CN105610809B - 网络准入控制的方法、装置及系统 - Google Patents

网络准入控制的方法、装置及系统 Download PDF

Info

Publication number
CN105610809B
CN105610809B CN201510981418.XA CN201510981418A CN105610809B CN 105610809 B CN105610809 B CN 105610809B CN 201510981418 A CN201510981418 A CN 201510981418A CN 105610809 B CN105610809 B CN 105610809B
Authority
CN
China
Prior art keywords
management strategy
server
website server
request
website
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510981418.XA
Other languages
English (en)
Other versions
CN105610809A (zh
Inventor
王院生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Beijing Qihoo Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Beijing Qianxin Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Beijing Qianxin Technology Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201510981418.XA priority Critical patent/CN105610809B/zh
Publication of CN105610809A publication Critical patent/CN105610809A/zh
Application granted granted Critical
Publication of CN105610809B publication Critical patent/CN105610809B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种网络准入控制的方法、装置及系统,涉及互联网技术领域,为解决现有网络准入控制方法在分布式系统中受局限的问题而发明。本发明的方法包括:在内存中查找管理策略,所述管理策略中包含所述网站服务器的网络准入规则;若未查找到所述管理策略,则向数据库服务器发送请求,所述请求用于获取所述管理策略;接收所述数据库服务器返回的管理策略;根据所述管理策略调整已配置的网络准入规则。本发明应用于分布式系统中设置网络准入控制的过程中。

Description

网络准入控制的方法、装置及系统
技术领域
本发明涉及互联网技术领域,尤其涉及一种网络准入控制的方法、装置及系统。
背景技术
现有的交易系统通常会使用防火墙技术对网络进行过滤来保证交易的安全性。但是防火墙具有单点故障的特性,即防火墙一旦发生故障,就会导致整个网络瘫痪,为企业造成经济损失。针对防火墙的单点故障的问题,出现了本身可以添加类似防火墙基本功能的服务器,其中基本功能包括设置网络进入的黑白名单等。
Nginx服务器就是一种通过在本身的配置文件中设置网络进入的黑白名单来实现防火墙功能的一种服务器。对于只有单台Nginx服务器的系统,通常由系统管理员客户端生成管理策略,其中管理策略中包含网络的准入规则,准入规则中包含黑白名单的设置,然后由系统管理员客户端按照生成的管理策略来操作Nginx中的conf配置文件,从而实现网络进入的黑白名单的控制。
然而,随着分布式系统的应用和发展,多机系统和分布式系统已成为主流。对于分布系统中的多台Nginx服务器,系统管理员客户端与Nginx服务器通常是分开的,而且系统管理员客户端与Nginx没有网络通信,因此系统管理员客户端没有操作Nginx服务器的conf配置文件的权限。由于不能操作Nginx服务器的conf配置文件,而且系统管理员客户端生成的管理策略是实时变化的,所以不能保证Nginx服务器的配置文件中管理策略的实时更新。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的网络准入控制的方法、装置及系统。
为解决上述技术问题,一方面,本发明提供了一种网络准入控制的方法,方法应用于网站服务器侧,包括:
在内存中查找管理策略,所述管理策略中包含所述网站服务器的网络准入规则;
若未查找到所述管理策略,则向数据库服务器发送请求,所述请求用于获取所述管理策略;
接收所述数据库服务器返回的管理策略;
根据所述管理策略调整已配置的网络准入规则。
第二方面,本发明还提供了一种网络准入控制的方法,方法应用于数据库服务器侧,包括:
接收管理员客户端发送的管理策略,所述管理策略中包含网站服务器对应的网络准入规则;
接收所述网站服务器发送的请求,所述请求用于向所述数据库服务器获取所述管理策略;
向所述网站服务器返回所述管理策略,以使所述网站服务器根据所述管理策略调整已配置的网络准入规则。
第三方面,本发明还提供了一种网络准入控制的装置,所述装置位于网站服务器侧,包括:
查找单元,用于在内存中查找管理策略,所述管理策略中包含所述网站服务器的网络准入规则;
发送单元,用于若未查找到所述管理策略,则向数据库服务器发送请求,所述请求用于获取所述管理策略;
接收单元,用于接收所述数据库服务器返回的管理策略;
调整单元,用于根据所述管理策略调整已配置的网络准入规则。
第四方面,本发明还提供了一种网络准入控制的装置,所述装置位于数据库服务器侧,包括:
第一接收单元,用于接收管理员客户端发送的管理策略,所述管理策略中包含网站服务器对应的网络准入规则;
第二接收单元,用于接收所述网站服务器发送的请求,所述请求用于向所述数据库服务器获取所述管理策略;
返回单元,用于向所述网站服务器返回所述管理策略,以使所述网站服务器根据所述管理策略调整已配置的网络准入规则。
第五方面,本发明还提供了一种网络准入控制的系统,该系统包括:网站服务器、数据库服务器及管理员客户端;
所述网站服务器,用于在内存中查找管理策略,所述管理策略中包含所述网站服务器的网络准入规则;若未查找到所述管理策略,则向所述数据库服务器发送请求,所述请求用于获取所述管理策略;接收所述数据库服务器返回的管理策略;并根据所述管理策略调整已配置的网络准入规则;
所述数据库服务器,用于接收所述管理员客户端发送的所述管理策略;并接收所述网站服务器发送的请求;向所述网站服务器返回所述管理策略;
所述管理员客户端,用于生成管理策略,并向所述数据库服务器实时发送管理策略。
借由上述技术方案,本发明提供的网络准入控制的方法、装置及系统,能够首先由网站服务器在内存中查找包含与其对应的网络准入规则的管理策略,若在内存中没有查找到管理策略,则由网站服务器向数据库服务器发送请求来获取管理策略。在数据库服务器接收到该请求之后,向网站服务器返回管理策略,其中管理策略是由管理员客户端生成并发送给数据库服务器的。网站服务器获取到管理策略后,根据该管理策略调整已配置的网络准入规则。与现有技术相比,本发明能够通过网站服务器向数据库服务器发送请求来获取包含网络准入规则的管理策略,并由网站服务器根据获取到的管理策略自动地调整已配置的网络准入规则,而不需要通过管理员客户端去完成通知网站服务器什么时候更新网络准入规则、更新网站服务器中的配置文件等一系列的操作。因此能够解决在分布式系统中因管理员客户端与网站服务器没有网络通信而导致的现有网络准入控制方法受局限的问题,并且改善了现有网络准入控制方法的适应性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种网络准入控制的方法流程图;
图2示出了本发明实施例提供的另一种网络准入控制的方法流程图;
图3示出了本发明实施例提供的又一种网络准入控制的方法流程图;
图4示出了本发明实施例提供的再一种网络准入控制的方法流程图;
图5示出了本发明实施例提供的一种网络准入控制的装置的组成框图;
图6示出了本发明实施例提供的另一种网络准入控制的装置的组成框图;
图7示出了本发明实施例提供的又一种网络准入控制的装置的组成框图;
图8示出了本发明实施例提供的再一种网络准入控制的装置的组成框图;
图9示出了本发明实施例提供的一种网络准入控制的系统框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为解决现有网络准入控制方法在分布式系统中受局限的问题,本发明实施例提供了一种网络准入控制的方法,如图1所示,该方法应用于网站服务器侧,该方法包括:
101、在内存中查找管理策略。
本实施例中的网站服务器为Nginx服务器,Nginx服务器是一种轻量级的面向性能设计的网页服务器,它适用于分布式系统。目前的Nginx服务器本身可以将管理策略写在本身的conf文件中,然后从配置文件中获取管理策略。其中管理策略中包含网站服务器的网络准入规则,具体的网络准入规则是为想要访问该网站服务器的终端设备规定访问的权限,没有访问权限和有访问权限的终端设备分别记录到黑白名单中,相当于为网站服务器设置了一道防火墙。通常黑白名单中是以终端设备的互联网协议地址(Internet ProtocolAddress,简称IP地址)记录的。
然而本实施例,是对现有的Nginx服务器进行了二次改造或者是进行了优化。具体的优化点是将管理策略放到内存中,该种优化与原有的将管理策略写入conf文件中相比,使网站服务器系统的运行和操作速度更快。由于而本实施例是将管理策略放在内存中,因此首先需要从内存中查找管理策略。
102、若未查找到管理策略,则向数据库服务器发送请求。
若网站服务器在内存中没有查找到管理策略,则向数据库服务器发送请求,该请求用于获取管理策略。其中网站服务器发送的请求中携带有地区标识和配置等级标识,其目的是使数据库服务器根据地区标识和配置等级标识为网站服务器分配对应的管理策略。因为数据库服务器中对于不同地区的网站服务器分配的管理策略是不同的,并且不同配置等级的网站服务器在数据库服务器中对应的管理策略也是不同的。配置通常包括网速、带宽、同时可连接数等。网站服务器的配置等级的高低可以由数据库服务器制定统一的评价标准进行评价,或者使用一些公认的评价标准来评价。
需要说明的是,地区标识可以是具体的某个地区的名称,也可以是网站服务器的IP地址,不同的IP地址对应不同的地区。若网站服务器发送的的地区标识为IP地址时,要求数据库服务器具有将IP地址解析为对应的地区信息的能力。
103、接收数据库服务器返回的管理策略。
在数据库服务器接收到网站服务器的请求并将请求处理完之后,网站服务器接收数据库服务器返回的管理策略,并将该管理策略缓存到内存中。
104、根据管理策略调整已配置的网络准入规则。
接收到管理策略之后,网站服务器会自动地根据接收到的管理策略中的网络准入规则来调整已经配置的网络准入规则,实现网络准入规则的实时更新,即及时的更新访问网站服务器的黑白名单,保证网络的安全性。
进一步的,在将数据库服务器返回的管理策略缓存到内存中之后,设置管理策略的有效缓存时长,以使内存中的管理策略可以定时更新。由于数据库服务器中的管理策略是实时更新的,为了保证网站服务器通过内存获取到的管理策略与数据库服务器中管理策略的一致性,因此需要为内存中的管理策略设置有效缓存时长,即规定管理策略在内存中的有效期限,这样就可以使内存中的管理策略不会长久保存,进而使网站服务器在发现内存中没有管理策略时,从数据将数据库服务器中获取管理策略,并将获取到的管理策略更新至内存中,这样网站服务器从缓存中获取到的管理策略就是当前数据库中最新的管理策略。
本实施例提供的网络准入控制的方法,能够首先由网站服务器在内存中查找包含与其对应的网络准入规则的管理策略,若在内存中没有查找到管理策略,则向数据库服务器发送请求来获取管理策略,然后接收数据库服务器返回的管理策略,最后根据该管理策略调整已配置的网络准入规则。与现有技术相比,本实施例能够通过网站服务器向数据库服务器发送请求来获取包含网络准入规则的管理策略,并根据获取到的管理策略自动地调整已配置的网络准入规则,而不需要通过管理员客户端去完成通知网站服务器什么时候更新网络准入规则、更新网站服务器中的配置文件等一系列的操作。因此能够解决在分布式系统中因管理员客户端与网站服务器没有网络通信而导致的现有网络准入控制方法受局限的问题,并且改善了现有网络准入控制方法的适应性。
进一步的,作为对图1所示方法的细化及扩展,本发明实施例还提供了一种网络准入控制的方法,如图2所示,包括:
201、定时向数据库服务器发送请求。
定时向数据库服务器发送用于获取管理策略的请求,其中管理策略中包含网站服务器的网络准入规则,该准入规则与图1步骤101中的网络准入规则是相同的,不再详细说明。定时向数据库服务器发送请求是为了保证网站服务器可以实时更新自己的网络准入规则,即及时的更新访问网站服务器的黑白名单,保证网络的安全性。
另外,本实施例中的请求中携带有网站服务器的地区标识和配置等级标识,其与图1步骤102中的地区标识和配置等级标识是相同的,此处不再赘述。
本步骤中定时地发送请求给数据库服务器,其产生的技术效果与图1实施例中为管理策略设置缓存有效时长的技术效果是相同的,都是为了保证网站服务器的管理策略可以实时更新。
202、接收数据库服务器返回的管理策略。
该步骤的实现方式与图1步骤103的实现方式相同,此处不再赘述。
203、将管理策略更新至内存中。
将从数据库服务器中获取到的管理策略更新至内存中,同时将内存中原有的管理策略删除。
204、根据内存中的管理策略调整已配置的网络准入规则。
网站服务器自动地根据内存中的管理策略来调整已经配置的网络准入规则,实现网站服务器访问黑白名单的实时更新,保证网络的安全性。
进一步的,本发明实施例还提供了一种网络准入控制的方法,如图3所示,该方法应用于数据库服务器侧,该方法包括:
301、接收管理员客户端发送的管理策略。
管理策略是由管理员客户端生成的,管理员客户端与数据库服务器之间信息传送的时效性很高,通常在管理员客户端生成新的管理策略之后,会立即将新的管理策略发送到数据库服务器中进行保存,以使网站服务器从数据库服务器中获取对应的管理策略。其中管理策略中包含网站服务器的网络准入规则,具体的网络准入规则是为想要访问该网站服务器的终端设备规定访问的权限,没有访问权限和有访问权限的终端设备分别记录到黑白名单中,相当于为网站服务器设置了一道防火墙。通常黑白名单中是以终端设备的IP地址记录的。
本实施例中的数据库服务器是一个数据库中心,用于保存管理员客户端生成的对应不同网站服务器的管理策略,并向网站服务器发送对应的管理策略。具体的数据库中心可以是Redis数据库等。
302、接收网站服务器发送的请求。
数据库服务器中保存的管理策略是网站服务器的管理策略,因此需要接收网站服务器发送的用于获取管理策略的请求。
303、向网站服务器返回管理策略。
在数据库服务器接收到请求之后,根据接收到的请求向网站服务器返回对应的管理策略,以使网站服务器根据管理策略调整已配置的网络准入规则。需要说明的是不同的网站服务器获取到的管理策略可能是不同的。
进一步的,接收的网站服务器发送的请求中携带有网站服务器的地区标识和配置等级标识。在数据库服务器中对于不同地区的网站服务器对应的管理策略是不同的,并且不同配置等级的网站服务器在数据库服务器中对应的管理策略也是不同的。配置通常包括网速、带宽、同时可连接数等。网站服务器的配置等级的高低可以由数据库服务器制定统一的评价标准进行评价,或者使用一些公认的评价标准来评价。
进一步的,向网站服务器返回管理策略时需要根据请求中携带的地区标识和配置等级标识为网站服务器返回对应的管理策略。在数据库服务器中记录的地区具体可以细划到市级、县级等,是根据实际的需求设置的。另外对于网站服务器发送的地区标识为IP地址时,数据库服务器必须带有IP地址库,然后根据自身的IP地址库来获取对应IP地址的地区。
进一步的,步骤301和步骤302的执行没有顺序要求,在实际的应用中可能同时接收管理员客户端发送的管理策略和网站服务器发送的请求,也可能先接收其中任意一方发送的消息,接收的顺序都是由发送方决定的。
本实施例提供的网络准入控制的方法,能够首先由数据库服务器接收由管理员客户端生成的管理策略,其中管理策略中包含网站服务器的网络准入规则;然后接收网站服务发送的用于获取管理策略的请求;最后将管理策略返回给网站服务器,以使网站服务器根据管理策略调整已配置的网络准入规则。与现有技术相比,本实施例能够根据网站服务器向数据库服务发送的用于获取管理策略的请求为网站服务器返回管理策略,并使网站服务器根据获取到的管理策略自动地调整已配置的网络准入规则,而不需要通过管理员客户端去完成通知网站服务器什么时候更新网络准入规则、更新网站服务器中的配置文件等一系列的操作。因此能够解决在分布式系统中因管理员客户端与网站服务器没有网络通信而导致的现有网络准入控制方法受局限的问题,并且改善了现有网络准入控制方法的适应性。
进一步的,作为对图3所示方法的细化及扩展,本发明实施例还提供了一种网络准入控制的方法,如图4所示,包括:
401、定时接收网站服务器发送的请求。
定时接收网站服务器发送的请求,其中定时接收是与图2实施例中网站服务器定时发送是相对应的。其中请求用于获取管理策略,管理策略中包含网站服务器的网络准入规则。
另外网站服务器发送的请求中携带有地区标识和配置等级标识,具体的含义与图3实施例中涉及的地区标识和配置等级标识是相同的。
402、向网站服务器返回管理策略。
接收到网站服务器发送的请求后,向网站服务器返回对应的管理策略,以使网站服务器将管理策略及时更新至内存中,并根据内存中的管理策略及时地调整已配置的网络准入规则。需要说明的是数据库服务器中保存有多个管理策略,分别对应不同地区和配置等级的网站服务器。当数据库服务器接收到网站服务器的请求后,需要根据请求中携带的地区标识和等级配置标识为其选择对应的管理策略并将其返回。具体的对地区标识和配置等级标识的详述与图3实施例中是相同的,此处不再赘述。
进一步的,作为对上述各实施例的实现,本发明实施例的另一实施例还提供了一种网络准入控制的装置,该装置位于网站服务器侧,用于实现上述图1及图2所述的方法。如图5所示,该装置包括:查找单元51、发送单元52、接收单元53、以及调整单元54。
查找单元51,用于在内存中查找管理策略,管理策略中包含网站服务器的网络准入规则;
发送单元52,用于若未查找到管理策略,则向数据库服务器发送请求,请求用于获取管理策略;
接收单元53,用于接收数据库服务器返回的管理策略;
调整单元54,用于根据管理策略调整已配置的网络准入规则。
进一步的,如图6所示,装置进一步包括:
缓存单元55,用于在接收数据库服务器返回的管理策略之后,将数据库服务器返回的管理策略缓存到内存中。
进一步的,如图6所示,装置进一步包括:
设置单元56,用于在将数据库服务器返回的管理策略缓存到内存中之后,设置管理策略的有效缓存时长,以使内存中的管理策略可以定时更新。
进一步的,发送单元52发送的请求中携带有网站服务器的地区标识和配置等级标识,以使数据库服务器根据地区标识和配置等级标识为网站服务器分配对应的管理策略。
进一步的,如图6所示,装置进一步包括:
定时发送单元57,用于定时向数据库服务器发送请求;
接收单元53,还用于接收数据库服务器返回的管理策略;
更新单元58,用于将管理策略更新至内存中;
调整单元54,还用于根据内存中的管理策略调整已配置的网络准入规则。
本实施例提供的网络准入控制的装置,能够首先由网站服务器在内存中查找包含与其对应的网络准入规则的管理策略,若在内存中没有查找到管理策略,则向数据库服务器发送请求来获取管理策略,然后接收数据库服务器返回的管理策略,最后根据该管理策略调整已配置的网络准入规则。与现有技术相比,本实施例能够通过网站服务器向数据库服务器发送请求来获取包含网络准入规则的管理策略,并根据获取到的管理策略自动地调整已配置的网络准入规则,而不需要通过管理员客户端去完成通知网站服务器什么时候更新网络准入规则、更新网站服务器中的配置文件等一系列的操作。因此能够解决在分布式系统中因管理员客户端与网站服务器没有网络通信而导致的现有网络准入控制方法受局限的问题,并且改善了现有网络准入控制方法的适应性。
进一步的,作为对上述各实施例的实现,本发明实施例的另一实施例还提供了一种网络准入控制的装置,该装置位于数据库服务器侧,用于实现上述图3和图4所述的方法。如图7所示,该装置包括:第一接收单元71、第二接收单元72、以及返回单元73。
第一接收单元71,用于接收管理员客户端发送的管理策略,管理策略中包含网站服务器对应的网络准入规则;
第二接收单元72,用于接收网站服务器发送的请求,请求用于向数据库服务器获取管理策略;
返回单元73,用于向网站服务器返回管理策略,以使网站服务器根据管理策略调整已配置的网络准入规则。
进一步的,第二接收单元72接收的请求中携带有网站服务器的地区标识和配置等级标识。
进一步的,返回单元73,用于:
向网站服务器返回与地区标识和配置等级标识对应的管理策略。
进一步的,如图8所示,装置进一步包括:
定时接收单元74,用于定时接收网站服务器发送的请求;
返回单元73,还用于向网站服务器返回管理策略,以使网站服务器将管理策略及时更新至内存中,并根据内存中的管理策略调整已配置的网络准入规则。
本实施例提供的网络准入控制的装置,能够首先由数据库服务器接收由管理员客户端生成的管理策略,其中管理策略中包含网站服务器的网络准入规则;然后接收网站服务发送的用于获取管理策略的请求;最后将管理策略返回给网站服务器,以使网站服务器根据管理策略调整已配置的网络准入规则。与现有技术相比,本实施例能够根据网站服务器向数据库服务发送的用于获取管理策略的请求为网站服务器返回管理策略,并使网站服务器根据获取到的管理策略自动地调整已配置的网络准入规则,而不需要通过管理员客户端去完成通知网站服务器什么时候更新网络准入规则、更新网站服务器中的配置文件等一系列的操作。因此能够解决在分布式系统中因管理员客户端与网站服务器没有网络通信而导致的现有网络准入控制方法受局限的问题,并且改善了现有网络准入控制方法的适应性。
进一步的,本发明的最后一个实施例还提供了一种网络准入控制的系统,用以实现图1、图2、图3以及图4所示的方法。本系统实施例与前述方法实施例对应,能够实现前述方法实施例中的全部内容。为便于阅读,本系统实施例仅对前述方法实施例中的内容进行概要性描述,不对方法实施例中的细节内容进行逐一赘述。如图9所示,该系统包括网站服务器91、数据库服务器92及管理员客户端93,其中,网站服务器91包括上述图5或图6所示的装置,数据库服务器92包括图7或图8所示的装置。具体的:
网站服务器91,用于在内存中查找管理策略,管理策略中包含网站服务器的网络准入规则;若未查找到管理策略,则向数据库服务器发送请求,请求用于获取管理策略;接收数据库服务器返回的管理策略;并根据管理策略调整已配置的网络准入规则;
数据库服务器92,用于接收管理员客户端发送的管理策略;并接收网站服务器发送的请求;向网站服务器返回管理策略;
管理员客户端93,用于生成管理策略,并向数据库服务器实时发送管理策略。
本实施例提供的网络准入控制的系统,能够首先由网站服务器在内存中查找包含与其对应的网络准入规则的管理策略,若在内存中没有查找到管理策略,则由网站服务器向数据库服务器发送请求来获取管理策略。在数据库服务器接收到该请求之后,向网站服务器返回管理策略,其中管理策略是由管理员客户端生成并发送给数据库服务器的。网站服务器获取到管理策略后,根据该管理策略调整已配置的网络准入规则。与现有技术相比,本实施例能够通过网站服务器向数据库服务器发送请求来获取包含网络准入规则的管理策略,并由网站服务器根据获取到的管理策略自动地调整已配置的网络准入规则,而不需要通过管理员客户端去完成通知网站服务器什么时候更新网络准入规则、更新网站服务器中的配置文件等一系列的操作。因此能够解决在分布式系统中因管理员客户端与网站服务器没有网络通信而导致的现有网络准入控制方法受局限的问题,并且改善了现有网络准入控制方法的适应性。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (19)

1.一种网络准入控制的方法,所述方法应用于网站服务器侧,其特征在于,所述方法包括:
在内存中查找管理策略,所述管理策略中包含所述网站服务器的网络准入规则,所述网站服务器为Nginx服务器,所述Nginx服务器应用于分布式系统中;
若未查找到所述管理策略,则向数据库服务器发送请求,所述请求用于获取所述管理策略;
接收所述数据库服务器返回的管理策略;
根据所述管理策略调整已配置的网络准入规则。
2.根据权利要求1所述的方法,其特征在于,在所述接收所述数据库服务器返回的管理策略之后,所述方法进一步包括:
将所述数据库服务器返回的管理策略缓存到所述内存中。
3.根据权利要求2所述的方法,其特征在于,在所述将所述数据库服务器返回的管理策略缓存到所述内存中之后,所述方法进一步包括:
设置所述管理策略的有效缓存时长,以使所述内存中的管理策略可以定时更新。
4.根据权利要求1所述的方法,其特征在于,所述请求中携带有所述网站服务器的地区标识和配置等级标识,以使所述数据库服务器根据所述地区标识和所述配置等级标识为所述网站服务器分配对应的管理策略。
5.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
定时向所述数据库服务器发送所述请求;
接收所述数据库服务器返回的管理策略;
将所述管理策略更新至所述内存中;
根据所述内存中的管理策略调整已配置的网络准入规则。
6.一种网络准入控制的方法,所述方法应用于数据库服务器侧,其特征在于,所述方法包括:
接收管理员客户端发送的管理策略,所述管理策略中包含网站服务器对应的网络准入规则,所述网站服务器为Nginx服务器,所述Nginx服务器应用于分布式系统中;
接收所述网站服务器发送的请求,所述请求用于向所述数据库服务器获取所述管理策略;
向所述网站服务器返回所述管理策略,以使所述网站服务器根据所述管理策略调整已配置的网络准入规则。
7.根据权利要求6所述的方法,其特征在于,所述请求中携带有所述网站服务器的地区标识和配置等级标识。
8.根据权利要求7所述的方法,其特征在于,所述向所述网站服务器返回所述管理策略,包括:
向所述网站服务器返回与所述地区标识和所述配置等级标识对应的管理策略。
9.根据权利要求6所述的方法,其特征在于,所述方法进一步包括:
定时接收所述网站服务器发送的所述请求;
向所述网站服务器返回所述管理策略,以使所述网站服务器将所述管理策略及时更新至内存中,并根据权利要求所述内存中的管理策略调整已配置的网络准入规则。
10.一种网络准入控制的装置,所述装置位于网站服务器侧,其特征在于,所述装置包括:
查找单元,用于在内存中查找管理策略,所述管理策略中包含所述网站服务器的网络准入规则,所述网站服务器为Nginx服务器,所述Nginx服务器应用于分布式系统中;
发送单元,用于若未查找到所述管理策略,则向数据库服务器发送请求,所述请求用于获取所述管理策略;
接收单元,用于接收所述数据库服务器返回的管理策略;
调整单元,用于根据所述管理策略调整已配置的网络准入规则。
11.根据权利要求10所述的装置,其特征在于,所述装置进一步包括:
缓存单元,用于在所述接收所述数据库服务器返回的管理策略之后,将所述数据库服务器返回的管理策略缓存到所述内存中。
12.根据权利要求11所述的装置,其特征在于,所述装置进一步包括:
设置单元,用于在所述将所述数据库服务器返回的管理策略缓存到所述内存中之后,设置所述管理策略的有效缓存时长,以使所述内存中的管理策略可以定时更新。
13.根据权利要求10所述的装置,其特征在于,所述发送单元发送的所述请求中携带有所述网站服务器的地区标识和配置等级标识,以使所述数据库服务器根据权利要求所述地区标识和所述配置等级标识为所述网站服务器分配对应的管理策略。
14.根据权利要求10所述的装置,其特征在于,所述装置进一步包括:
定时发送单元,用于定时向所述数据库服务器发送所述请求;
所述接收单元,还用于接收所述数据库服务器返回的管理策略;
更新单元,用于将所述管理策略更新至所述内存中;
所述调整单元,还用于根据权利要求所述内存中的管理策略调整已配置的网络准入规则。
15.一种网络准入控制的装置,所述装置位于数据库服务器侧,其特征在于,所述装置包括:
第一接收单元,用于接收管理员客户端发送的管理策略,所述管理策略中包含网站服务器对应的网络准入规则,所述网站服务器为Nginx服务器,所述Nginx服务器应用于分布式系统中;
第二接收单元,用于接收所述网站服务器发送的请求,所述请求用于向所述数据库服务器获取所述管理策略;
返回单元,用于向所述网站服务器返回所述管理策略,以使所述网站服务器根据所述管理策略调整已配置的网络准入规则。
16.根据权利要求15所述的装置,其特征在于,所述第二接收单元接收的所述请求中携带有所述网站服务器的地区标识和配置等级标识。
17.根据权利要求16所述的装置,其特征在于,所述返回单元,用于:
向所述网站服务器返回与所述地区标识和所述配置等级标识对应的管理策略。
18.根据权利要求15所述的装置,其特征在于,所述装置进一步包括:
定时接收单元,用于定时接收所述网站服务器发送的所述请求;
所述返回单元,还用于向所述网站服务器返回所述管理策略,以使所述网站服务器将所述管理策略及时更新至内存中,并根据权利要求所述内存中的管理策略调整已配置的网络准入规则。
19.一种网络准入控制的系统,其特征在于,所述系统包括:网站服务器、数据库服务器及管理员客户端,所述网站服务器为Nginx服务器,所述Nginx服务器应用于分布式系统中;
所述网站服务器,用于在内存中查找管理策略,所述管理策略中包含所述网站服务器的网络准入规则;若未查找到所述管理策略,则向所述数据库服务器发送请求,所述请求用于获取所述管理策略;接收所述数据库服务器返回的管理策略;并根据所述管理策略调整已配置的网络准入规则;
所述数据库服务器,用于接收所述管理员客户端发送的所述管理策略;并接收所述网站服务器发送的请求;向所述网站服务器返回所述管理策略;
所述管理员客户端,用于生成管理策略,并向所述数据库服务器实时发送管理策略。
CN201510981418.XA 2015-12-23 2015-12-23 网络准入控制的方法、装置及系统 Active CN105610809B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510981418.XA CN105610809B (zh) 2015-12-23 2015-12-23 网络准入控制的方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510981418.XA CN105610809B (zh) 2015-12-23 2015-12-23 网络准入控制的方法、装置及系统

Publications (2)

Publication Number Publication Date
CN105610809A CN105610809A (zh) 2016-05-25
CN105610809B true CN105610809B (zh) 2019-04-23

Family

ID=55990347

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510981418.XA Active CN105610809B (zh) 2015-12-23 2015-12-23 网络准入控制的方法、装置及系统

Country Status (1)

Country Link
CN (1) CN105610809B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115333871B (zh) * 2022-10-17 2023-01-06 建信金融科技有限责任公司 防火墙的运维方法及装置、电子设备和可读存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102006297B (zh) * 2010-11-23 2013-04-10 中国科学院软件研究所 一种基于两级策略决策的访问控制方法及其系统
CN102802169B (zh) * 2011-05-25 2018-01-02 中兴通讯股份有限公司 一种业务访问控制方法和系统
US9253156B2 (en) * 2011-06-09 2016-02-02 International Business Machines Corporation Dynamically defining network access rules

Also Published As

Publication number Publication date
CN105610809A (zh) 2016-05-25

Similar Documents

Publication Publication Date Title
US6604143B1 (en) Scalable proxy servers with plug-in filters
US9258270B2 (en) Selecting between domain name system servers of a plurality of networks
CN102647482B (zh) 一种访问网站的方法和系统
US9673998B2 (en) Differential cache for representational state transfer (REST) API
CN104283933B (zh) 下载数据的方法、客户端及系统
CN109922030B (zh) 基于Android设备的全局网络访问控制方法
CN109088909B (zh) 一种基于商户类型的服务灰度发布方法及设备
EP3338436B1 (en) Lock-free updates to a domain name blacklist
CN109067930A (zh) 域名接入方法、域名解析方法、服务器、终端及存储介质
CN103607424A (zh) 一种服务器连接方法及服务器系统
CN103546434A (zh) 网络访问控制的方法、装置和系统
CN109617780A (zh) 接入网络的方法、装置、终端设备及机器可读存储介质
CN104301311A (zh) Dns过滤网络数据内容的方法及设备
CN108347459A (zh) 一种云端数据快速存储方法及装置
CN109873855A (zh) 一种基于区块链网络的资源获取方法和系统
CN108932238A (zh) 一种跨域通信方法及装置
CN104104582B (zh) 一种数据存储路径管理方法、客户端及服务器
CN105893607A (zh) 页面数据管理方法、装置及数据服务器
US20160188717A1 (en) Network crawling prioritization
CN106936907A (zh) 一种文件处理方法、逻辑服务器、接入服务器及系统
US9264399B1 (en) Lock-free updates to a domain name blacklist
CN109254981A (zh) 一种分布式缓存系统的数据管理方法和装置
US10817512B2 (en) Standing queries in memory
CN105915655B (zh) 网络代理方法和代理系统
CN110413846A (zh) 用于网页镜像的数据处理方法、装置及计算机可读存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Co-patentee after: QAX Technology Group Inc.

Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Co-patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd.

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

CP01 Change in the name or title of a patent holder