CN106101300B - 通过私有域名系统控制访问自建服务器的方法 - Google Patents
通过私有域名系统控制访问自建服务器的方法 Download PDFInfo
- Publication number
- CN106101300B CN106101300B CN201610454657.4A CN201610454657A CN106101300B CN 106101300 B CN106101300 B CN 106101300B CN 201610454657 A CN201610454657 A CN 201610454657A CN 106101300 B CN106101300 B CN 106101300B
- Authority
- CN
- China
- Prior art keywords
- domain name
- internet
- intranet
- user
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种通过私有域名系统控制访问自建服务器的方法,在企业和机构自建的内网中,设置一个私有域名系统和一个互联网域名系统,私有域名系统对内网服务器域名和内网地址做映射,互联网域名系统对内网服务器域名和互联网地址做映射,在内网中部署的服务器配置一个私有域名,和/或配置一个互联网域名;内网用户按照先访问私有域名系统、后访问互联网域名系统的顺序,访问以域名表示的目标服务器,实现对不同网络的应用服务采取不同的访问控制策略,既能满足自建网络内部的用户访问互联网的需求,又能对自建网络的服务器做访问控制,对互联网上的用户拒绝服务,对自建网络内部用户提供服务,达到高效、安全的访问目的。
Description
技术领域
本发明涉及一种网络技术,特别涉及一种通过私有域名系统控制客户端是否允许访问自建服务器的方法。
背景技术
公司和教育科研机构都拥有自建的、且与互联网相连通的内部网络,其中内网用于系统内的办公和数据处理,互联网用来分享和获取信息。这样内网的用户既可以访问内网的服务器,又可以访问互联网,可以极大的提高工作效率;但是这种情况存在一个安全问题,也就是内网的私有保密服务器,也可能被互联网上的用户访问到。通过以上对网络功能描述和问题分析,非常有必要通过架设私有域名解析服务器(DNS域名系统)的方式,实现对不同网络的应用服务采取不同的访问控制策略,达到高效、安全的访问目的。
DNS(Domain Name System,域名系统),是因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。客户端发起的查询中只使用主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。
在本发明中使用到的DNS污染,是现存的、且得到大量使用的通用技术,又称为域名系统缓存污染(DNS cache pollution)或者域名系统快照侵害(DNS cache poisoning),是指将用户查询域名的请求,通过一些刻意制造出来的域名服务器分组,把域名指往不正确的IP地址。
发明内容
本发明是针对内部局域网的安全的问题,提出了一种通过私有域名系统控制访问自建服务器的方法,实现对不同网络的应用服务采取不同的访问控制策略,达到高效、安全的访问目的。
本发明的技术方案为:一种通过私有域名系统控制访问自建服务器的方法,自建内网,部署服务器,服务器配置内网和互联网地址,且服务器对应一个私有域名和一个互联网域名;
同时在此内网中还部署了一个私有域名系统和一个互联网域名系统,私有域名系统对内网服务器域名和内网地址做映射,互联网域名系统对内网服务器域名和互联网地址做映射;内网的客户端通过域名访问服务器,经过域名系统域名解析,得到映射的地址进行访问。
所述通过私有域名系统控制访问自建服务器的方法,具体步骤包括:
1)公司和机构自建内网,在内网部署多个服务器和客户端,并且设置一个私有域名系统和一个互联网域名系统;
2)在网络管理方式上,在私有域名系统上,对于各项业务,使用内网服务器域名和内容地址进行映射;
3)在客户端层面,内网的用户通过某个域名访问具体的各项业务和对应的服务器,即在用户的计算机中设置域名服务器为私有域名系统的IP地址,用户访问各项业务时,通过这台私有域名系统进行域名解析,如果访问的域名在这台私有域名系统上进行了配置记录,则返回该域名的服务器地址,允许用户访问;
4)当内网的用户通过互联网域名访问互联网上的某项业务时,也是先通过私有域名系统进行该互联网域名解析,如果访问的该互联网域名在这台私有域名系统上进行了配置,则返回该互联网域名的互联网服务器地址,允许用户访问;如果在私有域名系统上解析失败,则将该互联网域名的解析请求转发至互联网域名系统,解析成功返回对应地址并访问;
5)互联网的用户通过与步骤3)中一样的域名访问服务器时,首先通过互联网域名系统进行解析,因仅私有域名系统上有这个域名的配置记录,所以在互联网域名系统上会解析失败,直接拒绝互联网上的用户访问此域名。
所述通过私有域名系统控制访问自建服务器的方法, 具体步骤包括:
1)公司和机构自建内网,并部署多个服务器、客户端和私有域名系统;
2)对步骤1)中所提到的某台内网服务器采用双网卡上联方式,一个网卡连接到内网,另外一个网卡连接到互联网上,使这台内网服务器同时具有内、外网两个地址;
3)当内网用户通过内网域名访问该业务时,首先访问私有域名系统,域名解析成功返回这台服务器的内网地址,允许用户访问;
4)当用户发起访问请求时使用的是这项业务的互联网域名时,也是先通过私有域名系统解析,如果访问的域名在这台私有域名系统上进行了配置记录,则返回该域名的互联网地址,允许用户访问;如果解析失败,将该域名的解析请求转发至互联网域名系统,解析成功返回对应的互联网地址并访问;
5)当互联网用户通过互联网域名访问此有互联网地址的业务时,则采用互联网中常用的域名系统污染方法,使这个域名在互联网上看起来可以访问,实际上互联网域名系统会将这个域名解析到错误的互联网地址,从而拒绝互联网用户访问。
本发明的有益效果在于:本发明通过私有域名系统控制访问自建服务器的方法,既能满足自建网络内部的用户访问互联网的需求,又能对自建网络的服务器做访问控制,对互联网上的用户拒绝服务,对自建网络内部用户提供服务。保证了自建网络内部用户信息的安全。
附图说明
图1为本发明服务器在内网时的访问控制示意图;
图2为本发明服务器同时部署在内网和互联网时的访问控制示意图。
具体实施方式
通过私有域名系统(DNS)控制访问自建服务器的方法,根据服务器的部署方式,有两种实现过程,具体步骤如下:
1、方法一:服务器部署在内网,即只有内网地址,允许内网用户访问,拒绝互联网用户访问,具体实施方法为:
1)公司和机构自建内网,在内网部署多个服务器和客户端,并且设置一个私有域名系统和一个互联网域名系统;
2)在网络管理方式上,在私有域名系统上,对于某项业务,使用内网服务器域名和内容地址进行映射,比如内网用户通过www.server1.com域名访问该项业务;而针对互联网域名系统,则将互联网服务器域名与互联网地址进行映射,比如通过www.server3.com访问互联网的资源;
3)在客户端层面,内网的用户通过域名访问具体的某项业务和对应的服务器,也就是在用户的计算机中设置域名服务器为私有域名系统的IP地址,这样用户访问某项业务时,通过这台私有域名系统进行域名解析,如果访问的域名在这台私有域名系统上进行了配置,则返回该域名的内网服务器地址,允许用户访问;
4)当内网的用户通过互联网域名访问互联网上的某项业务时,也是先通过私有域名系统进行该互联网域名解析,如果访问的该互联网域名在这台私有域名系统上进行了配置,则返回该互联网域名的互联网服务器地址,允许用户访问;如果在私有域名系统上解析失败,则将该互联网域名的解析请求转发至互联网域名系统,解析成功返回对应地址并访问;
5)当互联网的用户通过域名访问具体的某项业务和对应的服务器时,首先通过互联网域名系统进行解析,因为访问的目标域名只在内网配置,也就是只有内网服务器的域名,所以在互联网域名系统上会解析失败,直接拒绝互联网上的用户访问此域名。
如图1所示服务器在内网时的访问控制示意图:
内网客户Client1需要访问内网的服务器,也就是图中的通过www.server1.com这个域名访问到服务器Server1,首先通过私有域名系统DNS1做域名解析,解析成功返回Server1的IP,Client1通过IP完成对内网的服务器访问;
内网用户Client2需要访问互联网上的服务器,也就是图中的通过www.server3.com这个域名访问互联网的服务器Server3,如果私有DNS1域名系统能否成功解析则返回Server3的IP,则Client2可以访问到外网的Server3;如果私有域名系统DNS1解析失败,则向Clent2返回互联网域名系统DNS2的IP,再次解析最后根据返回的互联网地址完成访问。
互联网用户Client3需要访问内网服务器时,也就是图中在互联网上通过域名www.server2.com访问局域网内的服务器Server2,如果Server2是禁止互联网用户访问的,则互联网域名系统对这个域名解析会返回失败,Client3不能访问到Server2。
上述3种情况完成了内网对用户的访问控制,提高了网络的安全性。
2、方法二:服务器在内网和互联网中同时进行网络连接,也就是服务器同时有内网地址和互联网地址,仅允许内网用户访问,并拒绝互联网用户访问。具体实施方法为:
1)自建内网,并部署多个内网服务器、客户端和私有域名系统、互联网域名系统;
2)对1)中所提到的某台内网服务器采用双网卡上联方式,也就是一个网卡连接到内容,另外一个网卡连接到互联网上,使这台内网服务器同时具有内、外网两个地址;
3)当内网用户通过内网域名访问该业务时,首先访问私有域名系统,域名解析成功返回这台服务器的内网地址,允许用户访问。
4)当用户发起访问请求时使用的是这项业务的互联网域名时,也是先通过私有域名系统解析,如果访问的域名在这台私有域名系统上进行了配置,则返回该域名的互联网地址,允许用户访问;如果解析失败,将将该域名的解析请求转发至互联网域名系统,解析成功返回对应的互联网地址并访问;
5)当互联网用户通过域名访问此有互联网地址的服务器时,则采用互联网中常用的DNS污染方法,使这个域名在互联网上看起来可以访问,实际上互联网域名系统会将这个域名解析到错误的互联网地址,从而拒绝互联网用户访问。
如图2所示服务器同时部署在内网和互联网时的访问控制示意图:
内网用户Client1访问同时部署在内网和互联网上的服务器,通过域名www.server1.com访问服务器Server1,首先经过私有域名系统DNS1的域名解析,判定是内网用户,返回Server1内网地址,允许访问。
内网用户Client1访问互联网时,希望访问互联网上域名为www.server3.com的Server3,首先经过私有域名系统DNS1的域名解析,如果成功解析则返回Server3的互联网地址;否则私有域名系统DNS1返回互联网域名系统DNS2的地址,通过进一步解析域名,成功向Client1返回对域名www.server3.com解析后的Server3的互联网地址,实现Client1对Server3的访问。
内网用户Client2访问内网上的域名为www.server2.com的服务器,首先经过私有域名系统DNS1的域名解析返回Server2的地址,Client2通过返回的地址访问Server2后,允许访问此服务器。
互联网用户Client3希望访问位于互联网上的域名为www.server1.com的服务器,经过被污染的互联网域名系统DNS2进行域名解析时,将返回一个与Server1实际地址不同的结果,结果是Client3不能访问到Server1,拒绝访问。
这样完成了对同时部署在内网和互联网上的服务器访问保护。
Claims (2)
1.一种通过私有域名系统控制访问自建服务器的方法,其特征在于,自建内网,服务器部署在内网,即只有内网地址,允许内网用户访问,拒绝互联网用户访问,方法具体步骤包括:
1)公司和机构自建内网,在内网部署多个服务器和客户端,并且设置一个私有域名系统和一个互联网域名系统;
2)在网络管理方式上,在私有域名系统上,对于各项业务,使用内网服务器域名和内容地址进行映射;而针对互联网域名系统,则将互联网服务器域名与互联网地址进行映射;
3)在客户端层面,内网的用户通过域名访问具体的各项业务和对应的服务器,即在用户的计算机中设置域名服务器为私有域名系统的IP地址,用户访问各项业务时,通过这台私有域名系统进行域名解析,如果访问的域名在这台私有域名系统上进行了配置记录,则返回该域名的服务器地址,允许用户访问;
4)当内网的用户通过互联网域名访问互联网上的某项业务时,也是先通过私有域名系统进行该互联网域名解析,如果访问的该互联网域名在这台私有域名系统上进行了配置,则返回该互联网域名的互联网服务器地址,允许用户访问;如果在私有域名系统上解析失败,则将该互联网域名的解析请求转发至互联网域名系统,解析成功返回对应地址并访问;
5)互联网的用户通过与步骤3)中一样的域名访问服务器时,首先通过互联网域名系统进行解析,因仅私有域名系统上有这个域名的配置记录,所以在互联网域名系统上会解析失败,直接拒绝互联网上的用户访问此域名。
2.一种通过私有域名系统控制访问自建服务器的方法,其特征在于,服务器在内网和互联网中同时进行网络连接,也就是服务器同时有内网地址和互联网地址,仅允许内网用户访问,并拒绝互联网用户访问,方法具体步骤包括:
1)公司和机构自建内网,并部署多个内网服务器、客户端和私有域名系统、互联网域名系统;
2)对步骤1)中所提到的某台内网服务器采用双网卡上联方式,一个网卡连接到内网,另外一个网卡连接到互联网上,使这台内网服务器同时具有内、外网两个地址;
3)当内网用户通过内网域名访问该业务时,首先访问私有域名系统,域名解析成功返回这台服务器的内网地址,允许用户访问;
4)当用户发起访问请求时使用的是这项业务的互联网域名时,也是先通过私有域名系统解析,如果访问的域名在这台私有域名系统上进行了配置记录,则返回该域名的互联网地址,允许用户访问;如果解析失败,将该域名的解析请求转发至互联网域名系统,解析成功返回对应的互联网地址并访问;
5)当互联网用户通过互联网域名访问此有互联网地址的业务时,则采用互联网中常用的域名系统污染方法,使这个域名在互联网上看起来可以访问,实际上互联网域名系统会将这个域名解析到错误的互联网地址,从而拒绝互联网用户访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610454657.4A CN106101300B (zh) | 2016-06-22 | 2016-06-22 | 通过私有域名系统控制访问自建服务器的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610454657.4A CN106101300B (zh) | 2016-06-22 | 2016-06-22 | 通过私有域名系统控制访问自建服务器的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106101300A CN106101300A (zh) | 2016-11-09 |
| CN106101300B true CN106101300B (zh) | 2020-08-18 |
Family
ID=57238133
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610454657.4A Active CN106101300B (zh) | 2016-06-22 | 2016-06-22 | 通过私有域名系统控制访问自建服务器的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106101300B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109286647B (zh) * | 2017-07-21 | 2022-03-08 | 杭州海康威视数字技术股份有限公司 | 获取多媒体数据的方法和装置 |
| CN108881311A (zh) * | 2018-08-22 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 一种多网域环境下访问设备的方法 |
| CN109040342A (zh) * | 2018-08-28 | 2018-12-18 | 广东佳米科技有限公司 | 一种专享云服务器的寻址方法及系统 |
| CN109787952B (zh) * | 2018-11-22 | 2022-06-03 | 北京奇艺世纪科技有限公司 | 一种网络数据访问方法、装置及电子设备 |
| CN110519411A (zh) * | 2019-09-03 | 2019-11-29 | 广州小鹏汽车科技有限公司 | 一种数据下载方法和系统 |
| CN110719258B (zh) * | 2019-09-11 | 2022-01-25 | 视联动力信息技术股份有限公司 | 一种服务器访问方法和系统 |
| CN110830458B (zh) * | 2019-10-25 | 2021-11-23 | 云深互联(北京)科技有限公司 | 域名访问方法、系统、设备和计算机可读存储介质 |
| CN112054941B (zh) * | 2020-09-07 | 2023-03-24 | 平安科技(深圳)有限公司 | 私有域名自动化测试方法、装置、设备及存储介质 |
| CN112565360A (zh) * | 2020-11-26 | 2021-03-26 | 上海互海信息科技有限公司 | 一种结合对外官网和内网的综合管理系统 |
| CN112565484B (zh) * | 2021-02-19 | 2021-05-18 | 北京翼辉信息技术有限公司 | 域名无缝漫游访问局域网设备的方法、系统及存储介质 |
| CN113381906B (zh) * | 2021-05-19 | 2022-03-25 | 郑州信大捷安信息技术股份有限公司 | 基于政企系统业务的限制性外网访问测试方法 |
| CN114189494B (zh) * | 2021-12-16 | 2024-02-27 | 牙木科技股份有限公司 | 域名解析方法、dns服务器及可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567871A (zh) * | 2003-07-04 | 2005-01-19 | 华为技术有限公司 | 一种网络向用户终端发送信息的方法 |
| CN1642301A (zh) * | 2004-01-16 | 2005-07-20 | 华为技术有限公司 | 一种无线局域网中用户终端获取分组数据关口地址的方法 |
| CN101238453A (zh) * | 2003-09-19 | 2008-08-06 | 摩托罗拉公司 | 建立用于归属到归属通信的名字解析系统 |
| CN102932496A (zh) * | 2012-10-10 | 2013-02-13 | 瑞斯康达科技发展股份有限公司 | 一种管理域名系统信息的方法和系统 |
| CN103685590A (zh) * | 2012-09-14 | 2014-03-26 | 阿里巴巴集团控股有限公司 | 获取ip地址的方法及系统 |
| CN104079683A (zh) * | 2014-07-14 | 2014-10-01 | 北京快易博科技有限公司 | 一种授权域名服务器直接响应的域名解析方法及系统 |
| US9325735B1 (en) * | 2013-10-31 | 2016-04-26 | Palo Alto Networks, Inc. | Selective sinkholing of malware domains by a security device via DNS poisoning |
| CN105554179A (zh) * | 2016-01-08 | 2016-05-04 | 中国联合网络通信集团有限公司 | 局域网内DNS解析方法、系统、Openflow交换机及控制器 |
-
2016
- 2016-06-22 CN CN201610454657.4A patent/CN106101300B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567871A (zh) * | 2003-07-04 | 2005-01-19 | 华为技术有限公司 | 一种网络向用户终端发送信息的方法 |
| CN101238453A (zh) * | 2003-09-19 | 2008-08-06 | 摩托罗拉公司 | 建立用于归属到归属通信的名字解析系统 |
| CN1642301A (zh) * | 2004-01-16 | 2005-07-20 | 华为技术有限公司 | 一种无线局域网中用户终端获取分组数据关口地址的方法 |
| CN103685590A (zh) * | 2012-09-14 | 2014-03-26 | 阿里巴巴集团控股有限公司 | 获取ip地址的方法及系统 |
| CN102932496A (zh) * | 2012-10-10 | 2013-02-13 | 瑞斯康达科技发展股份有限公司 | 一种管理域名系统信息的方法和系统 |
| US9325735B1 (en) * | 2013-10-31 | 2016-04-26 | Palo Alto Networks, Inc. | Selective sinkholing of malware domains by a security device via DNS poisoning |
| CN104079683A (zh) * | 2014-07-14 | 2014-10-01 | 北京快易博科技有限公司 | 一种授权域名服务器直接响应的域名解析方法及系统 |
| CN105554179A (zh) * | 2016-01-08 | 2016-05-04 | 中国联合网络通信集团有限公司 | 局域网内DNS解析方法、系统、Openflow交换机及控制器 |
Non-Patent Citations (1)
| Title |
|---|
| 高校校园网私有DNS服务器架设研究;杨林,杨勇;《通信技术》;20110110;第44卷(第01期);118-120 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106101300A (zh) | 2016-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106101300B (zh) | 通过私有域名系统控制访问自建服务器的方法 | |
| US7895319B2 (en) | Variable DNS responses based on client identity | |
| US8584195B2 (en) | Identities correlation infrastructure for passive network monitoring | |
| CN108449444B (zh) | 区域数据传输方法、自循环域名解析系统及方法 | |
| CN110287709A (zh) | 用户操作权限控制方法、装置、设备及介质 | |
| US20090327487A1 (en) | Method and system for discovering dns resolvers | |
| US9026607B2 (en) | Promulgating information on websites using servers | |
| CN107800743B (zh) | 云桌面系统、云管理系统和相关设备 | |
| JP2014182828A (ja) | レコード・セットへのdnssec対応ゾーンの事前署名のためのシステムおよび方法 | |
| CN105282269B (zh) | 一种本地dns根服务器的配置方法和服务方法 | |
| TW200417190A (en) | System and method for high performance shared web hosting | |
| WO2017067443A1 (zh) | 一种安全域名系统及其故障处理方法 | |
| CN109819068B (zh) | 用户终端及其区块链域名解析方法、计算机设备、计算机可读存储介质 | |
| CN105025025A (zh) | 一种基于云平台的域名主动检测方法和系统 | |
| CN105592052A (zh) | 一种防火墙规则配置方法及装置 | |
| CN106936945B (zh) | 分布式域名解析方法及装置 | |
| CN104468619A (zh) | 一种实现双栈web认证的方法和认证网关 | |
| CN110708309A (zh) | 反爬虫系统及方法 | |
| US10432584B1 (en) | Managing lame delegated domains within a managed DNS service | |
| US20090043884A1 (en) | Recording Method and Recording System of Log | |
| US10320784B1 (en) | Methods for utilizing fingerprinting to manage network security and devices thereof | |
| US11095436B2 (en) | Key-based security for cloud services | |
| US10462180B1 (en) | System and method for mitigating phishing attacks against a secured computing device | |
| US20200204544A1 (en) | Biometric security for cloud services | |
| Zhu et al. | Internet security protection for IRC-based botnet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |