CN108023877B - 一种基于家庭网关实现防火墙域名控制的系统方法 - Google Patents
一种基于家庭网关实现防火墙域名控制的系统方法 Download PDFInfo
- Publication number
- CN108023877B CN108023877B CN201711157927.6A CN201711157927A CN108023877B CN 108023877 B CN108023877 B CN 108023877B CN 201711157927 A CN201711157927 A CN 201711157927A CN 108023877 B CN108023877 B CN 108023877B
- Authority
- CN
- China
- Prior art keywords
- domain name
- module
- address
- dns
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于家庭网关实现防火墙域名控制的系统方法,涉及家庭网关领域,系统包括DNS模块和防火墙模块,防火墙模块又包括域名数据库和域名规则模块,步骤包括:网络管理员在所述域名数据库中配置需要访问控制的域名,在所述域名规则模块中配置所述域名对应的IP地址和对应关系;DNS模块接收来自LAN侧的DNS查询,将其向WAN侧转发;DNS模块将回复报文转发给LAN侧用户,同时将需要访问控制的域名和对应的IP发送给防火墙模块;用户向对应的IP地址发起HTTP请求,防火墙模块对用户进行域名控制。本发明避免域名访问中存在的控制漏洞,保证需要控制访问的域名都被成功控制。
Description
技术领域
本发明涉及家庭网关领域,具体来讲涉及一种基于家庭网关实现防火墙域名控制的系统方法。
背景技术
网络是基于TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/因特网互联协议)协议进行通信和连接的,每一台主机都有一个唯一的标识固定的IP地址,以区别在网络上成千上万个用户和计算机。由于IP地址是数字标识,使用时难以记忆和书写,因此在IP地址的基础上又发展出一种符号化的地址方案,来代替数字型的IP地址。这个与网络上的数字型IP地址相对应的字符型地址,就被称为域名。
随着宽带技术的发展,上网(访问域名)已经成为人们必不可少的日常行为之一。但是基于各种原因,网络管理者很多情况下需要限制上网用户的上网行为,例如禁止访问或者只允许访问一些特定的域名。家庭网关作为Internet网络的接入终端,是实现这一功能的最佳场所。
限制域名访问的方法中,有一种是通过HTTP(HyperText Transfer Protocol,超文本传输协议)报文中的HOST、Refer字段的内容来进行匹配限制。这种方式的好处是可以通过查询其中的一些关键字进行匹配限制,从而简化过滤条件。但是这种方法是对HTTP协议报文进行了控制,而这时候TCP的三次握手已经完成。
在某些应用或场景下,甚至不想让或不能让通信双方握手成功,需要在网络层(IP)就进行控制。这时候就需要对域名进行解析来返回IP地址,而域名与IP地址是一对多的关系,一个域名可以对应多个IP地址。甚至对一些网站来说,一个域名对应了很多的IP地址,在一次查询中并不会返回所有的IP地址,每次查询到的IP地址都可能不一样。而家庭网关不可能记录下所有的IP,因此无法通过没有被记录的IP地址进行域名访问控制,域名访问控制存在漏洞,导致有的域名无法被成功控制。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种基于家庭网关实现防火墙域名控制的系统方法,避免域名访问控制中存在的漏洞,保证需要控制访问的域名都被成功控制。
为达到以上目的,本发明采取一种基于家庭网关实现防火墙域名控制的系统,设置于家庭网关内,包括:
DNS模块,其用于向WAN侧转发针对域名的DNS查询,并将WAN侧的回复报文转发给LAN侧,所述回复报文包括域名和对应的IP地址;当回复报文中域名为需要访问控制的域名时,DNS模块还用于将域名和对应的IP地址发送给防火墙模块;
防火墙模块,其包括域名数据库和域名规则模块,域名数据库存储需要访问控制的域名,域名规则模块存储需要访问控制域名对应的IP地址及对应关系,域名规则模块用于更新内部存储的IP地址和对应关系,防火墙模块用于根据对应的IP地址及对应关系,对来自用户的域名进行控制。
在上述技术方案的基础上,所述DNS模块转发的DNS查询来自LAN侧的用户,所述DNS查询是针对域名获取对应的IP地址的查询请求。
在上述技术方案的基础上,所述DNS模块接收的回复报文来自WAN侧DNS服务器。
在上述技术方案的基础上,所述DNS模块用于侦听需要访问控制的域名,所述需要访问控制的域名来自防火墙模块的域名数据库。
在上述技术方案的基础上,防火墙模块收到来自DNS模块的域名和对应的IP地址,当对应的IP地址不在域名规则模块中,使用所述对应的IP地址和对应关系更新所述域名规则模块。
本发明还提供一种基于家庭网关实现防火墙域名控制的方法,包括:
S1.网络管理员在所述域名数据库中配置需要访问控制的域名,在所述域名规则模块中配置所述域名对应的IP地址和对应关系;
S2.DNS模块将来自LAN侧的DNS查询向WAN侧转发,并将WAN侧的回复报文转发给LAN侧;当回复报文中的域名为需要访问控制的域名时,DNS模块将域名和对应的IP地址发送给防火墙模块进行更新;
S3.用户向对应的IP地址发起HTTP请求到家庭网关,若对应的IP地址存在于域名规则模块中,防火墙模块对用户进行域名控制。
在上述技术方案的基础上,所述防火墙模块启动后,将域名数据库中存储的需要访问控制的域名通知所述DNS模块侦听。
在上述技术方案的基础上,所述S2中,连接家庭网关的用户通过在浏览器输入域名发起上网请求,在LAN侧发起针对所述域名的DNS查询,所述DNS模块将DNS查询转发给WAN侧的DNS服务器,并接收DNS服务器返回的回复报文。
在上述技术方案的基础上,所述S2中,防火墙模块收到域名和对应的IP地址后,判断所述对应的IP地址是否存在于域名规则模块中,若否,使用域名对应的IP地址和对应关系进行更新,若是,不做处理。
在上述技术方案的基础上,所述域名对应的IP地址至少为一个。
本发明的有益效果在于:
1、将防火墙模块内的域名数据库告知给DNS(Domain Name System,域名系统)模块进行侦听,当DNS模块侦听到对应的域名时,在防火墙模块的域名规则模块内查找对应的IP地址,如果找到,则对域名进行控制,保证用户访问域名控制的有效性。
2、域名规则模块内,根据每次DNS模块侦听到对应的域名对应的新的IP地址进行更新,实时保持对应的IP地址是最新的,对应的IP地址可以是一个地址,也可以是地址的集合,避免访问控制中漏洞的产生,保证需要控制访问的域名对应的IP地址都被成功控制。
附图说明
图1为本发明实施例基于家庭网关实现防火墙域名控制的系统与DNS服务器交互的示意图;
图2为本发明实施例动态域名IP控制流程图,其中不包括步骤S1。
附图标记:
1-DNS模块,2-防火墙模块,21-域名数据库,22-域名规则模块,3-DNS服务器。
具体实施方式
以下结合附图及实施例对本发明作进一步详细说明。
如图1所示,本发明基于家庭网关实现防火墙域名控制的系统,设置于家庭网关内部,包括DNS模块1和防火墙模块2。
DNS模块1用于接收来自LAN(Local Area Network,局域网)侧用户的针对某个域名的DNS查询,并将DNS查询转发给WAN(Wide Area Network,广域网)侧的DNS服务器3中,其中,DNS查询是针对域名获取对应的IP地址的查询请求,域名对应的IP地址有可能是一个地址,也有可能是多个地址,并以集合的形式表示。DNS模块1还用于接收WAN侧DNS服务器3的回复报文,并将回复报文转发给LAN侧的用户,其中,回复报文包括域名和对应的IP地址。
DNS模块1用于侦听需要访问控制的域名,当所述WAN侧回复的域名为需要访问控制的域名时,DNS模块1将域名和对应的IP地址发送给防火墙模块2;当所述WAN侧回复的域名不是需要访问控制的域名时,DNS模块1不发送域名和对应的IP地址给防火墙模块2。
防火墙模块2用于根据域名和对应的IP地址,对来自用户的域名进行控制。具体的,防火墙模块2包括域名数据库21和域名规则模块22,域名数据库21中存储需要访问控制的域名,这些域名通过网络管理员预先进行设置。域名规则模块22中存储需要访问控制域名对应的IP地址及对应关系,域名规则模块22用于当对应的IP地址不存在时,使用对应的IP地址和对应关系进行更新,即在域名规则模块22中添加新的对应的IP地址和对应关系。
基于上述系统的家庭网关实现防火墙域名控制的方法,包括步骤:
S1.网络管理员在域名数据库21中配置需要访问控制的域名,在域名规则模块22中配置所述域名对应的IP地址和对应关系。
S2.DNS模块1将来自LAN侧的DNS查询向WAN侧转发,并将WAN侧的回复报文转发给LAN侧;当回复报文中的域名为需要访问控制的域名时,DNS模块1将域名和对应的IP地址发送给防火墙模2块进行更新。
如图2所示,S2中具体包括如下步骤:
S201.防火墙模块2启动后,查询域名数据库21,将域名数据库21中存储的域名通知DNS模块1进行侦听。
S202.连接家庭网关的用户发起上网请求,通过用户设备(如PC、手机等)在浏览器输入网址A,用户设备发起针对域名A的DNS查询,以便获取通信用的对应IP地址。
S203.DNS模块1接收来自LAN侧用户的DNS查询,向WAN侧的DNS服务器3转发域名A的DNS查询。
S204.DNS模块1收到来自DNS服务器3的回复报文,回复报文包括域名A和对应的IP地址,为了更清楚的表述,后面用IPA表示域名A对应的IP地址,IPA可能是一个或多个IP地址。
S205.DNS模块1将回复报文转发给LAN侧,同时判断域名A是否为需要侦听的域名,即,是否为域名数据库21中存储的需要访问控制的域名,若是,进入S206;若否,进入S3。
S206.DNS模块1将域名A对应的IP地址IPA告知防火墙模块2。
S207.防火墙模块2得到IPA以及域名A和IPA的对应关系{A,IPA},判断域名A对应的IPA是否存在于域名规则模块22中,若是,不做处理,进入S3;若否,进入S208。
S208.说明IPA是新的IP地址,则更新域名规则模块22,将IPA和对应关系加入到域名规则模块22中,通知DNS模块1更新完成,进入S3。
S3.LAN侧的用户向IPA发起HTTP请求,家庭网关的防火墙模块2收到HTTP请求后,根据请求的IPA在域名规则模块22中进行匹配,若IPA存在于域名规则模块22中,防火墙模块2对用户进行域名控制,即实行相关的放行或拒绝等。
本发明通过上述方法,实时保持IPA的更新,避免域名控制中的漏洞产生,保持域名控制的有效性。
本发明不局限于上述实施方式,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
Claims (3)
1.一种基于家庭网关实现防火墙域名控制的系统的基于家庭网关实现防火墙域名控制的方法,所述系统设置于家庭网关内,所述系统包括:
DNS模块,其用于向WAN侧转发针对域名的DNS查询,并将WAN侧的回复报文转发给LAN侧,所述回复报文包括域名和对应的IP地址;当回复报文中域名为需要访问控制的域名时,DNS模块还用于将域名和对应的IP地址发送给防火墙模块;
防火墙模块,其包括域名数据库和域名规则模块,域名数据库存储需要访问控制的域名,域名规则模块存储需要访问控制域名对应的IP地址及对应关系,域名规则模块用于更新内部存储的IP地址和对应关系,防火墙模块用于根据对应的IP地址及对应关系,对来自用户的域名进行控制;
所述方法包括:
S1.网络管理员在所述域名数据库中配置需要访问控制的域名,在所述域名规则模块中配置所述域名对应的IP地址和对应关系;
S2.DNS模块将来自LAN侧的DNS查询向WAN侧转发,并将WAN侧的回复报文转发给LAN侧;当回复报文中的域名为需要访问控制的域名时,DNS模块将域名和对应的IP地址发送给防火墙模块进行更新;
S3.用户向对应的IP地址发起HTTP请求到家庭网关,若对应的IP地址存在于域名规则模块中,防火墙模块对用户进行域名控制;
所述防火墙模块启动后,将域名数据库中存储的需要访问控制的域名通知所述DNS模块侦听;
所述S2中,防火墙模块收到域名和对应的IP地址后,判断所述对应的IP地址是否存在于域名规则模块中,若否,使用域名对应的IP地址和对应关系进行更新,若是,不做处理。
2.如权利要求1所述的基于家庭网关实现防火墙域名控制的方法,其特征在于:所述S2中,连接家庭网关的用户通过在浏览器输入域名发起上网请求,在LAN侧发起针对所述域名的DNS查询,所述DNS模块将DNS查询转发给WAN侧的DNS服务器,并接收DNS服务器返回的回复报文。
3.如权利要求1或2所述的基于家庭网关实现防火墙域名控制的方法,其特征在于:所述域名对应的IP地址至少为一个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711157927.6A CN108023877B (zh) | 2017-11-20 | 2017-11-20 | 一种基于家庭网关实现防火墙域名控制的系统方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711157927.6A CN108023877B (zh) | 2017-11-20 | 2017-11-20 | 一种基于家庭网关实现防火墙域名控制的系统方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108023877A CN108023877A (zh) | 2018-05-11 |
| CN108023877B true CN108023877B (zh) | 2020-10-30 |
Family
ID=62080780
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711157927.6A Active CN108023877B (zh) | 2017-11-20 | 2017-11-20 | 一种基于家庭网关实现防火墙域名控制的系统方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108023877B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150655B (zh) * | 2018-07-25 | 2020-09-11 | 赛尔网络有限公司 | 一种IPv4防火墙IPv6绕过的检测方法 |
| CN110149349A (zh) * | 2019-06-21 | 2019-08-20 | 北京天融信网络安全技术有限公司 | 一种网络访问控制方法及装置 |
| CN110430189A (zh) * | 2019-08-02 | 2019-11-08 | 北京天融信网络安全技术有限公司 | 一种域名系统访问控制方法及装置 |
| CN111865976A (zh) * | 2020-07-17 | 2020-10-30 | 北京天融信网络安全技术有限公司 | 一种访问控制方法、装置及网关 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082836B (zh) * | 2009-11-30 | 2013-08-14 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
| KR101428999B1 (ko) * | 2013-04-12 | 2014-08-12 | 주식회사 엑스게이트 | Dns 정보를 이용한 패킷 필터링 방법 및 방화벽 장치 |
| CN103581363B (zh) * | 2013-11-29 | 2017-12-12 | 哈尔滨工业大学(威海) | 对恶意域名和非法访问的控制方法及装置 |
| CN104202444B (zh) * | 2014-09-26 | 2017-11-28 | 上海斐讯数据通信技术有限公司 | 一种外部访问控制方法、网关及dns服务器 |
| CN106375318A (zh) * | 2016-09-01 | 2017-02-01 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络访问控制系统和方法 |
-
2017
- 2017-11-20 CN CN201711157927.6A patent/CN108023877B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108023877A (zh) | 2018-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108023877B (zh) | 一种基于家庭网关实现防火墙域名控制的系统方法 | |
| US20230396583A1 (en) | Dynamic firewall configuration | |
| KR100780494B1 (ko) | 사용자 터미널 관리 장치, 사용자 터미널 관리 프로그램을 기록한 기록 매체 및 사용자 터미널 관리 시스템 | |
| AU2020386847B2 (en) | Asset search and discovery system using graph data structures | |
| JPWO2004059925A1 (ja) | 静的な識別子と動的な住所が関連付けられることによってホスト到達性が得られる網にあって、到達性を確認するための通信モデル、信号、方法および装置 | |
| US9893909B2 (en) | Method and system for allowing remote access device to access remote access target device within home network | |
| US20120023247A1 (en) | Anonymous communication system, anonymous communication method, communication control apparatus, terminal apparatus and communication control program | |
| US11388248B1 (en) | Dynamic domain discovery and proxy configuration | |
| CN105657055A (zh) | 一种面向web网页的局域网设备发现方法及装置 | |
| CN105592083A (zh) | 终端利用令牌访问服务器的方法和装置 | |
| KR20150099425A (ko) | 구성 관련 데이터를 검색하기 위한 네트워크 시스템 | |
| CN102263837A (zh) | 一种域名系统dns解析方法及装置 | |
| CN104735174A (zh) | 一种http透明代理的实现方法及装置 | |
| US8239930B2 (en) | Method for controlling access to a network in a communication system | |
| JP2007226343A (ja) | プレゼンス・システム、プレゼンス提供方法およびプログラム | |
| EP2677715A1 (en) | A method and a server for evaluating a request for access to content from a server in a computer network | |
| KR101485764B1 (ko) | 오픈 api를 사용한 도메인 네임 관리 서비스 제공방법 | |
| CN110430189A (zh) | 一种域名系统访问控制方法及装置 | |
| CN108768853B (zh) | 基于域名路由器的分布式混合域名系统及方法 | |
| JP6382244B2 (ja) | パケットフィルタリング装置 | |
| Sooraj et al. | Naming services in the Internet of Things | |
| JP6487870B2 (ja) | 名前解決装置、名前解決方法及び名前解決プログラム | |
| JP6472762B2 (ja) | パケットフィルタリング装置 | |
| Chowdhury | Finding malicious usage via Capture, Storage, Analysis and Visualization of DNS packets | |
| KR101906601B1 (ko) | 조직정보에 기반한 부가서비스 제공시스템, 그 조직정보관리서버, 디렉토리관리서버, 통신서비스서버 및 그 부가서비스 제공방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |