zh) * 2018-08-07 2021-07-23 新华三技术有限公司 一种报文处理方法及装置
CN111953702B (zh) * 2020-08-19 2022-11-22 深信服科技股份有限公司 一种网络访问的控制方法及相关装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101312458A (zh) * 2008-05-15 2008-11-26 吕晓东 一种快速针对网站内容访问控制的方法
CN101692639A (zh) * 2009-09-15 2010-04-07 西安交通大学 一种基于url的不良网页识别方法
CN101814086A (zh) * 2010-02-05 2010-08-25 山东师范大学 一种基于模糊遗传算法的中文web信息过滤方法
CN102724189A (zh) * 2012-06-06 2012-10-10 杭州华三通信技术有限公司 一种控制用户url访问的方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9654495B2 (en) * 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101312458A (zh) * 2008-05-15 2008-11-26 吕晓东 一种快速针对网站内容访问控制的方法
CN101692639A (zh) * 2009-09-15 2010-04-07 西安交通大学 一种基于url的不良网页识别方法
CN101814086A (zh) * 2010-02-05 2010-08-25 山东师范大学 一种基于模糊遗传算法的中文web信息过滤方法
CN102724189A (zh) * 2012-06-06 2012-10-10 杭州华三通信技术有限公司 一种控制用户url访问的方法及装置

Also Published As

Publication number Publication date
CN104202444A (zh) 2014-12-10

Similar Documents

Publication Publication Date Title
CN103825895B (zh) 一种信息处理方法及电子设备
CN104202444B (zh) 一种外部访问控制方法、网关及dns服务器
CN102843357B (zh) 访问网络的方法、应用服务器及系统
CN101827040B (zh) 信息转换装置、信息转换方法、信息转换程序及中继装置
CN105359487B (zh) 通过网络浏览器中的uri去引用监控nat行为的方法
CN104052832B (zh) 设置域名解析服务器的ip地址的方法、装置及服务器
CN105228140B (zh) 一种数据访问方法及装置
CN103297270A (zh) 应用类型识别方法及网络设备
CN108259425A (zh) 攻击请求的确定方法、装置及服务器
CN106453216A (zh) 恶意网站拦截方法、装置及客户端
CN108650211A (zh) 一种dns劫持的检测方法和装置
CN104486349B (zh) 网站强制访问方法
CN108923974A (zh) 一种物联网资产指纹识别方法及系统
CN106067879B (zh) 信息的检测方法及装置
CN108282455A (zh) 网页请求方法、装置及域名信息解析结果处理方法、装置
CN105354249B (zh) 多账号关联方法、装置及电子设备
CN105516390A (zh) 域名管理的方法和装置
EP3465986B1 (en) Method and system for augmenting network traffic flow reports
CN104202418B (zh) 为内容提供商推荐商业的内容分发网络的方法和系统
CN101599857A (zh) 检测共享接入主机数目的方法、装置及网络检测系统
CN107592291A (zh) 一种ip地址检测方法、系统、装置及电子设备
CN106411819A (zh) 一种识别代理互联网协议地址的方法及装置
CN108023877A (zh) 一种基于家庭网关实现防火墙域名控制的系统方法
CN109710329A (zh) 网页页面渲染方法、装置及终端设备
CN102223266A (zh) 一种协议代理检测方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201116

Address after: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee after: Hangzhou Jiji Intellectual Property Operation Co.,Ltd.

Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666

Patentee before: Phicomm (Shanghai) Co.,Ltd.

TR01 Transfer of patent right

Effective date of registration: 20211130

Address after: 313000 room 1019, Xintiandi commercial office, Yishan street, Wuxing District, Huzhou, Zhejiang, China

Patentee after: Huzhou YingLie Intellectual Property Operation Co.,Ltd.

Address before: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee before: Hangzhou Jiji Intellectual Property Operation Co.,Ltd.

TR01 Transfer of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: An External Access Control Method, Gateway and DNS Server

Effective date of registration: 20221205

Granted publication date: 20171128

Pledgee: Huzhou Wuxing Rural Commercial Bank Co.,Ltd. high tech Zone Green sub branch

Pledgor: Huzhou YingLie Intellectual Property Operation Co.,Ltd.

Registration number: Y2022330003458

PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20231205

Granted publication date: 20171128

Pledgee: Huzhou Wuxing Rural Commercial Bank Co.,Ltd. high tech Zone Green sub branch

Pledgor: Huzhou YingLie Intellectual Property Operation Co.,Ltd.

Registration number: Y2022330003458

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240407

Address after: No. 27, Group 5, Zhailiqiao Village, Taoyuan Town, Wujiang District, Suzhou City, Jiangsu Province, 215000

Patentee after: Zhuang Wei

Country or region after: China

Address before: 313000 room 1019, Xintiandi commercial office, Yishan street, Wuxing District, Huzhou, Zhejiang, China

Patentee before: Huzhou YingLie Intellectual Property Operation Co.,Ltd.

Country or region before: China

TR01 Transfer of patent right

Effective date of registration: 20240510

Address after: No. 700 Xingcun Road, Xinhai Town, Chongming District, Shanghai, 200000 (Shanghai Xinhai Economic Development Zone)

Patentee after: Shanghai Bobai Information Technology Co.,Ltd.

Country or region after: China

Address before: No. 27, Group 5, Zhailiqiao Village, Taoyuan Town, Wujiang District, Suzhou City, Jiangsu Province, 215000

Patentee before: Zhuang Wei

Country or region before: China