CN106375318A - 一种网络访问控制系统和方法 - Google Patents
一种网络访问控制系统和方法 Download PDFInfo
- Publication number
- CN106375318A CN106375318A CN201610801105.6A CN201610801105A CN106375318A CN 106375318 A CN106375318 A CN 106375318A CN 201610801105 A CN201610801105 A CN 201610801105A CN 106375318 A CN106375318 A CN 106375318A
- Authority
- CN
- China
- Prior art keywords
- corresponding relation
- address list
- security strategy
- domain name
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络访问控制系统和方法,用以保证防火墙获得的IP地址与PC端获得的IP地址一致,提高了网络访问控制的准确性。所述网络访问控制系统,包括:解码模块,用于截获并解码域名服务器发送给个人电脑PC端的地址解析协议DNS协议响应数据包,所述DNS协议响应数据包中携带有域名对象与互联网协议IP地址列表的对应关系;预处理模块,用于根据所述域名对象与IP地址列表的对应关系以及预设的域名对象与安全策略的对应关系,得到所述IP地址列表与安全策略的对应关系;所述数据转发模块,用于从所述预处理模块获取所述IP地址列表与安全策略的对应关系;并根据所述IP地址列表与安全策略的对应关系进行网络访问控制。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种网络访问控制系统和方法。
背景技术
网络访问控制技术是保证信息安全的常用方式,所谓访问控制,即为判断使用者是否有权限使用,或更动某一项资源,并防止非授权的使用者滥用资源。网络访问控制技术是通过对访问主体的身份进行限制,对访问对象进行保护,并通过技术限制,禁止访问对象受到入侵和破坏。
现有技术中主要根据防火墙主动发送DNS(Domain Name System,域名系统)协议请求数据包来获取域名对象和IP(Internet Protocol,互联网协议)地址的对应关系,然而,如果防火墙主动发送DNS协议请求数据包后得到的IP地址和PC(Persoanl Computer,个人电脑)端发送DNS协议请求数据包后得到的IP地址不一致,会导致最终网络访问控制失效。
发明内容
本发明提供了一种网络访问控制系统和方法,用以保证防火墙获得的IP地址与PC端获得的IP地址一致,从而提高了网络访问控制的准确性。
本发明实施例提供了一种网络访问控制系统,包括:
解码模块,用于截获并解码域名服务器发送给个人电脑PC端的域名系统DNS协议响应数据包,所述DNS协议响应数据包中携带有域名对象与互联网协议IP地址列表的对应关系;
预处理模块,用于根据所述域名对象与IP地址列表的对应关系以及预设的域名对象与安全策略的对应关系,得到所述IP地址列表与安全策略的对应关系;
数据转发模块,用于从所述预处理模块获取所述IP地址列表与安全策略的对应关系;并根据所述IP地址列表与安全策略的对应关系进行网络访问控制。
本发明实施例提供了一种网络访问控制方法,包括:
解码模块截获并解码域名服务器发送给个人电脑PC端的域名系统DNS协议响应数据包,所述DNS协议响应数据包中携带有域名对象与互联网协议IP地址列表的对应关系;
预处理模块根据所述域名对象与IP地址列表的对应关系以及预设的域名对象与安全策略的对应关系,得到所述IP地址列表与安全策略的对应关系;
数据转发模块从所述预处理模块获取根据所述IP地址列表与安全策略的对应关系,并根据所述IP地址列表与安全策略的对应关系进行网络访问控制。
本发明的有益效果包括:
本发明实施例提供的网络访问控制系统,防火墙截获并解码域名服务器发送给PC端的DNS协议响应数据包,DNS协议响应数据包中携带有PC端访问的域名对象与IP地址列表的对应关系,其中IP地址列表中包含有至少一个IP地址,再根据预设的域名对象与安全策略的对应关系将获得的域名对象与IP地址列表的对应关系转换得到IP地址列表与安全策略的对应关系。最后根据得到的IP地址列表与安全策略的对应关系进行网络访问控制。上述过程中,由于从DNS数据包中解析获得PC访问的域名对象对应的IP地址列表,保证了防火墙获得的IP地址与PC端获得的IP地址一致,从而提高了网络访问控制的准确性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例中,网络访问控制系统应用场景示意图;
图2a为本发明实施例中,网络访问控制系统结构示意图;
图2b为本发明实施例中,域名对象的DomainTrie树结构示意图;
图2b-1为本发明实施例中,预处理模块的实施流程示意图;
图2c为本发明实施例中,数据转发模块结构示意图;
图2d为本发明实施例中,数据转发模块实施流程示意图;
图3为本发明实施例中,网络访问控制方法实施流程示意图。
具体实施方式
为了保证防火墙获得的IP地址与PC端获得的IP地址一致,提高网络访问控制的准确性,本发明提供了一种网络访问控制系统和方法。
本发明实施例提供的网络访问控制系统实施原理是:防火墙截获并解码域名服务器发送给PC端的DNS协议响应数据包,DNS协议响应数据包中携带有PC端访问的域名对象与IP地址列表的对应关系,其中IP地址列表中包含有至少一个IP地址,再根据预设的域名对象与安全策略的对应关系将获得的域名对象与IP地址列表的对应关系转换得到IP地址列表与安全策略的对应关系。最后根据得到的IP地址列表与安全策略的对应关系进行网络访问控制。上述过程中,由于从DNS数据包中解析获得PC访问的域名对象对应的IP地址列表,保证了防火墙获得的IP地址与PC端获得的IP地址一致,从而提高了网络访问控制的准确性。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
首先参考图1,其为本发明实施例提供的网络访问控制系统的应用场景示意图,以用户通过PC端11访问百度服务器14的流程为例来进行说明,可以包括以下步骤:
步骤一、PC端向DNS域名服务器发送地址解析请求。
具体的,当用户在PC端11浏览器中输入域名www.baidu.com并提交后,PC端11向DNS域名服务器13发送DNS协议请求数据包以进行地址解析,其中携带有待解析的域名对象,本例中即www.baidu.com,本步骤对应于图1中过程(1)。
步骤二、DNS域名服务器向PC端返回DNS协议响应数据包。
本步骤中,DNS域名服务器13查找域名www.baidu.com对应的IP地址列表,并将查找到的IP携带在DNS协议响应数据包发送给PC端11,本步骤对应图1中过程(2)。
其中,DNS协议响应数据包中携带的信息包含以下内容:www.baidu.com:61.135.169.121,61.135.169.125。
根据本发明实施例中,当DNS协议响应数据包到达防火墙12时,防火墙12截获DNS域名服务器13发给PC端11的DNS协议响应数据包,对其进行解码获得域名对象和IP地址的对应关系,本例中,即防火墙获得如下对应关系:www.baidu.com:61.135.169.121,61.135.169.125。
进一步地,防火墙根据预先配置的安全策略将获得的域名对象与IP地址之间的对应关系转换为IP地址与安全策略之间的对应关系。
例如,预先配置的安全策略中,域名对象与安全策略的对应关系如下:
Fwrule1:www.baidu.com,www.qq.com;PERMIT(允许)
Fwrule2:www.baidu.com,www.163.com;DROP(阻止)
Fwrule2:www.baidu.com;DROP(阻止)
防火墙结合获得的域名对象与IP地址列表的对应关系:www.baidu.com:61.135.169.121,61.135.169.125,可以得到IP地址、域名对象与安全策略之间的对应关系,本例中,防火墙获得的对应关系如下:
61.135.169.121:www.baidu.com:1,2,3;
61.135.169.125:www.baidu.com:1,2,3。
由于同一IP地址对应的安全策略有多条,则防火墙可以根据预先设置的安全策略优先级选择生效的安全策略。例如,可以设置排序最前的安全策略优先级最高,本例中,即可以确定生效的安全策略如下:
61.135.169.121:www.baidu.com:1;
61.135.169.125:www.baidu.com:1。
具体实施时,还可以根据安全策略配置的时间确定安全策略的优先级,例如,确定配置时间最晚的安全策略的优先级最高等,本发明实施例中不再一一列举。
步骤三、PC端向百度服务器发送WEB访问请求。
本步骤中,PC端11根据接收到DNS协议响应数据包,得到www.baidu.com所对应的IP地址列表,以此IP地址列表中的任一地址(或者PC端根据一定的规则选择一IP地址)作为目的IP发送WEB访问请求到百度服务器14,本步骤对应于图1中过程(3)。
假设PC端11以61.135.169.121作为目的IP发起WEB访问。当PC端11发送的WEB访问请求到达防火墙12时,防火墙12根据获得的IP地址和安全策略的对应关系,查找目的IP对应的安全策略。本例中,即防火墙12查找61.135.169.121对应的安全策略为1(即Fwrule1),为PERMIT,则防火墙12允许PC端11针对该目的IP发起WEB访问请求,防火墙12根据目的IP向百度服务器14转发该WEB访问请求。
具体实施时,如果防火墙12根据获得的安全策略为DROP,则防火墙12将阻止PC端11发起WEB访问请求。
步骤四、百度服务器接收到PC端的访问请求后,向PC端返回响应数据。
本步骤对应于图1中的过程(4)。
由于现有技术中是通过防火墙12主动发送DNS协议请求数据包来获取域名对象和IP地址的对应关系,这样会导致一个问题,即防火墙12主动发送DNS协议请求数据包后得到的IP地址和PC端11发送DNS协议请求数据包后得到的IP地址不一致,会导致网络访问控制失效,而本发明实施例中通过防火墙12截获DNS域名服务器13发送的DNS协议响应数据包,对其进行解码可以获得比较精准的域名对象和IP地址的对应关系,提高网络访问控制的准确性;另外,现有技术在获取域名对象和IP地址后,通过将数据包目的地址转换为域名,然后匹配安全策略,从而完成数据转发的控制,整个过程都在数据转发模块中处理,影响到转发模块的性能,而本发明实施例中,通过预处理得到IP地址和安全策略的对应关系,并在数据转发之前进行处理,不会影响数据转发模块的性能。
下面结合图1的应用场景,参考图2a-图2d来描述根据本发明示例性实施方式的网络访问控制系统。需要注意的是,上述应用场景仅是为了便于理解本发明的精神和原理而示出,本发明的实施方式在此方面不受任何限制。相反,本发明的实施方式可以应用于适用的任何场景。
本发明实施例提供的网络访问控制系统可以应用于图1所示的防火墙中。如图2a所示,其为本发明实施例提供的网络访问控制系统结构示意图,可以包括:
解码模块21,用于截获并解码域名服务器发送给个人电脑PC端的域名系统DNS协议响应数据包,DNS协议响应数据包中携带有域名对象与互联网协议IP地址列表的对应关系。
如表1所示,为DNS协议响应数据包中携带的数据格式示意:
表1
具体实施时,结合表1,以域名对象www.baidu.com、www.163.com、www.qq.com为例进行说明:当用户在PC端浏览器中输入域名对象www.baidu.com后,PC端发送DNS协议请求数据包给DNS域名服务器以获得www.baidu.com对应的IP地址列表;当用户在PC端浏览器中输入域名对象www.163.com后,PC端发送DNS协议请求数据包给DNS域名服务器以获得www.163.com对应的IP地址列表;当用户在PC端浏览器中输入域名对象www.qq.com后,PC端发送DNS协议请求数据包给DNS域名服务器以获得www.qq.com对应的IP地址列表,如表1所示,www.baidu.com对应IP61.135.169.121和61.135.169.125、www.163.com对应IP111.202.60.48和111.202.57.27、www.qq.com对应IP 61.135.157.156和125.39.240.113,需要说明的是,一个域名对象可以对应1个IP地址,也可以对应多个IP地址,DNS域名服务器解析以上域名对象后,将DNS协议响应数据包发送给PC端,此时,防火墙利用解码模块截获并解码域名服务器DNS发送给PC端的DNS协议响应数据包,得到DNS协议响应数据包中的域名对象与IP地址列表的对应关系:www.baidu.com:61.135.169.121,61.135.169.125;www.163.com:111.202.60.48,111.202.57.27;www.qq.com:61.135.157.156,125.39.240.113。
预处理模块22,用于根据所述域名对象与IP地址列表的对应关系以及预设的域名对象与安全策略的对应关系,得到所述IP地址列表与安全策略的对应关系。
较佳地,所述预处理模块22,具体用于按照以下方法建立域名对象与安全策略的对应关系:
针对每一域名对象,将该域名对象反转得到的字符串生成Trie树结构,其中,所述Trie树的子节点中依序存储有所述字符串中包含的每一字符,存储有所述字符串中最后一个字符的叶子节点还存储有该域名对象对应的安全策略。
具体实施时,可以运用DomainTrie算法生成Trie树结构,结合图2b进行说明。DomainTrie算法通过将域名对象反转后生成DomainTrie结构,同时支持含有“*”的域名对象,来完成对域名匹配适应性。例如,匹配如下域名对象:bai.com、sin.com、123.com、*.cn、bei.edu、ab.edu,同时预先设置安全策略1、2、4三条规则引用该域名对象,根据配置的域名对象,进行反转生成如图2b所示的DomainTrie树结构,域名bai.com、sin.com、123.com、*.cn、bei.edu、ab.edu反转后分别为moc.iab、moc.nis、moc.321、nc.*、ude.ieb、ude.ba,DomainTrie树的子节点中依序存储有反转后的域名对象字符串中包含的每一字符,其中,存储反转后的域名对象字符串的最后一个字符的叶子节点还存储有该域名对象对应的安全策略列表<1、2、4>,同时将安全策略列表升序排列后保存。
较佳地,如图2b-1所示,其为本发明实施例提供的网络访问控制系统的预处理模块实施流程示意图,可以包括以下步骤:
S221、将所述DNS协议响应数据包中携带的域名对象反转得到待匹配字符串。
具体实施时,上一步中DNS协议响应数据包中的域名对象bai.com与IP地址列表的对应关系为<bai.com:192.168.1.1>,将域名bai.com反转后得到待匹配字符串moc.iab。
S222、利用所述待匹配字符串在所述Trie树结构中查找与所述待匹配字符串匹配的安全策略。
本步骤中,将反转后得到的待匹配字符串moc.iab输入到生成的DomainTrie树中进行查找匹配处理,得到安全策略列表。
S223、建立所述IP地址列表与查找到的安全策略的对应关系。
本步骤中,根据域名对象bai.com与IP地址列表的对应关系<bai.com:192.168.1.1>及步骤S222中域名对象bai.com匹配到的安全策略列表<1,2,4>可以转换得到IP地址列表和安全策略的对应关系<192.168.1.1:1,2,4>。
需要说明的是,根据同样的步骤,如果配置abc.cn、123.cn、jd.cn都可以匹配到域名*.cn,从而匹配得到安全策略列表<1,2,4>,这里不再赘述。
数据转发模块23,用于从所述预处理模块获取所述IP地址列表与安全策略的对应关系;并根据所述IP地址列表与安全策略的对应关系进行网络访问控制。
具体实施时,当预处理模块22完成预处理后,得到IP地址列表与安全策略的对应关系,数据转发模块23获取该IP地址列表与安全策略的对应关系,并根据该IP地址列表与安全策略的对应关系进行网络访问控制。
较佳地,数据转发模块23可以包括第一处理子模块231和第二处理子模块232,用于按照预设的周期交替从所述预处理模块获取所述IP地址列表与安全策略的对应关系,其结构示意图如图2c所示。
具体实施时,第一处理子模块231与第二处理子模块232可以按照如图2d所示的流程进行处理,图2d为本发明实施例提供的数据转发模块实施流程示意图,可以包括:
S2311、如果当前周期所述第一处理子模块231用于从所述预处理模块获取所述IP地址列表与安全策略的对应关系,则所述第二处理子模块232用于根据上一周期获取的所述IP地址列表与安全策略的对应关系进行网络访问控制。
S2312、如果当前周期所述第二处理子模块232用于从所述预处理模块获取所述IP地址列表与安全策略的对应关系,则所述第一处理子模块231用于根据上一周期获取的所述IP地址列表与安全策略的对应关系进行网络访问控制。
具体实施时,第一处理子模块231和第二处理子模块232按照预设的周期交替从预处理模块22获取所述IP地址列表与安全策略的对应关系。如果当前周期第一处理子模块231用于从预处理模块22获取IP地址列表与安全策略的对应关系,则第二处理子模块232用于根据上一周期获取的所述IP地址列表与安全策略的对应关系进行网络访问控制;如果当前周期第二处理子模块232用于从预处理模块获取IP地址列表与安全策略的对应关系,则第一处理子模块231用于根据上一周期获取的所述IP地址列表与安全策略的对应关系进行网络访问控制。从而可以隔离开读取配置和使用配置两个过程,使它们互不影响。
可选地,数据转发模块23,具体用于如果所述IP地址列表对应的安全策略有多条时,则按照预先设置的安全策略优先级选择优先级最高的安全策略进行网络访问控制。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
本发明实施例提供的网络访问控制系统,防火墙截获并解码域名服务器发送给PC端的DNS协议响应数据包,DNS协议响应数据包中携带有PC端访问的域名对象与IP地址列表的对应关系,其中IP地址列表中包含有至少一个IP地址,再根据预设的域名对象与安全策略的对应关系将获得的域名对象与IP地址列表的对应关系转换得到IP地址列表与安全策略的对应关系。最后根据得到的IP地址列表与安全策略的对应关系进行网络访问控制。上述过程中,由于从DNS数据包中解析获得PC访问的域名对象对应的IP地址列表,保证了防火墙获得的IP地址与PC端获得的IP地址一致,从而提高了网络访问控制的准确性,并且预处理模块是在数据转发之前进行的,获取IP地址与安全策略的对应关系后,再通过数据转发模块获取得到的IP地址与安全策略的对应关系进行网络访问控制,从而减少了对数据转发模块性能的影响。
基于同一发明构思,本发明实施例中还提供了网络访问控制方法,由于上述方法解决问题的原理与网络访问控制系统相似,因此上述方法的实施可以参见系统的实施,重复之处不再赘述。
如图3所示,其为本发明实施例提供的网络访问控制方法实施流程示意图,可以包括以下步骤:
S31、解码模块截获并解码域名服务器发送给个人电脑PC端的域名系统DNS协议响应数据包,所述DNS协议响应数据包中携带有域名对象与互联网协议IP地址列表的对应关系。
S32、预处理模块根据所述域名对象与IP地址列表的对应关系以及预设的域名对象与安全策略的对应关系,得到所述IP地址列表与安全策略的对应关系。
S33、数据转发模块从所述预处理模块获取根据所述IP地址列表与安全策略的对应关系,并根据所述IP地址列表与安全策略的对应关系进行网络访问控制。
较佳地,所述数据转发模块可以包括第一处理子模块和第二处理子模块;以及
数据转发模块从所述预处理模块获取根据所述IP地址列表与安全策略的对应关系,具体包括:
所述第一处理子模块和所述第二处理子模块按照预设的周期交替从所述预处理模块获取所述IP地址列表与安全策略的对应关系;以及
根据所述IP地址列表与安全策略的对应关系进行网络访问控制,具体包括:
如果当前周期所述第一处理子模块用于从所述预处理模块获取所述IP地址列表与安全策略的对应关系,则所述第二处理子模块根据上一周期获取的所述IP地址列表与安全策略的对应关系进行网络访问控制;
如果当前周期所述第二处理子模块从所述预处理模块获取所述IP地址列表与安全策略的对应关系,则所述第一处理子模块根据上一周期获取的所述IP地址列表与安全策略的对应关系进行网络访问控制。
较佳地,域名对象与安全策略的对应关系为所述预处理模块可以按照以下方式建立的:
所述预处理模块针对每一域名对象,将该域名对象反转得到的字符串生成Trie树结构,其中,所述Trie树的子节点中依序存储有所述字符串中包含的每一字符,存储有所述字符串中最后一个字符的叶子节点还存储有该域名对象对应的安全策略。
较佳地,预处理模块根据所述域名对象与IP地址列表的对应关系以及预设的域名对象与安全策略的对应关系,得到所述IP地址列表与安全策略的对应关系,具体包括:
所述预处理模块将所述DNS协议响应数据包中携带的域名对象反转得到对应的待匹配字符串;并
利用所述待匹配字符串在所述Trie树结构中查找与所述待匹配字符串匹配的安全策略;
所述预处理模块建立所述IP地址列表与查找到的安全策略的对应关系。
可选地,如果所述IP地址列表对应的安全策略有多条,则数据转发模块根据所述IP地址列表与安全策略的对应关系进行网络访问控制,具体包括:
数据转发模块按照预先设置的安全策略优先级选择优先级最高的安全策略进行网络访问控制。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种网络访问控制系统,其特征在于,包括:
解码模块,用于截获并解码域名服务器发送给个人电脑PC端的域名系统DNS协议响应数据包,所述DNS协议响应数据包中携带有域名对象与互联网协议IP地址列表的对应关系;
预处理模块,用于根据所述域名对象与IP地址列表的对应关系以及预设的域名对象与安全策略的对应关系,得到所述IP地址列表与安全策略的对应关系;
数据转发模块,用于从所述预处理模块获取所述IP地址列表与安全策略的对应关系;并根据所述IP地址列表与安全策略的对应关系进行网络访问控制。
2.如权利要求1所述的系统,其特征在于,所述数据转发模块,包括第一处理子模块和第二处理子模块,所述第一处理子模块和所述第二处理子模块用于按照预设的周期交替从所述预处理模块获取所述IP地址列表与安全策略的对应关系,其中:
如果当前周期所述第一处理子模块用于从所述预处理模块获取所述IP地址列表与安全策略的对应关系,则所述第二处理子模块用于根据上一周期获取的所述IP地址列表与安全策略的对应关系进行网络访问控制;
如果当前周期所述第二处理子模块用于从所述预处理模块获取所述IP地址列表与安全策略的对应关系,则所述第一处理子模块用于根据上一周期获取的所述IP地址列表与安全策略的对应关系进行网络访问控制。
3.如权利要求1所述的系统,其特征在于,
所述预处理模块,具体用于按照以下方法建立域名对象与安全策略的对应关系:针对每一域名对象,将该域名对象反转得到的字符串生成Trie树结构,其中,所述Trie树的子节点中依序存储有所述字符串中包含的每一字符,存储有所述字符串中最后一个字符的叶子节点还存储有该域名对象对应的安全策略。
4.如权利要求3所述的系统,其特征在于,
所述预处理模块,具体用于将所述DNS协议响应数据包中携带的域名对象反转得到待匹配字符串;利用所述待匹配字符串在所述Trie树结构中查找与所述待匹配字符串匹配的安全策略;建立所述IP地址列表与查找到的安全策略的对应关系。
5.如权利要求1所述的系统,其特征在于,
所述数据转发模块,具体用于如果所述IP地址列表对应的安全策略有多条时,则按照预先设置的安全策略优先级选择优先级最高的安全策略进行网络访问控制。
6.一种网络访问控制方法,其特征在于,包括
解码模块截获并解码域名服务器发送给个人电脑PC端的域名系统DNS协议响应数据包,所述DNS协议响应数据包中携带有域名对象与互联网协议IP地址列表的对应关系;
预处理模块根据所述域名对象与IP地址列表的对应关系以及预设的域名对象与安全策略的对应关系,得到所述IP地址列表与安全策略的对应关系;
数据转发模块从所述预处理模块获取根据所述IP地址列表与安全策略的对应关系,并根据所述IP地址列表与安全策略的对应关系进行网络访问控制。
7.如权利要求6所述的方法,其特征在于,所述数据转发模块包括第一处理子模块和第二处理子模块;以及
数据转发模块从所述预处理模块获取根据所述IP地址列表与安全策略的对应关系,具体包括:
所述第一处理子模块和所述第二处理子模块按照预设的周期交替从所述预处理模块获取所述IP地址列表与安全策略的对应关系;以及
根据所述IP地址列表与安全策略的对应关系进行网络访问控制,具体包括:
如果当前周期所述第一处理子模块用于从所述预处理模块获取所述IP地址列表与安全策略的对应关系,则所述第二处理子模块根据上一周期获取的所述IP地址列表与安全策略的对应关系进行网络访问控制;
如果当前周期所述第二处理子模块从所述预处理模块获取所述IP地址列表与安全策略的对应关系,则所述第一处理子模块根据上一周期获取的所述IP地址列表与安全策略的对应关系进行网络访问控制。
8.如权利要求6所述的方法,其特征在于,域名对象与安全策略的对应关系为所述预处理模块按照以下方式建立的:
所述预处理模块针对每一域名对象,将该域名对象反转得到的字符串生成Trie树结构,其中,所述Trie树的子节点中依序存储有所述字符串中包含的每一字符,存储有所述字符串中最后一个字符的叶子节点还存储有该域名对象对应的安全策略。
9.如权利要求8所述的方法,其特征在于,预处理模块根据所述域名对象与IP地址列表的对应关系以及预设的域名对象与安全策略的对应关系,得到所述IP地址列表与安全策略的对应关系,具体包括:
所述预处理模块将所述DNS协议响应数据包中携带的域名对象反转得到对应的待匹配字符串;并
利用所述待匹配字符串在所述Trie树结构中查找与所述待匹配字符串匹配的安全策略;
所述预处理模块建立所述IP地址列表与查找到的安全策略的对应关系。
10.如权利要求6所述的方法,其特征在于,如果所述IP地址列表对应的安全策略有多条,则数据转发模块根据所述IP地址列表与安全策略的对应关系进行网络访问控制,具体包括:
数据转发模块按照预先设置的安全策略优先级选择优先级最高的安全策略进行网络访问控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610801105.6A CN106375318A (zh) | 2016-09-01 | 2016-09-01 | 一种网络访问控制系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610801105.6A CN106375318A (zh) | 2016-09-01 | 2016-09-01 | 一种网络访问控制系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106375318A true CN106375318A (zh) | 2017-02-01 |
Family
ID=57900367
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610801105.6A Pending CN106375318A (zh) | 2016-09-01 | 2016-09-01 | 一种网络访问控制系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106375318A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107124479A (zh) * | 2017-04-19 | 2017-09-01 | 成都西维数码科技有限公司 | 一种基于基数树的域名多线路智能解析方法 |
| CN107317818A (zh) * | 2017-07-11 | 2017-11-03 | 浙江远望信息股份有限公司 | 一种基于dns劫持技术的网络曾联探测方法 |
| CN108023877A (zh) * | 2017-11-20 | 2018-05-11 | 烽火通信科技股份有限公司 | 一种基于家庭网关实现防火墙域名控制的系统方法 |
| CN110392129A (zh) * | 2019-08-20 | 2019-10-29 | 清华大学 | IPv6客户机以及IPv6客户机与服务器通信的方法 |
| CN111064731A (zh) * | 2019-12-23 | 2020-04-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种浏览器请求的访问权限的识别方法、识别装置及终端 |
| CN113407983A (zh) * | 2020-03-16 | 2021-09-17 | 北京国双科技有限公司 | 一种安全策略的下发方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102055813A (zh) * | 2010-11-22 | 2011-05-11 | 杭州华三通信技术有限公司 | 一种网络应用的访问控制方法及其装置 |
| CN103327025A (zh) * | 2013-06-28 | 2013-09-25 | 北京奇虎科技有限公司 | 网络访问控制方法及装置 |
| CN104836809A (zh) * | 2015-05-13 | 2015-08-12 | 汉柏科技有限公司 | 一种基于防火墙的dns防护方法和系统 |
| US20160173440A1 (en) * | 2014-12-12 | 2016-06-16 | Donuts Inc. | Communication using dns repurposing |
-
2016
- 2016-09-01 CN CN201610801105.6A patent/CN106375318A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102055813A (zh) * | 2010-11-22 | 2011-05-11 | 杭州华三通信技术有限公司 | 一种网络应用的访问控制方法及其装置 |
| CN103327025A (zh) * | 2013-06-28 | 2013-09-25 | 北京奇虎科技有限公司 | 网络访问控制方法及装置 |
| US20160173440A1 (en) * | 2014-12-12 | 2016-06-16 | Donuts Inc. | Communication using dns repurposing |
| CN104836809A (zh) * | 2015-05-13 | 2015-08-12 | 汉柏科技有限公司 | 一种基于防火墙的dns防护方法和系统 |
Non-Patent Citations (2)
| Title |
|---|
| 朱培栋: "《高性能路由器》", 31 December 2005 * |
| 邹永林等: "《数据结构与算法教程》", 30 September 2004 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107124479A (zh) * | 2017-04-19 | 2017-09-01 | 成都西维数码科技有限公司 | 一种基于基数树的域名多线路智能解析方法 |
| CN107124479B (zh) * | 2017-04-19 | 2019-09-13 | 成都西维数码科技有限公司 | 一种基于基数树的域名多线路智能解析方法 |
| CN107317818A (zh) * | 2017-07-11 | 2017-11-03 | 浙江远望信息股份有限公司 | 一种基于dns劫持技术的网络曾联探测方法 |
| CN107317818B (zh) * | 2017-07-11 | 2020-11-06 | 浙江远望信息股份有限公司 | 一种基于dns劫持技术的网络曾联探测方法 |
| CN108023877A (zh) * | 2017-11-20 | 2018-05-11 | 烽火通信科技股份有限公司 | 一种基于家庭网关实现防火墙域名控制的系统方法 |
| CN110392129A (zh) * | 2019-08-20 | 2019-10-29 | 清华大学 | IPv6客户机以及IPv6客户机与服务器通信的方法 |
| CN110392129B (zh) * | 2019-08-20 | 2020-07-17 | 清华大学 | IPv6客户机以及IPv6客户机与服务器通信的方法 |
| CN111064731A (zh) * | 2019-12-23 | 2020-04-24 | 北京神州绿盟信息安全科技股份有限公司 | 一种浏览器请求的访问权限的识别方法、识别装置及终端 |
| CN111064731B (zh) * | 2019-12-23 | 2022-02-15 | 绿盟科技集团股份有限公司 | 一种浏览器请求的访问权限的识别方法、识别装置及终端 |
| CN113407983A (zh) * | 2020-03-16 | 2021-09-17 | 北京国双科技有限公司 | 一种安全策略的下发方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106375318A (zh) | 一种网络访问控制系统和方法 | |
| US9558355B2 (en) | Security scan based on dynamic taint | |
| KR101861026B1 (ko) | 비공개 데이터를 보호하는 보안 프록시 | |
| US9270662B1 (en) | Adaptive client-aware session security | |
| EP3267350A1 (en) | Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack | |
| EP3378214B1 (en) | Controlling access to online resources using device validations | |
| US10419431B2 (en) | Preventing cross-site request forgery using environment fingerprints of a client device | |
| CN105939348B (zh) | Mac地址认证方法以及装置 | |
| CN105991614B (zh) | 一种开放授权、资源访问的方法及装置、服务器 | |
| US10007776B1 (en) | Systems and methods for distinguishing among human users and software robots | |
| WO2017152050A1 (en) | Deterministic reproduction of client/server computer state or output sent to one or more client computers | |
| CN106790238A (zh) | 一种跨站请求伪造csrf防御认证方法和装置 | |
| WO2012017384A1 (en) | Identity assessment method and system | |
| WO2019184137A1 (zh) | 漏洞检测方法、装置、计算机设备和存储介质 | |
| CN106506462B (zh) | 一种基于表单置乱的网站安全保护方法与装置 | |
| JP2021082309A (ja) | パスワード保護質問設定方法及び装置 | |
| Pant et al. | Authentication and authorization in modern web apps for data security using Nodejs and role of dark web | |
| CN109688153A (zh) | 使用主机应用/程序到用户代理的映射的零日威胁检测 | |
| CN111770072B (zh) | 一种单点登录接入功能页面的方法和装置 | |
| KR20190034789A (ko) | 난수발생장치를 이용한 사용자 인증 방법 | |
| CN104660556B (zh) | 跨站伪造请求漏洞检测的方法及装置 | |
| CN105656854B (zh) | 一种验证无线局域网络用户来源的方法、设备及系统 | |
| CN103188208A (zh) | 网页访问的权限控制方法、系统和呼叫中心 | |
| CN110875903A (zh) | 一种安全防御方法及设备 | |
| CN107294920B (zh) | 一种反向信任登录方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170201 |
|
| RJ01 | Rejection of invention patent application after publication |