CN108270751A - 应用管理方法、装置以及数据发送处理方法和装置 - Google Patents

Abstract

本发明公开了一种应用管理方法、装置以及数据发送处理方法和装置。其中，该方法包括：获取用户选择的应用；查找为应用提供服务的服务端的网络地址；设置路由，其中，路由将访问网络地址的请求进行转发，其中，被转发的请求被丢弃。本发明解决了现有技术无法实现限制各种应用程序访问网络的技术问题。

Description

应用管理方法、装置以及数据发送处理方法和装置

技术领域

本发明涉及网络技术领域，具体而言，涉及一种应用管理方法、装置以及数据发送处理方法和装置。

背景技术

随着互联网技术的发展，通讯软件、娱乐软件、支付软件等各种各样的应用程序的出现，访问互联网已成为人们生活和工作非常重要的一部分。伴随而来的是网络安全问题，例如，访问的网站是否为合法的网址，是否将企业内部资料或个人隐私信息被非法公开于互联网等，近年来，网络安全越来越受到大家高度的重视。

对于企业用户来说，为了防止数据泄露，通常需要对员工的网络访问行为进行管理，例如：限制员工在公司网络下访问外部云存储、使用外部即时通讯工具等。对于个人用户来说，为了保护个人隐私，经常需要在一些特定场景下限制某些应用程序的网络访问，例如：把手机给小孩玩时，需要限制APP Store、某些网络游戏等的网络访问；把手机借给朋友时，需要限制微信、支付宝等应用程序的网络访问。

目前，对于企业网络，现有技术主要采用基于网关的流量过滤方案。该方案在使用企业网络的环境中，可以起到限制员工访问网络的作用，而如果员工不通过企业网络上网，而是利用手机等移动设备通过蜂窝数据网络访问互联网，则无法起到限制作用。市场上并没有关于保护个人网络行为安全的有效方案。目前在相关技术中，可以通过检测移动终端设备上的某个应用的启动，并在启动后的应用顶部覆盖一个界面来阻止该应用被非授权人员使用，通过该界面可以限制应用的启动，这种处理方式虽然可以限制程序的启动，但是却无法限制应用的网络访问。

针对上述现有技术无法实现限制各种应用程序访问网络的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了应用管理方法、装置以及数据发送处理方法和装置，以至少解决现有技术无法实现限制各种应用程序访问网络的技术问题。

根据本发明实施例的一个方面，提供了一种应用管理方法，包括：获取用户选择的应用；查找为应用提供服务的服务端的网络地址；设置路由，其中，路由将访问网络地址的请求进行转发，其中，被转发的请求被丢弃。

根据本发明实施例的另一方面，还提供了一种应用管理装置，包括：用户界面模块，用于向用户展示第一界面，其中，第一界面用于展示供用户选择的应用以及展示已经被用户选中的应用；域名服务器代理模块，用于接收在第一界面中被选中的应用的域名请求，并返回预先配置的网络地址；虚拟专用网络客户端模块，用于配置路由，其中，路由将来自被选中的应用访问请求转发到虚拟专用网络VPN通道，转发到虚拟专用网络VPN通道的访问请求被虚拟专用网络客户端模块丢弃。

根据本发明实施例的另一方面，还提供了一种应用管理装置，包括：获取模块，用于获取用户选择的应用；查找模块，用于查找为应用提供服务的服务端的网络地址；第一设置模块，用于设置路由，其中，路由将访问网络地址的请求进行转发，其中，被转发的请求被丢弃。

根据本发明实施例的另一方面，还提供了一种数据发送处理方法，包括：接收来自应用的待发送的数据包；基于待发送的数据包的目的网络地址，根据预先配置的路由转发数据包，其中，被转发的数据包被丢弃，目的网络地址为应用提供服务的服务端的网络地址。

根据本发明实施例的另一方面，还提供了一种数据发送处理装置，包括：第一接收单元，用于接收来自应用的待发送的数据包；发送单元，用于基于待发送的数据包的目的网络地址，根据预先配置的路由转发数据包，其中，被转发的数据包被丢弃，目的网络地址为应用提供服务的服务端的网络地址。

在本发明实施例中，通过获取用户选择的应用；查找为应用提供服务的服务端的网络地址；设置路由，其中，路由将访问网络地址的请求进行转发，其中，被转发的请求被丢弃。通过本发明实施例解决了现有技术无法实现限制各种应用程序访问网络的技术问题，可以针对不同应用进行网络访问限制，在提高安全性的同时也提高了用户体验。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种应用管理方法流程图；

图2(a)是根据本发明实施例的一种可选的应用管理方法流程图；

图2(b)是根据本发明实施例的一种可选的应用管理方法流程图；

图3是根据本发明实施例的一种优选的限制应用程序访问互联网的原理示意图；

图4是根据本发明实施例的一种可选的应用管理方法流程图；

图5是根据本发明实施例的一种可选的应用管理方法流程图；

图6是根据本发明实施例的一种优选的限制应用程序访问互联网的系统交互示意图；

图7是根据本发明实施例的一种优选的限制应用程序访问互联网的方法流程图；

图8是根据本发明实施例的一种可选的应用管理方法流程图；

图9是根据本发明实施例的一种可选的应用管理方法流程图；

图10是根据本发明实施例的一种可选的限制应用程序访问网络的配置界面示意图；

图11是根据本发明实施例的又一种可选的限制应用程序访问网络的配置界面示意图；

图12是根据本发明实施例的一种优选的限制应用程序访问网络的配置界面示意图；

图13是根据本发明实施例的一种可选的应用管理方法流程图；

图14是根据本发明实施例的一种应用管理装置示意图；

图15是根据本发明实施例的一种应用管理装置示意图；

图16是根据本发明实施例的一种用于实现数据发送处理方法的移动设备的硬件结构框图；

图17是根据本发明实施例的一种数据发送处理方法流程图；

图18是根据本发明实施例的一种数据发送处理装置示意图；以及

图19是根据本发明实施例的一种可选的计算机终端的硬件结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

根据本发明实施例，提供了一种应用管理的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

实施例1

目前在移动终端(或称为移动设备)上使用的操作系统比较多的是微软的WP操作系统、安卓系统、和苹果公司的iOS系统，除了这些操作系统以外可能还有其他类型的操作系统。

在计算机上(例如，个人电脑PC)上也可以使用多种操作系统，例如，Windows操作系统、苹果公司的操作系统、Linux操作系统或者Unix操作系统等。

上述移动终端、计算机等是可以执行计算机程序的硬件设备，可以总称为计算设备。

目前，市场上有多种操作系统，这些操作系统对于权限限制的处理方法不同，例如，在安卓系统中，由于安卓系统权限比较开放，对于安卓系统的手机等移动设备，可以采用在应用程序的顶部覆盖一个界面来监测移动设备上某个应用程序的启动，并阻止该应用程序被非授权人员使用，进而达到锁住某个应用APP不让不相关的人士使用的效果。

但是，有一些操作系统(例如，iOS系统)对于权限的限制是比较严格的。由于iOS的系统权限控制严格，对于iOS系统的手机等移动设备，所有的应用APP都运行在沙盒中，无法知道其它应用APP的运行状况，更不可能在其它应用APP之上再覆盖一个界面，来监测并阻止某个应用程序正常使用。

另外，对于上述在安卓系统上的进行界面覆盖的方式也存在一些弊端，例如，使用了该界面覆盖的方式，仅仅是在应用启动的时候被进行了限制，而并不能真正限制应用程序对网络的访问，如果该应用程序在启动的时候没有调取出该覆盖用的界面，或者该应用程序在后台运行被唤醒到前台的时候没有调用出该界面，那么，这种界面覆盖方式就失效了。

基于上述考虑，本实施例从网络访问的角度来对应用程序进行限制。本实施例中涉及到的技术方案，可以做成一个应用APP放在应用市场中，用户在使用的时候下载该应用APP并进行安装即可。或者，如果为了推广某种操作系统，也可以将该功能内置在操作系统内部中，成为系统级功能的一部分。

在作为应用单独使用的情况下，用户安装了此应用(为了与其他应用区分开，在以下描述中，将该应用称为“安全应用”)之后，该安全应用的图标或者名称可以进行伪装，这样可以使该应用更加隐蔽。

在上述运行环境下，本实施例1提供了如图1所示的一种应用管理方法。如图1所示，包括如下步骤：

步骤S102，获取用户选择的应用；

步骤S104，查找为应用提供服务的服务端的网络地址；

步骤S106，设置路由，其中，路由将访问网络地址的请求进行转发，其中，被转发的请求被丢弃。

在上述步骤中，可以首先由用户选择需要被管理的应用(称为目标应用)，一般情况下现在的应用都不是单机应用，应用的运行是需要访问网络。在用户选择一个或多需要被管理的应用后，查找为目标应用提供应用服务的服务端的网络地址，并通过以下三种实施方式中任意一种来为该目标应用需要访问的网络地址设置路由，从而实现将该目标应用访问该网络地址的数据请求进行转发并丢弃：

在第一种可选的实施方式中，将目标应用所需要访问的服务器端的网络地址的路由设置为一个特殊的IP地址，该IP地址用于将访问该网络地址的请求转发至一个黑洞，从而阻止该目标应用向该网络地址的访问请求。

在第二种可选的实施方式中，将目标应用所需要访问的服务器端的网络地址的路由设置为预先设定的一个非法网络地址，该非法网络地址用于将访问该网络地址的请求转发至一个不是为该目标应用提供服务的应用服务器，该应用服务器不会对该目标应用发出的访问请求作出响应，从而阻止该目标应用向该网络地址的访问请求。

在第三种可选的实施方式中，通过将目标应用所需要访问的服务器端的网络地址的路由设置在虚拟专用网络VPN通道中，当目标应用发出访问该网络地址的请求后，通过该虚拟专用网络VPN通道丢弃该目标应用的访问请求。

通过上述任意一种设置路由的实施方式，可以限制目标应用对网络的访问，从而达到使得被限制的应用就无法正常使用。

需要说明的是，上述步骤S102至S106中描述了该安全应用所进行的操作，该安全应用进行了路由设置、虚拟专用网络VPN设置。如果上述步骤S102至S106中的内容作为一个功能被内置到了操作系统中，则是由操作系统的该功能进行路由设置和虚拟专用网络VPN设置。

作为一个可选的实施方式，可以为该安全应用的启用或者操作系统该功能的启用设置授权，例如，该安全应用启动的使用可以要求用户输入密码或者使用生物信息验证用户的身份，如果用户密码输入正确或者识别出的生物信息是被授权的用户才允许使用该功能。生物信息的识别目前被广泛使用的是指纹识别，当然，其他的生物识别技术也可以被使用，例如，虹膜识别、面部识别、声纹识别等等。

上述步骤对目标应用(被管理的应用)的网络使用进行了限制，这样其他用户在打开被限制使用的目标应用的时候，只能发现该目标应用无法连接到网络，而看不到其他限制界面，不会影响用户体验。

对于网络限制在一般的操作系统中均是支持的，例如，即使作为限制最严格的iOS系统也是支持的，对于其他比较开放的系统，例如，安卓系统或者Linux系统等其也操作系统也都支持。因此上述步骤中涉及到的技术方案可支持的操作系统更加广泛。

作为一种可选的实施例，上述目标应用可以为电脑、笔记本、平板电脑、手机等智能设备上安装的可以访问互联网的应用程序，例如可以包括：微信、QQ、飞信、邮箱、云盘、浏览器、游戏等各种各样的APP。

对于目标应用与其服务器端的通信，目标应用可以是直接使用IP地址来进行服务器访问的，就可以直接使用上述步骤来进行限制了，例如，“百度知道”应用访问的服务器IP地址可以为202.108.22.103，“百度音乐”应用访问的服务器IP地址可以为202.108.23.50，“百度贴吧”应用访问的服务器IP地址可以为202.108.23.237，“百度图片”访问的服务器的IP地址可以为202.108.23.106，“百度新闻”访问的服务器的IP地址可以为202.108.23.153。如果该目标应用使用的是域名来进行访问网络的，由于任何一个域名都对应一个或多个IP地址，根据本申请另一个实施例，首先收集该域名对应的所有的IP地址，然后将这些IP地址均加入到VPN通道，从而使得访问该域名的网络请求被转发至虚拟专用网络VPN通道，例如，“微信”应用的域名是www.wechat.qq.com，与该域名对应的服务器的IP地址则包括：101.226.129.190，101.227.169.159，61.151.186.123，101.226.152.101，61.151.186.121，101.227.169.161，101.227.131.48，182.254.114.110140.207.123.162，140.206.160.212，220.194.224.170，61.151.186.121，220.194.224.162，61.151.186.123，140.206.160.213，182.254.114.108等。

需要说明的是，通常意义上的虚拟专用网络指的是在公用网络上建立的专用网络，通过对数据包加密和数据包目标地址的转换来实现远程访问，本申请实施例中的虚拟专用网络VPN通道是用于将IP数据包请求进行丢弃的。

基于上述步骤S102至S106公开的方案中，实时检测并获取用户选择的应用程序，并查找为该应用程序提供数据服务的服务端的网络地址，一种可选的实施例中，该网络地址可以为提供该应用程序的数据服务的服务器的IP地址，在查找到为该应用程序提供服务的服务端的网络地址后，应用程序向服务端网络地址发送的数据请求被转发至预先设置的特殊IP地址、非法网络地址，数据请求得不到成功响应，或转发至虚拟专用网络VPN通道中，转发至该虚拟专用网络VPN通道的数据请求被丢弃，阻止了该应用程序向服务端网络地址发送的数据请求，从而实现了限制该应用程序访问互联网的目的。

此处需要说明的是，在互联网上通信的设备之间的通信，实际上都是通过IP地址来实现的，IP地址按照互联网协议为互联网上每个网络和每一台主机分配一个逻辑地址，以此来辨别连接在互联网上的每一台设备，在通过安装在移动设备上的应用程序访问互联网的过程中，实际上是访问为该应用程序提供服务的服务器的网络地址。

一种可选的实施例中，以手机上的APP为例，可以通过大数据收集各个APP通过互联网访问的服务器端的所有IP地址，如果要限制某个APP的访问互联网的功能，可以将该APP访问的所有IP地址设置为IP黑名单，在用户通过该APP访问互联网的过程中，将该APP向这些IP地址发送的数据请求包转发至虚拟专用网络VPN通道，并将转发至虚拟专用网络VPN通道的请求丢弃，从而实现阻止用户通过该应用程序向服务器发送的数据请求。

由上可知，在本实施例中，通过将应用程序在互联网上请求访问的服务器的网络地址加入黑名单来阻止该应用程序向服务器的网络请求，需要说明的是，应用程序访问的服务器的网络地址可以是通过大数据分析得到的，在用户通过终端设备上安装的应用程序访问互联网的情况下，检测并获取用户当前选择的访问互联网的应用程序，并查找该应用程序当前请求访问的网络地址是否在列入黑名单的网络地址中，一种可选的实施例中，该网络地址可以为IP地址或域名，如果该应用程序当前请求访问的服务器的网络地址在自定义虚拟专用网络VPN客户端模块列入的网络地址黑名单中，则按照预先为黑名单中网络地址设置的路由，将用户通过该应用程序发出的网络请求转发至虚拟专用网络VPN通道，最后将转发至虚拟专用网络VPN通道的网络请求数据包丢弃。

通过本申请上述实施例公开的方案，达到了阻止指定的应用程序访问服务端网络地址的目的，从而实现了限制指定的应用程序访问互联网的技术效果。由此，本申请上述实施例解决了现有技术无法实现限制各种应用程序访问网络的技术问题。

在一种可选的实施例中，上述路由将访问网络地址的请求进行转发，可以包括：该路由将访问网络地址的请求转发到虚拟专用网络VPN通道，其中，转发到虚拟专用网络VPN通道的请求被丢弃。

在上述步骤中，可以将应用所需要访问的服务器端的网络地址的路由设置在虚拟专用网络VPN通道中，通过该虚拟专用网络VPN通道丢弃该应用的访问请求。通过这样的处理方式可以限制应用对网络的访问，从而该应用就无法使用了。

如果要得到一个域名对应的所有的IP地址，这种实现方式是一种比较笨拙的实现方式，一个比较好的办法是，如果该目标应用使用了域名访问服务器端，可以截获该目标应用的域名服务请求，然后返回固定的IP地址给该应用，这样只要设置有限个数的IP地址在虚拟专用网络VPN通道中即可。如果需要截获DNS服务请求，在本实施例中还提供了一种可选的实施方式，如图2(a)所示，该可选的实施方式可以包括如下步骤：

步骤S202a，接收域名服务请求，其中，该域名服务请求用于请求预定域名对应的网络地址；

步骤S204a，判断域名服务请求是否来自用户选择的应用；

步骤S206a，在判断结果为是的情况下，将预先配置的与预定域名对应的网络地址发送给应用。

在上述可选的实施方式中，上述预先配置的与预定域名对应的网络地址可以为预先从网络上获取的各种域名的网络地址，一种可选的实施例中，可以是通过大数据获取的域名及该域名对应的一个或多个网络地址；该域名服务请求可以为向域名解析服务器发送的请求解析该域名的请求，当用户通过应用程序访问互联网的时候，应用程序会发出相应的域名服务请求，该域名服务请求被截获之后，反馈预先配置与该域名对应的相应的IP地址，由于该IP地址是被转发到虚拟专用网络VPN通道中的，则可以进行访问该IP地址的网络请求将会被转发至虚拟专用网络VPN通道中。或者，可以判断该域名服务请求是否来源于域名黑名单中的应用，将预先配置的与该域名对应的网络地址发送至该应用程序，该网络地址被转发到VPN通道中，从而实现通过VPN通道限制目标应用程序向对该IP地址的网络访问。这些被转发到VPN通道中IP地址也可以被配置到一个IP黑名单中，如果该域名对应的IP地址是列入黑名单的IP地址，则认为该域名服务器请求来自用户选择的应用，并通过VPN通道限制目标应用的网络访问。

此处需要说明的是，由于IP地址不容易记忆，可以通过从网络上收集的数据来得到每个域名对应的IP地址。

基于上述实施例，还提供了另外一种可选的实施例方式来截获DNS访问请求，如图2(b)所示，可以包括如下步骤：

步骤S202b，接收域名服务请求，其中，该域名服务请求用于请求预定域名对应的网络地址；

步骤S204b，判断域名服务请求是否来自用户选择的应用；

步骤S206b，在判断结果为是的情况下，将预先配置的与预定域名对应的非法网络地址发送给应用，其中，非法网络地址不对应用提供服务。

在上述实施方式中，在截获到应用程序发出的域名访问请求后，将预先配置的与该域名对应的非法网络地址返回给该应用程序，由于该非法网络地址不是为该应用程序提供服务的服务器的网络地址，该服务器也不会向该应用返回任何的响应信息。需要说明的是，任何一个应用都需要访问到为其提供服务的应用服务器后，其网络请求才能够得到相应的响应，例如，微信需要访问微信服务器才能够接收到相应的响应，如果微信访问的是邮箱服务器，则其发出的数据请求也不会得到相应的响应。

需要说明的是，上述根据域名直接反馈一个非法的网络地址的实施方式，可以很方便地实现域名拦截的目的，但是对于通过HTTP请求的域名解析或直接通过IP地址进行访问网络的网络请求，则需要判断该网络请求访问的网络地址是否为列入黑名单中的IP地址，如果是，则将该网络请求转发至虚拟专用网络VPN通道来实现限制访问网络的目的。

在一个可选的实施方式中，对于域名访问请求的截获可以通过DNS代理的方式来实现，图3是根据本发明实施例的一种优选的限制应用程序访问互联网的原理示意图。如图3所示，该方案主要通过自定义VPN客户端模块和DNS代理服务器来限制应用程序向域名服务器的访问。其中，自定义VPN客户端通过设置路由，指定黑名单中的IP地址必须经过虚拟专用网络VPN通道，这样发往这些IP地址的网络请求就会先发给自定义VPN客户端，自定义VPN客户端将这些网络请求包丢弃，从而阻止该应用程序的网络请求。而DNS代理服务器则实时监控是否有发往域名黑名单中的域名请求，若有则将该域名对应的IP地址发送至自定义VPN客户端，由自定义VPN客户端将与该域名对应的IP地址设入路由中，并最终把发往该IP地址的网络请求包全部丢弃，以阻止该应用程序的网络请求。如果DNS代理服务器没有监控到发往域名黑名单中的域名请求，则将该域名请求转发至DNS服务器，并接收DNS服务器返回的域名查询结果，将该域名查询结果返回至应用程序，从而使该应用程序能够正常访问网络。

通过上述实施例，实现了通过截获应用程序发送的域名请求来阻止应用程序访问互联网的目的。

如果使用了域名代理，还可以对于正常的应用访问的域名请求进行处理，在一种可选的实施例中，如图4所示，上述方法还可以包括如下步骤：

步骤S402，判断域名访问请求是否来源于未被用户限制的应用，如果该应用未被用户选择被限制，则可以将域名服务请求发送给真正的域名服务器；

步骤S404，接收来自域名服务器的预定域名对应的网络地址，并将网络地址发送给域名服务请求的发送方。

通过上述步骤，如果该域名服务请求不是来自用户将IP地址列入黑名单的应用程序，则表明该应用程序是允许访问互联网的，因而，域名代理服务器将该域名服务器请求发送至相应的域名服务器上，并将域名服务器解析后的网络地址发送至该应用程序。这样使得允许访问互联网的应用程序可以正常访问互联网。

为了实现域名代理的功能，在一种可选的实施例中，在接收域名服务请求之前，如图5所示，可以包括：

步骤S502，将本地的域名服务器的地址设置为本地网络地址。

这样，将系统的DNS服务器设置成本地DNS代理的地址(127.0.0.1)，可以使得应用程序发送的域名请求首先经过本地DNS代理模块。

以下对使用了DNS代理模块(或DNS代理单元的可选实施方式进行说明)，作为一种可选的实施方式，图6是根据本发明实施例的一种优选的限制应用程序访问互联网的系统交互示意图，如图6所示，该系统包括：应用程序、VPN客户端模块、DNS代理模块和DNS服务器，交互过程包括如下步骤：

步骤S601,VPN客户端模块初始化IP黑名单，设置路由，令发往对应IP的数据包走VPN通道。

步骤S602，应用程序向DNS代理模块发送域名查询请求。

在该步骤中，由于系统默认会将DNS服务器的地址设置为本地DNS代理模块地址，当用户打开应用程序，并使用域名向服务器端发起网络请求后，域名查询请求会被DNS代理模块截获。

需要说明的是，用户通过应用程序发起域名查询请求后，会触发DNS代理模块启动，当DNS代理模块启动后，首先要初始化域名黑名单，并等待应用程序发送的域名查询请求。

步骤S604，DNS代理模块向DNS服务器转发域名查询请求。

在该步骤中，DNS代理模块接收到来自应用程序发送的域名查询请求后，将该域名查询请求转发至DNS服务器。

步骤S606，DNS服务器向DNS代理模块返回域名查询结果。

在该步骤中，DNS服务器接收到DNS代理模块转发的域名查询请求后，向DNS代理模块返回该域名查询请求的查询结果，查询结果为与该域名对应的网络地址。

步骤S608，DNS代理模块向应用程序返回域名查询结果。

在该步骤中，DNS代理模块接收到DNS服务器返回的网络地址后，将该网络地址返回发起该域名请求的应用程序，以便该应用程序正常访问网络。

一种可选的实施例中，如果应用程序发起的DNS域名请求中请求的域名在域名黑名单中，DNS代理模块可以向应用程序发送预定的IP地址，该IP地址用于应用程序发出的IP数据包转发至虚拟专用网络VPN通道。

步骤S610，DNS代理模块判断域名是否在域名黑名单中。

在该步骤中，DNS代理模块判断该域名请求的域名是否在域名黑名单中，如果应用程序发起的域名请求中请求的域名在域名黑名单中，则执行步骤S614；如果如果应用程序发起的域名请求中请求的域名不在域名黑名单中，应用程序可以直接访问域名查询结果中的网络地址。

步骤S612，DNS代理模块向VPN客户端模块发送添加IP黑名单请求。

在该步骤中，如果应用程序发起的DNS域名请求中请求的域名在域名黑名单中，DNS代理模块向VPN客户端模块发送添加IP黑名单请求。

步骤S614，VPN客户端模块更新路由，令发往该IP的数据包走VPN通道。

在该步骤中，VPN客户端模块接收到来自DNS代理模块的增加IP黑名单的请求后，把IP动态加入IP黑名单中，并更新路由中的IP地址黑名单，以便将发送至该IP地址的数据转发至虚拟专用网络VPN通道。

步骤S616，VPN客户端模块接收应用程序发送的IP数据包。

在该步骤中，VPN客户端模块接收该应用程序发送的网络请求数据包。

步骤S618，VPN客户端模块将接收到的IP数据包丢弃。

在该步骤中，由于VPN客户端模块接收到的该应用程序发送的网络请求数据包是发送至黑名单IP地址中的，则将该应用程序发送的网络请求数据包转发至虚拟专用网络VPN通道，并将数据包括丢弃。

作为一种优选的实施例，图7是根据本发明实施例的一种优选的限制应用程序访问互联网的方法流程图，DNS代理模块开启后，实时检测来自应用程序的DNS请求，在收到DNS请求的情况下，将DNS请求转发至DNS服务器，并等待DNS服务器返回的查询结果，在收到DNS服务器返回的DNS域名后，返回DNS查询结果，并判断查询结果中得到的域名是否在域名黑名单中，如果该域名在域名黑名单中，则向VPN客户端发送添加IP黑名单请求，如果该域名不在域名黑名单中，则弹出应用窗口，执行下一步操作，并实时检测是否接收到用户的退出该应用程序的命令，在接收到退出命令的情况下，结束操作，在没有接收到退出命令的情况下，继续等待DNS请求。VPN客户端模块开启后，初始化IP黑名单，并根据DNS代理模块的添加IP黑名单请求更新IP地址黑名单，设置发送至黑名单中IP地址的数据请求的路由，转发至虚拟专用网络VPN通道，并从虚拟专用网络VPN通道中读取发送至黑名单中IP地址的IP数据包，在收到IP数据包的情况下，丢该IP数据包，并实时检测是否接收到用户的退出该应用程序的命令，在接收到退出命令的情况下，结束操作，在没有接收到退出命令的情况下，继续等待DNS代理模块的添加IP黑名单请求，并根据请求更新IP地址黑名单。

在一种可选的实施例中，还可对路由使用的时间进行限制，如图8所示，步骤S106中设置路由可以包括：

步骤S802，根据时间段设置路由，其中，时间段为用户预先配置的。

例如，用户可以根据用户预先配置的时间段来设置将访问网络地址的网络请求转发到虚拟专用网络VPN通道，一种可选的实施例中，如果为了限制小孩使用手机上的某个应用的上网功能，用户可以将下班回家后的时间段设置为将发送至该应用的服务器的网络请求转发至虚拟专用网络VPN通道，从而限制小孩使用该应用。

通过上述实施例，实现了自定义设置允许应用程序访问互联网的时间，增强了用户体验。

在设置了之后，还可以让用户取消对该应用的限制，在一种可选的实施例中，如图9所示，上述方法还可以包括如下步骤：

步骤S902，展示用户已经选择的一个或多个应用；

步骤S904，接收用户取消选择的操作；

步骤S906，删除为用户取消选择的应用设置的路由。

在用户限制一个户多个应用程序的上网功能后，可以将限制访问互联网的应用程序在终端设备的界面上显示，并可以接收用户取消限制应用程序访问互联网的操作，在接收到用户取消某个应用程序的访问网络限制后，删除为该应用程序设置的路由。

基于上述实施例，一种可选的实施方案中，以运行在手机上的应用程序为例，图10是根据本发明实施例的一种可选的限制应用程序访问网络的配置界面示意图，如图10所示，启动“请选择应用”配置界面后，该配置界面上显示了用户已经选择限制访问网络的应用程序(如图10中应用5、应用6、应用7和应用8)，以及未选择限制访问网络的应用程序(如图10中应用1、应用2、应用3和应用4)，用户可以将界面左侧未选择区域的应用程序拖拽到右侧的已选择区域，快速实现将应用程序设置为限制访问网络；用户也可以将界面右侧未选择区域的应用程序拖拽到左侧的已选择区域，快速实现取消限制应用程序访问网络的操作。

另一种可选的实施方案中，仍以运行在手机上的应用程序为例，图11是根据本发明实施例的又一种可选的限制应用程序访问网络的配置界面示意图，如图11所示，启动“请选择应用”配置界面后，该配置界面上以另一方式显示了用户已经选择限制访问网络的应用程序(如图11中应用1、应用4和应用5)，以及未选择限制访问网络的应用程序(如图11中应用2、应用3和应用6)，用户可以通过点击每个应用程序右侧的控件来实现一键设置应用程序允许访问网络或者不允许访问网络，也可以快速实现将应用程序设置为限制访问网络或者取消限制的操作。

一种优选的实施方案中，仍以运行在手机上的应用程序为例，图12是根据本发明实施例的一种优选的限制应用程序访问网络的配置界面示意图，如图12所示，用户可以为每个应用程序设置限制访问网络的时间段，只有当前手机上的时间处于该时间段内的情况下，应用程序才被限制不能访问网络，当前手机上的时间不在该时间段内的情况下，应用程序可以正常访问互联网，由此，对于经常需要限制某个应用程序访问互联网的用户，只要设置一次，则可以按照预设时间段自动实现应用程序设置的目的。

删除目标应用的网络访问限制时，为了更加安全，在一种可选的实施例中，如图13所示，删除为用户取消选择的应用设置的路由可以包括如下步骤：

步骤S132，在接收到用户取消选择的操作之后，提示用户进行身份认证；

步骤S134，在身份认证通过之后，删除为用户取消选择的应用设置的路由。

在上述实施例中，在删除为用户取消选择的应用设置的路由前，需要对用户的身份进行认证，只有身份认证通过后的用户所作的取消操作，才删除为用户取消选择的应用程序设置的路由。

通过上述实施例，只有通过身份认证的用户才能够取消应用程序的网络访问限制功能，提高了系统的安全性。

本申请上述实施例公开的方案，利用利用大数据收集各APP正常使用需要访问的域名、IP，形成黑名单，并利用自定义VPN客户端，控制网络访问，限制黑名单中的域名、IP访问，实现了限制指定APP的网络接入，从而达到阻止该APP被正常使用的目的，间接实现了应用锁，适用于任何网络、任何操作系统下对于指定APP阻止非授权人员正常使用该APP。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的应用管理方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例的方法。

实施例2

根据本发明实施例，还提供了一种应用管理装置实施例，图14是根据本发明实施例的一种应用管理装置示意图，如图14所示，该装置包括：用户界面模块141、域名服务器代理模块143和虚拟专用网络客户端模块145。

其中，用户界面模块141，用于向用户展示第一界面，其中，第一界面用于展示供用户选择的应用以及展示已经被用户选中的应用；

域名服务器代理模块143，用于接收在第一界面中被选中的应用的域名请求，并返回预先配置的网络地址；

虚拟专用网络客户端模块145，用于配置路由，其中，路由将来自被选中的应用访问请求转发到虚拟专用网络VPN通道，转发到虚拟专用网络VPN通道的访问请求被虚拟专用网络客户端模块丢弃。

具体地，在上述装置中，上述用户界面模块141用于将用户选择的应用以及展示已经被用户选中的应用展示给用户，由于一般情况下现在的应用都不是单机应用，应用的运行是需要对网络进行访问的，因而，当用户选中某个应用后，应用会发送相应的域名请求，上述域名服务器代理模块143接收该应用程序的域名请求，一种可选的实施方案中，截获该域名请求，如果该域名对应的IP地址是列入黑名单的IP地址，域名服务器代理模块143反馈相应的网络地址，该网络地址可以将应用程序的访问请求转发到虚拟专用网络VPN通道；另一种可选的实施方案中，判断域名请求是否来源于域名黑名单中的应用，将预先配置的与该域名对应的网络地址发送至该应用程序，该IP地址被转发到VPN通道中，从而实现通过VPN通道限制对该IP地址的访问。上述虚拟专用网络客户端模块145，用于配置路由，设置将接收到的应用程序的访问请求转发到虚拟专用网络VPN通道，并将转发到虚拟专用网络VPN通道的访问请求丢弃。

作为一种可选的实施例，上述应用管理装置可以为电脑、笔记本、平板电脑、手机等智能设备，上述应用可以为这些智能设备上上安装的可以访问互联网的应用程序，可以包括：微信、QQ、钉钉、飞信、邮箱、云盘、浏览器、游戏等各种各样的APP。上述用户界面模块141可以用于与用户之间进行信息的交互和显示，如果上述应用管理装置为手机、平板电脑等智能设备，可以支持多点触控等直接操作，包括滑动，点击、触摸、按键选择等，如果上述应用装置为电脑、笔记本等设备，可以通过鼠标、键盘等控制操作。

由上可知，在本申请上实施例中，通过将应用程序在互联网上请求访问的服务器的网络地址加入黑名单来阻止该应用程序向服务器的网络请求，需要说明的是，应用程序访问的服务器的网络地址可以是通过大数据分析得到的，在用户通过终端设备上安装的应用程序访问互联网的情况下，检测并获取用户当前选择的访问互联网的应用程序，并查找该应用程序当前请求访问的网络地址是否在列入黑名单的网络地址中，一种可选的实施例中，该网络地址可以为IP地址或域名，如果该应用程序当前请求访问的服务器的网络地址在自定义虚拟专用网络VPN客户端模块列入的网络地址黑名单中，则按照预先为黑名单中网络地址设置的路由，将用户通过该应用程序发出的网络请求转发至虚拟专用网络VPN通道，最后将转发至虚拟专用网络VPN通道的网络请求数据包丢弃。

通过本申请上述实施例公开的方案，达到了阻止指定的应用程序访问服务端网络地址的目的，从而实现了限制指定的应用程序访问互联网的技术效果。

由此，本申请上述实施例解决了现有技术无法实现限制各种应用程序访问网络的技术问题。

在一种可选的实施例中，如图14所示，上述装置还包括：启动模块147，用于在装置被启动之后，启动用户界面模块、域名服务器代理模块以及虚拟专用网络客户端模块，并且配置装置所在设备的域名服务器的网络地址为本地网络地址；上述域名服务器代理模块，还用于将接收到的在第一界面中未被选中的应用的域名请求转发至外部域名服务器，并返回来自外部域名服务器的网络地址作为域名请求的响应。

具体地，在上述实施例中，上述启动模块147与用户界面模块141、域名服务器代理模块143以及虚拟专用网络客户端模块145连接，用于在应用管理装置启动后，启动用户界面模块141、域名服务器代理模块143以及虚拟专用网络客户端模块145，并将装置所在设备的域名服务器的网络地址配置为本地网络地址，使得装置上的应用程序发出的域名请求都可以经过域名服务器代理模块143，在域名请求中的域名为域名黑名单中的域名的情况下，域名服务器代理模块143将预先配置的网络地址返回给应用程序，使得应用程序发出的访问请求走向虚拟专用网络客户端模块145，虚拟专用网络客户端模块145在接收到应用程序的访问请求后，将该应用程序的访问请求转发到虚拟专用网络VPN通道，并将转发到虚拟专用网络VPN通道的访问请求丢弃；在域名请求中的域名不是域名黑名单中的域名的情况下，即该应用不是被选中的应用，上述域名服务器代理模块143，将接收到的在第一界面中未被选中的应用的域名请求转发至外部域名服务器，并返回来自外部域名服务器的网络地址作为域名请求的响应，使得不在域名黑名单中的域名请求访问到真正的域名服务器，从而使得应用程序发出的访问请求可以被正常发送出去。

通过上述实施例，使得允许访问互联网的应用程序可以正常访问互联网。

在一种可选的实施例中，上述用户界面模块141，还用于向用户展示第二界面，其中，第二界面用于接收时间段；虚拟专用网络客户端模块145，用于根据时间段设置路由。

具体地，在上述实施例中，用户可以通过用户界面模块141向用户展示的第二界面来预先配置指定应用程序被限制使用的时间段，上述虚拟专用网络客户端模块145可以根据用户预先配置的时间段来设置将访问网络地址的网络请求转发到虚拟专用网络VPN通道，一种可选的实施例中，如果为了限制小孩使用手机上的微信上网功能，用户可以将下班回家后的时间段设置为将发送至微信服务器的域名上的网络请求转发至虚拟专用网络VPN通道，从而限制小孩通过微信访问互联网。

通过上述实施例，实现了自定义设置允许应用程序访问互联网的时间，增强了用户体验。

在一种可选的实施例中，上述第一界面还用于接收用户取消选择的操作；上述虚拟专用网络客户端模块145，还用于删除为用户取消选择的应用设置的路由。

具体地，在上述实施例中，在用户限制一个户多个应用程序的上网功能后，上述第一界面可以用于显示用户限制访问互联网的应用程序，并可以接收用户取消限制应用程序访问互联网的操作，在接收到用户取消某个应用程序的访问网络限制后，通过虚拟专用网络客户端模块145删除为该应用程序设置的路由。

在一种可选的实施例中，上述用户界面模块141，还用于在接收到用户取消选择的操作之后，展示第三界面，其中，第三界面用于提示用户进行身份认证；上述虚拟专用网络客户端模块145，还用于在身份认证通过之后，删除为用户取消选择的应用设置的路由。

具体地，在上述实施例中，上述用户界面模块141在通过第一界面接收用户取消选择的应用操作后，还用于通过第三界面提示用户进行身份认证，在身份认证通过的情况下，上述虚拟专用网络客户端模块145才删除为用户取消选择的应用程序设置的路由。

通过上述实施例，只有通过身份认证的用户才能够取消应用程序的网络访问限制功能，提高了系统的安全性。

实施例3

根据本发明实施例，还提供了一种用于实施上述应用管理方法的装置实施例，图15是根据本发明实施例的一种应用管理装置示意图，如图15所示，该装置包括获取模块151、查找模块153和第一设置模块155。

其中，获取模块151，用于获取用户选择的应用；查找模块153，用于查找为应用提供服务的服务端的网络地址；第一设置模块155，用于设置路由，其中，路由将访问网络地址的请求进行转发，其中，被转发的请求被丢弃。

此处需要说明的是，上述获取模块151、查找模块153和第一设置模块155可以对应于实施例1中的步骤S102至步骤S106，三个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。

由上可知，在本申请上实施例中，通过将应用程序在互联网上请求访问的服务器的网络地址加入黑名单来阻止该应用程序向服务器的网络请求，需要说明的是，应用程序访问的服务器的网络地址可以是通过大数据分析得到的，在用户通过终端设备上安装的应用程序访问互联网的情况下，检测并获取用户当前选择的访问互联网的应用程序，并查找该应用程序当前请求访问的网络地址是否在列入黑名单的网络地址中，一种可选的实施例中，该网络地址可以为IP地址或域名，如果该应用程序当前请求访问的服务器的网络地址在自定义虚拟专用网络VPN客户端模块列入的网络地址黑名单中，则按照预先为黑名单中网络地址设置的路由，将用户通过该应用程序发出的网络请求转发至虚拟专用网络VPN通道，最后将转发至虚拟专用网络VPN通道的网络请求数据包丢弃。

通过本申请上述实施例公开的方案，达到了阻止指定的应用程序访问服务端网络地址的目的，从而实现了限制指定的应用程序访问互联网的技术效果。

由此，本申请上述实施例解决了现有技术无法实现限制各种应用程序访问网络的技术问题。

在一种可选的实施例中，上述第一设置模块155还用于路由将访问网络地址的请求转发到虚拟专用网络VPN通道，其中，转发到虚拟专用网络VPN通道的请求被丢弃。

在一种可选的实施例中，上述装置还包括：第一接收模块，用于接收域名服务请求，其中，域名服务请求用于请求预定域名对应的网络地址；判断模块，用于判断域名服务请求是否来自用户选择的应用；第一执行模块，用于在判断结果为是的情况下，将预先配置的与预定域名对应的网络地址发送给应用。

此处需要说明的是，上述第一接收模块、判断模块和第一执行模块可以对应于实施例1中的步骤S202a至步骤S206a，三个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。

在一种可选的实施例中，上述第一执行模块还用于在判断结果为是的情况下，将预先配置的与预定域名对应的非法网络地址发送给应用，其中，非法网络地址不对应用提供服务。

在一种可选的实施例中，上述装置还包括：第二执行模块，用于在判断结果为否的情况下，将域名服务请求发送给域名服务器；处理模块，用于接收来自域名服务器的预定域名对应的网络地址，并将网络地址发送给域名服务请求的发送方。

此处需要说明的是，上述第二执行模块和处理模块可以对应于实施例1中的步骤S402至步骤S404，两个个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。

在一种可选的实施例中，上述装置还包括：第二设置模块，用于将本地的域名服务器的地址设置为本地网络地址。

此处需要说明的是，上述第二设置模块可以对应于实施例1中的步骤S502，该模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。在一种可选的实施例中，上述第一设置模块包括：第三设置模块，用于根据时间段设置路由，其中，时间段为用户预先配置的。

此处需要说明的是，上述第三设置模块可以对应于实施例1中的步骤S802，该模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。

在一种可选的实施例中，上述装置还包括：显示模块，用于展示用户已经选择的一个或多个应用；第二接收模块，用于接收用户取消选择的操作；第一删除模块，用于删除为用户取消选择的应用设置的路由。

此处需要说明的是，上述显示模块、第二接收模块和第一删除模块可以对应于实施例1中的步骤S902至步骤S906，三个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。

在一种可选的实施例中，上述第一删除模块包括：提示模块，用于在接收到用户取消选择的操作之后，提示用户进行身份认证；第二删除模块，用于在身份认证通过之后，删除为用户取消选择的应用设置的路由。

此处需要说明的是，上述提示模块和第二删除模块可以对应于实施例1中的步骤S132至步骤S134，两个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。

实施例4

根据本发明实施例，还提供了一种数据发送处理的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例4所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。

图16示出了一种用于实现数据发送处理的方法的移动设备的硬件结构框图。如图16所示，移动设备16可以包括一个或多个处理器162(处理器162可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器164、以及用于通信功能的传输装置166。除此以外，还可以包括：显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图16所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，移动设备16还可包括比图16中所示更多或者更少的组件，或者具有与图16所示不同的配置。

应当注意到的是上述一个或多个处理器162和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到移动设备16中的其他元件中的任意一个内。如本申请实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。

存储器164可用于存储应用软件的软件程序以及模块，如本发明实施例中的数据发送处理的方法对应的程序指令/数据存储装置，处理器162通过运行存储在存储器164内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的数据发送处理的方法。存储器164可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器164可进一步包括相对于处理器162远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端16。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置166用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动设备16的通信供应商提供的无线网络。在一个实例中，传输装置166包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置166可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

显示器可以例如触摸屏式的液晶显示器(LCD)，该液晶显示器可使得用户能够与移动设备16的用户界面进行交互。

此处需要说明的是，在一些可选实施例中，上述图16所示的移动设备16可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是，图16仅为特定具体实例的一个实例，并且旨在示出可存在于上述移动设备中的部件的类型。

此处需要说明的是，在一些实施例中，上述图16所示的移动设备16具有触摸显示器(也被称为“触摸屏”或“触摸显示屏”)。在一些实施例中，上述图16所示的移动设备16具有图像用户界面(GUI)，用户可以通过触摸触敏表面上的手指接触和/或手势来与GUI进行人机交互，此处的人机交互功能可选的包括如下交互：创建网页、绘图、文字处理、制作电子文档、游戏、视频会议、即时通信、收发电子邮件、通话界面、播放数字视频、播放数字音乐和/或网络浏览等、用于执行上述人机交互功能的可执行指令被配置/存储在一个或多个处理器可执行的计算机程序产品或可读存储介质中。

在上述运行环境下，本申请提供了如图17所示的一种数据发送处理方法。图17是根据本发明实施例的一种数据发送处理方法流程图，如图17所示，包括如下步骤：

步骤S172，接收来自应用的待发送的数据包；

步骤S174，基于待发送的数据包的目的网络地址，根据预先配置的路由转发数据包，其中，被转发的数据包被丢弃，目的网络地址为应用提供服务的服务端的网络地址。

作为一种可选的实施例，上述数据包可以用户通过应用程序向互联网上发送的数据，该数据包中通常包含了接收该数据包的设备的地址，即目的网络地址；上述应用可以为电脑、笔记本、平板电脑、手机等智能设备上安装的可以访问互联网的应用程序，可以包括：微信、QQ、飞信、邮箱、云盘、浏览器、游戏等各种各样的APP；上述目的网络地址可以为接收数据包的设备的IP地址或域名，可以作为在互联网上通信的唯一标识。

基于上述步骤S172至S174公开的方案中，实时检测并获取用户通过应用程序发送的数据包中包含的目的网络地址，并查找接收该数据包的设备的网络地址是否为IP地址黑名单或域名黑名单中的网络地址，在数据包包含的目的网络地址为黑名单中的网络地址的情况下，将该应用程序向目的网络地址发送的数据包转发至预先设置的网络地址或虚拟专用网络VPN通道，并将转发的数据请求丢弃，阻止了该应用程序向黑名单中的目的网络地址发送的数据请求，从而实现了限制该应用程序访问互联网的目的。

由上可知，在本申请上实施例中，通过实时监测应用程序向互联网上发送的数据包包含的目的网络地址是否为黑名单中的网络地址，来阻止该应用程序向互联网上其他设备或服务器发送的网络请求，在接收到目标应用发送的数据包后，按照预先设置的路由，将用户通过该应用程序发出的数据包转发至非法网络地址或虚拟专用网络VPN通道，并转发的数据请求丢弃。

通过本申请上述实施例公开的方案，达到了阻止指定的应用程序向互联网发送数据的目的，从而实现了限制指定的应用程序访问互联网的技术效果。

由此，本申请上述实施例解决了现有技术无法实现限制各种应用程序访问网络的技术问题。

在一种可选的实施例中，根据预先配置的路由转发数据包，可以包括：将访问目的网络地址的数据包转发到虚拟专用网络VPN通道，其中，转发到虚拟专用网络VPN通道的请求被丢弃。

在上述实施例中，上述虚拟专用网络VPN通道可以为根据网络访问需求预先自定义设置的专用网络通道，需要说明的是，通常意义上的虚拟专用网络指的是在公用网络上建立的专用网络，通过对数据包加密和数据包目标地址的转换来实现远程访问，本申请实施例中的虚拟专用网络VPN通道还可以将数据包请求丢弃。

在一种可选的实施例中，在接收来自应用的待发送的数据包之前，方法还包括：

步骤S182，获取用户选择的应用；

步骤S184，查找为应用提供服务的服务端的网络地址；

步骤S186，设置路由。

具体地，在上述实施例中，在接收来自应用程序发送的数据包之前，首先检测检测并获取用户选择的应用程序，并查找为该应用程序提供数据服务的服务端的网络地址，一种可选的实施例中，该网络地址可以为提供该应用程序的数据服务的服务器的域名或IP地址，在查找到为该应用程序提供服务的服务端的网络地址后，将该应用程序向服务端网络地址发送的数据请求转发至预先设置的虚拟专用网络VPN通道，并将转发至虚拟专用网络VPN通道的数据请求丢弃，阻止了该应用程序向服务端网络地址发送的数据请求，从而实现了限制该应用程序访问互联网的目的。

此处需要说明的是，在互联网上通信的设备之间的通信，实际上都是通过IP地址来实现的，IP地址按照互联网协议为互联网上每个网络和每一台主机分配一个逻辑地址，以此来辨别连接在互联网上的每一台设备，在通过安装在移动设备上的应用程序访问互联网的过程中，实际上是访问为该应用程序提供服务的服务器的网络地址。

通过上述实施例，实现了阻止指定的应用程序访问服务端网络地址的目的。

在一种可选的实施例中，如果应用使用了域名访问服务器端，可以截获该域名的访问请求，然后返回固定的IP地址给该应用，这样只要限制针对有限的数个IP地址使用VPN通道即可。如果需要截获DNS访问请求，可以包括如下步骤：

步骤S192a，接收域名服务请求，其中，域名服务请求用于请求预定域名对应的网络地址；

步骤S194a，判断域名服务请求是否来自用户选择的应用；

步骤S196a，在判断结果为是的情况下，将预先配置的与预定域名对应的网络地址发送给应用。

具体地，在上述实施例中，该域名服务请求可以为向域名解析服务器发送的请求解析该域名的请求，当用户通过应用程序访问互联网的时候，应用程序会发出相应的域名服务请求，该域名服务请求被截获之后，反馈相应的IP地址，由于该IP地址是被转发到虚拟专用网络VPN通道中的，则可以进行访问该IP地址的网络请求。或者，可以判断该域名服务请求是否来源于黑名单中的应用，将预先配置的与该域名对应的网络地址发送至该应用程序，该网络地址被设置到VPN通道中，从而实现通过VPN通道限制对该IP地址的访问。这些被转发到VPN通道中IP地址也可以被配置到一个黑名单中，如果该域名对应的IP地址是列入黑名单的IP地址，则认为该域名服务器请求来自用户选择的应用，并通过VPN通道限制应用的网络访问。

基于上述实施例，还提供了另外一种可选的实施例方式来截获DNS访问请求，可以包括如下步骤：

步骤S192b，接收域名服务请求，其中，该域名服务请求用于请求预定域名对应的网络地址；

步骤S194b，判断域名服务请求是否来自用户选择的应用；

步骤S196b，在判断结果为是的情况下，将预先配置的与预定域名对应的非法网络地址发送给应用，其中，非法网络地址不对应用提供服务。

在上述实施方式中，在截获到应用程序发出的域名访问请求后，将预先配置的与该域名对应的非法网络地址返回给该应用程序，由于该非法网络地址不是为该应用提供服务的服务器的网络地址，该服务器也不会向该应用返回任何的响应。需要说明的是，任何一个应用都需要访问到正确的为其提供服务的应用服务器，其网络请求才能够得到相应的响应，例如，微信需要访问微信服务器才能够接收到相应的响应，如果微信访问的是邮箱服务器，则其发出的数据请求也不会得到相应的响应。

需要说明的是，上述根据域名直接反馈一个非法的网络地址的实施方式，可以很方便地实现域名拦截的目的，但是对于通过HTTP请求的域名解析或直接通过IP地址网络请求，则需要将列入黑名单中的IP地址，将网络请求转发至虚拟专用网络VPN通道来实现限制访问网络的目的。

通过上述实施例，实现了通过阻止应用程序访问为其提供服务的服务器的域名来阻止应用程序访问互联网的目的。

在一种可选的实施例中，上述方法还可以包括如下步骤：

步骤S202，在判断结果为否的情况下，将域名服务请求发送给域名服务器；

步骤S204，接收来自域名服务器的预定域名对应的网络地址，并将网络地址发送给域名服务请求的发送方。

具体地，在上述实施例中，如果该域名服务请求不是来自用户将IP地址列入黑名单的应用程序，则表明该应用程序是允许访问互联网的，因而，域名代理服务器将该域名服务器请求发送至相应的域名服务器上，并将域名服务器解析后的网络地址发送至该应用程序。

通过上述实施例，使得允许访问互联网的应用程序可以正常访问互联网。

在一种可选的实施例中，上述方法还可以包括如下步骤：

步骤S212，将本地的域名服务器的地址设置为本地网络地址。

具体地，在上述实施例中，将系统的DNS服务器设置成本地DNS代理的地址(127.0.0.1)，可以使得应用程序发送的域名请求首先经过本地DNS代理模块。

通过上述实施例，可以使得应用程序在访问外网域名之前，首先访问本地域名地址。

实施例5

根据本发明实施例，还提供了一种数据发送处理装置实施例，图22是根据本发明实施例的一种数据发送处理装置示意图，如图22所示，该装置包括：第一接收单元221和发送单元223。

其中，第一接收单元221，用于接收来自应用的待发送的数据包；发送单元223，用于基于待发送的数据包的目的网络地址，根据预先配置的路由转发数据包，其中，被转发的数据包被丢弃，目的网络地址为应用提供服务的服务端的网络地址。

此处需要说明的是，上述第一接收单元221和发送单元223可以对应于实施例4中的步骤S172至步骤S174，三个单元与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例4所公开的内容。需要说明的是，上述单元作为装置的一部分可以运行在实施例4提供的移动设备16中。

由上可知，在本申请上实施例中，通过实时监测应用程序向互联网上发送的数据包包含的目的网络地址是否为黑名单中的网络地址，来阻止该应用程序向互联网上其他设备或服务器发送的网络请求，一种可选的实施例中，该网络地址可以为IP地址或域名，如果该应用程序当前发送的数据包中包含的目的网络地址在自定义虚拟专用网络VPN客户端单元列入的网络地址黑名单中，则按照预先为黑名单中网络地址设置的路由，将用户通过该应用程序发出的数据包转发至虚拟专用网络VPN通道，最后将转发至虚拟专用网络VPN通道的数据包丢弃。

通过本申请上述实施例公开的方案，达到了阻止指定的应用程序向互联网发送数据的目的，从而实现了限制指定的应用程序访问互联网的技术效果。

由此，本申请上述实施例解决了现有技术无法实现限制各种应用程序访问网络的技术问题。

在一种可选的实施例中，上述装置还包括：获取单元，用于获取用户选择的应用；查找单元，用于查找为应用提供服务的服务端的网络地址；第一设置单元，用于设置路由，其中，路由将访问网络地址的请求转发到虚拟专用网络VPN通道，转发到虚拟专用网络VPN通道的请求被丢弃。

此处需要说明的是，上述获取单元、查找单元和第一设置单元可以对应于实施例4中的步骤S182至步骤S186，三个单元与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例4所公开的内容。需要说明的是，上述单元作为装置的一部分可以运行在实施例4提供的移动设备16中。

在一种可选的实施例中，上述装置还包括：第二接收单元，用于接收域名服务请求，其中，域名服务请求用于请求预定域名对应的网络地址；判断单元，用于判断域名服务请求是否来自用户选择的应用；第一执行单元，用于在判断结果为是的情况下，将预先配置的与预定域名对应的网络地址发送给应用，其中，网络地址被转发到虚拟专用网络VPN通道中。

此处需要说明的是，上述第二接收单元、判断单元和第一执行单元可以对应于实施例4中的步骤S192a至步骤S196a，三个单元与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例4所公开的内容。需要说明的是，上述单元作为装置的一部分可以运行在实施例4提供的移动设备16中。

在一种可选的实施例中，上述第一执行单元还用于在判断结果为是的情况下，将预先配置的与预定域名对应的网络地址发送给应用。

在一种可选的实施例中，上述装置还包括：第二执行单元，用于在判断结果为否的情况下，将域名服务请求发送给域名服务器；处理单元，用于接收来自域名服务器的预定域名对应的网络地址，并将网络地址发送给域名服务请求的发送方。

此处需要说明的是，上述第二执行单元和处理单元可以对应于实施例4中的步骤S202至步骤S204，两个个单元与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例4所公开的内容。需要说明的是，上述单元作为装置的一部分可以运行在实施例4提供的移动设备16中。

在一种可选的实施例中，上述装置还包括：第二设置单元，将本地的域名服务器的地址设置为本地网络地址。

此处需要说明的是，上述第二设置单元可以对应于实施例4中的步骤S212，该单元与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例4所公开的内容。需要说明的是，上述单元作为装置的一部分可以运行在实施例4提供的移动设备16中。

实施例6

本发明的实施例可以提供一种计算机终端，该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地，在本实施例中，上述计算机终端也可以替换为移动终端等终端设备。

可选地，在本实施例中，上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。

在本实施例中，上述计算机终端可以执行应用程序的应用管理方法中以下步骤的程序代码：获取用户选择的应用；查找为应用提供服务的服务端的网络地址；设置路由，其中，路由将访问网络地址的请求转发到虚拟专用网络VPN通道，转发到虚拟专用网络VPN通道的请求被丢弃。

在本实施例中，上述计算机终端可以执行应用程序的数据发送处理方法中以下步骤的程序代码：接收来自应用的待发送的数据包；根据待发送的数据包的目的网络地址，将数据包转发到虚拟专用网络VPN通道，其中，目的网络地址为应用提供服务的服务端的网络地址；通过虚拟专用网络VPN通道将数据包丢弃。

可选地，图19示出了一种可选的计算机终端的硬件结构框图，如图19所示，计算机终端23可以包括一个或多个(图中采用231a、231b，……，231n来示出)处理器231(处理器231可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器233以及用于通信功能的传输装置235。除此以外，还可以包括：显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图19所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端23还可包括比图19中所示更多或者更少的组件，或者具有与图19所示不同的配置。

应当注意到的是上述一个或多个处理器231和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算机终端23中的其他元件中的任意一个内。如本申请实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。

存储器233可用于存储应用软件的软件程序以及模块，如本发明实施例中的数据发送处理方法对应的程序指令/数据存储装置，处理器231通过运行存储在存储器233内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的数据发送处理方法。存储器233可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器233可进一步包括相对于处理器231远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端23。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置235用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端23的通信供应商提供的无线网络。在一个实例中，传输装置235包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置235可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

显示器可以例如触摸屏式的液晶显示器(LCD)，该液晶显示器可使得用户能够与计算机终端23的用户界面进行交互。

此处需要说明的是，在一些可选实施例中，上述图19所示的计算机终端23可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是，图19仅为特定具体实例的一个实例，并且旨在示出可存在于上述计算机终端中的部件的类型。

此处需要说明的是，在一些实施例中，上述图19所示的计算机终端23具有触摸显示器(也被称为“触摸屏”或“触摸显示屏”)。在一些实施例中，上述图19所示的计算机终端23具有图像用户界面(GUI)，用户可以通过触摸触敏表面上的手指接触和/或手势来与GUI进行人机交互，此处的人机交互功能可选的包括如下交互：创建网页、绘图、文字处理、制作电子文档、游戏、视频会议、即时通信、收发电子邮件、通话界面、播放数字视频、播放数字音乐和/或网络浏览等、用于执行上述人机交互功能的可执行指令被配置/存储在一个或多个处理器可执行的计算机程序产品或可读存储介质中。

处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：获取用户选择的应用；查找为应用提供服务的服务端的网络地址；设置路由，其中，路由将访问网络地址的请求进行转发，其中，被转发的请求被丢弃。

处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：接收来自应用的待发送的数据包；基于待发送的数据包的目的网络地址，根据预先配置的路由转发数据包，其中，被转发的数据包被丢弃，目的网络地址为应用提供服务的服务端的网络地址。

可选的，上述处理器还可以执行如下步骤的程序代码：接收域名服务请求，其中，域名服务请求用于请求预定域名对应的网络地址；判断域名服务请求是否来自用户选择的应用；在判断结果为是的情况下，将预先配置的与预定域名对应的网络地址发送给应用。

可选地，上述处理器还可以执行如下步骤的程序代码：接收域名服务请求，其中，该域名服务请求用于请求预定域名对应的网络地址；判断域名服务请求是否来自用户选择的应用；在判断结果为是的情况下，将预先配置的与预定域名对应的非法网络地址发送给应用，其中，非法网络地址不对应用提供服务。

可选的，上述处理器还可以执行如下步骤的程序代码：在判断结果为否的情况下，将域名服务请求发送给域名服务器；接收来自域名服务器的预定域名对应的网络地址，并将网络地址发送给域名服务请求的发送方。

可选的，上述处理器还可以执行如下步骤的程序代码：将本地的域名服务器的地址设置为本地网络地址。

可选的，上述处理器还可以执行如下步骤的程序代码：展示用户已经选择的一个或多个应用；接收用户取消选择的操作；删除为用户取消选择的应用设置的路由。

可选的，上述处理器还可以执行如下步骤的程序代码：在接收到用户取消选择的操作之后，提示用户进行身份认证；在身份认证通过之后，删除为用户取消选择的应用设置的路由。

本领域普通技术人员可以理解，图19所示的结构仅为示意，计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices，MID)、PAD等终端设备。图19其并不对上述电子装置的结构造成限定。例如，计算机终端23还可包括比图19中所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图19所示不同的配置。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(Read-Only Memory，ROM)、随机存取器(RandomAccess Memory，RAM)、磁盘或光盘等。

实施例7

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例1和4所提供的应用管理方法和数据发送处理方法所执行的程序代码。

可选地，在本实施例中，上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：获取用户选择的应用；查找为应用提供服务的服务端的网络地址；设置路由，其中，路由将访问网络地址的请求进行转发，其中，被转发的请求被丢弃。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：接收来自应用的待发送的数据包；基于待发送的数据包的目的网络地址，根据预先配置的路由转发数据包，其中，被转发的数据包被丢弃，目的网络地址为应用提供服务的服务端的网络地址。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：接收域名服务请求，其中，域名服务请求用于请求预定域名对应的网络地址；判断域名服务请求是否来自用户选择的应用；在判断结果为是的情况下，将预先配置的与预定域名对应的网络地址发送给应用。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：接收域名服务请求，其中，该域名服务请求用于请求预定域名对应的网络地址；判断域名服务请求是否来自用户选择的应用；在判断结果为是的情况下，将预先配置的与预定域名对应的非法网络地址发送给应用，其中，非法网络地址不对应用提供服务。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：在判断结果为否的情况下，将域名服务请求发送给域名服务器；接收来自域名服务器的预定域名对应的网络地址，并将网络地址发送给域名服务请求的发送方。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：将本地的域名服务器的地址设置为本地网络地址。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：展示用户已经选择的一个或多个应用；接收用户取消选择的操作；删除为用户取消选择的应用设置的路由。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：在接收到用户取消选择的操作之后，提示用户进行身份认证；在身份认证通过之后，删除为用户取消选择的应用设置的路由。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (24)

1.一种应用管理方法，其特征在于，包括：

获取用户选择的应用；

查找为所述应用提供服务的服务端的网络地址；

设置路由，其中，所述路由将访问所述网络地址的请求进行转发，其中，被转发的所述请求被丢弃。

2.根据权利要求1所述的方法，其特征在于，所述路由将访问所述网络地址的请求进行转发包括：

所述路由将访问所述网络地址的请求转发到虚拟专用网络VPN通道，其中，转发到所述虚拟专用网络VPN通道的请求被丢弃。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收域名服务请求，其中，所述域名服务请求用于请求预定域名对应的网络地址；

判断所述域名服务请求是否来自所述用户选择的所述应用；

在判断结果为是的情况下，将预先配置的与所述预定域名对应的网络地址发送给所述应用。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收域名服务请求，其中，所述域名服务请求用于请求预定域名对应的网络地址；

判断所述域名服务请求是否来自所述用户选择的所述应用；

在判断结果为是的情况下，将预先配置的与所述预定域名对应的非法网络地址发送给所述应用，其中，所述非法网络地址不对所述应用提供所述服务。

5.根据权利要求3或4所述的方法，其特征在于，所述方法还包括：

在所述判断结果为否的情况下，将所述域名服务请求发送给域名服务器；

接收来自所述域名服务器的所述预定域名对应的网络地址，并将所述网络地址发送给所述域名服务请求的发送方。

6.根据权利要求3或4所述的方法，其特征在于，在接收所述域名服务请求之前，所述方法还包括：

将本地的域名服务器的地址设置为本地网络地址。

7.根据权利要求1至4中任意一项所述的方法，其特征在于，设置路由包括：

根据时间段设置所述路由，其中，所述时间段为所述用户预先配置的。

8.根据权利要求1至4中任意一项所述的方法，其特征在于，所述方法还包括：

展示所述用户已经选择的一个或多个应用；

接收所述用户取消选择的操作；

删除为所述用户取消选择的应用设置的所述路由。

9.根据权利要求8所述的方法，其特征在于，删除为所述用户取消选择的应用设置的所述路由包括：

在接收到所述用户取消选择的操作之后，提示所述用户进行身份认证；

在身份认证通过之后，删除为所述用户取消选择的应用设置的所述路由。

10.一种应用管理装置，其特征在于，包括：

用户界面模块，用于向用户展示第一界面，其中，所述第一界面用于展示供所述用户选择的应用以及展示已经被所述用户选中的应用；

域名服务器代理模块，用于接收在所述第一界面中被选中的应用的域名请求，并返回预先配置的网络地址；

虚拟专用网络客户端模块，用于配置路由，其中，所述路由将来自被选中的应用访问请求转发到虚拟专用网络VPN通道，转发到所述虚拟专用网络VPN通道的访问请求被所述虚拟专用网络客户端模块丢弃。

11.根据权利要求10所述的装置，其特征在于，

所述装置还包括：启动模块，用于在所述装置被启动之后，启动所述用户界面模块、域名服务器代理模块以及虚拟专用网络客户端模块，并且配置所述装置所在设备的域名服务器的网络地址为本地网络地址；

所述域名服务器代理模块，还用于将接收到的在所述第一界面中未被选中的应用的域名请求转发至外部域名服务器，并返回来自所述外部域名服务器的网络地址作为所述域名请求的响应。

12.根据权利要求10或11所述的装置，其特征在于，

所述用户界面模块，还用于向所述用户展示第二界面，其中，所述第二界面用于接收时间段；

所述虚拟专用网络客户端模块，用于根据所述时间段设置所述路由。

13.根据权利要求10或11所述的装置，其特征在于，

所述第一界面还用于接收所述用户取消选择的操作；

所述虚拟专用网络客户端模块，还用于删除为所述用户取消选择的应用设置的所述路由。

14.根据权利要求13所述的装置，其特征在于，

所述用户界面模块，还用于在接收到所述用户取消选择的操作之后，展示第三界面，其中，所述第三界面用于提示所述用户进行身份认证；

所述虚拟专用网络客户端模块，还用于在身份认证通过之后，删除为所述用户取消选择的应用设置的所述路由。

15.一种应用管理装置，其特征在于，包括：

获取模块，用于获取用户选择的应用；

查找模块，用于查找为所述应用提供服务的服务端的网络地址；

第一设置模块，用于设置路由，其中，所述路由将访问所述网络地址的请求进行转发，其中，被转发的所述请求被丢弃。

16.一种数据发送处理方法，其特征在于，包括：

接收来自应用的待发送的数据包；

基于所述待发送的数据包的目的网络地址，根据预先配置的路由转发所述数据包，其中，被转发的所述数据包被丢弃，所述目的网络地址为所述应用提供服务的服务端的网络地址。

17.根据权利要求16所述的方法，其特征在于，根据预先配置的路由转发所述数据包包括：

将访问所述目的网络地址的数据包转发到虚拟专用网络VPN通道，其中，转发到所述虚拟专用网络VPN通道的请求被丢弃。

18.根据权利要求16所述的方法，在接收来自所述应用的待发送的数据包之前，所述方法还包括：

获取用户选择的应用；

查找为所述应用提供服务的服务端的网络地址；

设置所述路由。

19.根据权利要求18所述的方法，其特征在于，所述方法还包括：

接收域名服务请求，其中，所述域名服务请求用于请求预定域名对应的网络地址；

判断所述域名服务请求是否来自所述用户选择的所述应用；

在判断结果为是的情况下，将预先配置的与所述预定域名对应的网络地址发送给所述应用。

20.根据权利要求18所述的方法，其特征在于，所述方法还包括：

接收域名服务请求，其中，所述域名服务请求用于请求预定域名对应的网络地址；

判断所述域名服务请求是否来自所述用户选择的所述应用；

在判断结果为是的情况下，将预先配置的与所述预定域名对应的非法网络地址发送给所述应用，其中，所述非法网络地址不对所述应用提供所述服务。

21.根据权利要求19或20所述的方法，其特征在于，所述方法还包括：

在所述判断结果为否的情况下，将所述域名服务请求发送给域名服务器；

接收来自所述域名服务器的所述预定域名对应的网络地址，并将所述网络地址发送给所述域名服务请求的发送方。

22.根据权利要求19或20所述的方法，其特征在于，在接收所述域名服务请求之前，所述方法还包括：

将本地的域名服务器的地址设置为本地网络地址。

23.一种数据发送处理装置，其特征在于，包括：

第一接收单元，用于接收来自应用的待发送的数据包；

发送单元，用于基于所述待发送的数据包的目的网络地址，根据预先配置的路由转发所述数据包，其中，被转发的所述数据包被丢弃，所述目的网络地址为所述应用提供服务的服务端的网络地址。

24.根据权利要求23所述的装置，其特征在于，所述装置还包括：

获取单元，用于获取用户选择的应用；

查找单元，用于查找为所述应用提供服务的服务端的网络地址；

第一设置单元，用于设置所述路由。