CN108306999A

CN108306999A - 一种域名解析方法及装置

Info

Publication number: CN108306999A
Application number: CN201810084737.4A
Authority: CN
Inventors: 柴永富
Original assignee: New H3C Security Technologies Co Ltd
Current assignee: New H3C Security Technologies Co Ltd
Priority date: 2018-01-29
Filing date: 2018-01-29
Publication date: 2018-07-20
Anticipated expiration: 2038-01-29
Also published as: CN108306999B

Abstract

本申请实施例提供了一种域名解析方法及装置。该方法包括：网络安全设备获取待解析域名；向负载均衡设备发送携带第一查询类型和待解析域名的第一域名查询请求报文；其中，第一查询类型用于指示负载均衡设备从负载均衡设备连接的所有域名系统DNS服务器中获取待解析域名对应的IP地址；接收负载均衡设备发送的第一域名查询响应报文，第一域名查询响应报文携带负载均衡设备获取到的待解析域名对应的互联网协议IP地址。应用本申请实施例提供的方案，能够提高获取的IP地址的准确性，进而提高报文处理的准确性。

Description

一种域名解析方法及装置

技术领域

本申请涉及通信技术领域，特别是涉及一种域名解析方法及装置。

背景技术

随着互联网的发展，内网设备可能需要频繁地访问外网服务器，内网设备与外网服务器之间的交互正变得越来越频繁。内网设备访问外网服务器时可能会需要进行一定的安全防护。

图1为内网设备通过防火墙访问外网服务器的一种网络架构图，其中，内网设备包括服务器1～3，外网服务器包括服务器A和服务器B。内网设备在访问某一域名对应的服务器时，通常需要通过防火墙和负载均衡(Load Balance，LB)设备向域名系统(Domain NameSystem，DNS)服务器发送域名查询请求报文，以获取该域名对应的互联网协议(InternetProtocol，IP)地址，然后利用该获取到的IP地址访问该域名对应的服务器。其中，负载均衡设备在接收到内网设备发送的域名查询请求报文后，会根据负载均衡算法将该域名查询请求报文发送至某一DNS服务器，并将DNS服务器响应的查询结果通过防火墙发送至内网设备。

为了安全起见，通常会在防火墙上配置内网设备访问外网服务器时的报文处理规则。当防火墙设备接收到来自内网设备的报文时，可以将报文的目的IP地址与规则库中IP地址与规则的对应关系进行匹配，根据匹配的规则对报文执行相应的处理。例如，当匹配的规则为放行时放行报文，当匹配的规则为拦截时，拦截报文。

防火墙在根据配置的域名生成规则库时，需要获得域名对应的IP地址。防火墙可以侦听内网设备向DNS服务器发送的域名查询请求报文，并从侦听的域名查询响应报文中得到域名对应的IP地址。

但是，为了健壮性考虑，同一个域名可能会有多个外网服务器，也就是说，同一个域名会对应多个IP地址，并存储在不同的DNS服务器中。由于域名查询请求报文通常会发送至某一DNS服务器，因此防火墙通过侦听报文通常只能得到域名对应的部分IP地址。这就导致，防火墙的规则库中某一域名对应的IP地址可能是不全的，那么防火墙便可能会对访问该域名的报文执行错误处理，例如访问该域名的报文都应拦截，但由于规则库中该域名对应的IP地址不全，因此可能会放行部分访问该域名的报文。由此可以看出，现有的获取IP地址的方式不够准确，进而会导致对报文的处理不够准确。

发明内容

本申请实施例的目的在于提供了一种域名解析方法及装置，以提高获取的IP地址的准确性，进而提高报文处理的准确性。具体的技术方案如下。

为了达到上述目的，本申请实施例提供了一种域名解析方法，该方法应用于网络安全设备，该方法包括：

获取待解析域名；

向负载均衡设备发送携带第一查询类型和所述待解析域名的第一域名查询请求报文；其中，所述第一查询类型，用于指示所述负载均衡设备从所述负载均衡设备连接的所有域名系统DNS服务器中获取所述待解析域名对应的IP地址；

接收所述负载均衡设备发送的第一域名查询响应报文，所述第一域名查询响应报文携带所述负载均衡设备获取到的所述待解析域名对应的互联网协议IP地址。

本申请实施例提供了另一种域名解析方法，该方法应用于负载均衡设备，该方法包括：

接收网络安全设备发送的携带第一查询类型和待解析域名的第一域名查询请求报文；其中，所述第一查询类型，用于指示所述负载均衡设备从所述负载均衡设备连接的所有域名系统DNS服务器中获取所述待解析域名对应的IP地址；

根据所述第一查询类型从所述负载均衡设备连接的所有DNS服务器中获取所述待解析域名对应的互联网协议IP地址；

向所述网络安全设备发送第一域名查询响应报文，所述第一域名查询响应报文携带从所述负载均衡设备连接的所有DNS服务器中获取到的所述待解析域名对应的IP地址。

本申请实施例提供了一种域名解析装置，该装置应用于网络安全设备，该装置包括：

第一获取模块，用于获取待解析域名；

第一发送模块，用于向负载均衡设备发送携带第一查询类型和所述待解析域名的第一域名查询请求报文；其中，所述第一查询类型，用于指示所述负载均衡设备从所述负载均衡设备连接的所有域名系统DNS服务器中获取所述待解析域名对应的IP地址；

第一接收模块，用于接收所述负载均衡设备发送的第一域名查询响应报文，所述第一域名查询响应报文携带所述负载均衡设备获取到的所述待解析域名对应的互联网协议IP地址。

本申请实施例提供了另一种域名解析装置，该装置应用于负载均衡设备，该装置包括：

第二接收模块，用于接收网络安全设备发送的携带第一查询类型和待解析域名的第一域名查询请求报文；其中，所述第一查询类型，用于指示所述负载均衡设备从所述负载均衡设备连接的所有域名系统DNS服务器中获取所述待解析域名对应的IP地址；

第二获取模块，用于根据所述第一查询类型从所述负载均衡设备连接的所有DNS服务器中获取所述待解析域名对应的互联网协议IP地址；

第二发送模块，用于向所述网络安全设备发送第一域名查询响应报文，所述第一域名查询响应报文携带从所述负载均衡设备连接的所有DNS服务器中获取到的所述待解析域名对应的IP地址。

本申请实施例提供了一种网络安全设备。该网络安全设备包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现本申请实施例提供的域名解析方法。该方法包括：

获取待解析域名；

本申请实施例提供了一种负载均衡设备。该负载均衡设备包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现本申请实施例提供的域名解析方法。该方法包括：

本申请实施例提供了一种机器可读存储介质。该机器可读存储介质存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现本申请实施例提供的域名解析方法。该方法包括：

获取待解析域名；

本申请实施例提供的域名解析方法及装置中，网络安全设备可以向负载均衡设备发送携带第一查询类型和待解析域名的第一域名查询请求报文，该第一查询类型用于指示负载均衡设备从负载均衡设备连接的所有DNS服务器中获取待解析域名对应的IP地址。网络安全设备可以接收负载均衡设备发送的携带待解析域名对应的IP地址的第一域名查询响应报文。由于负载均衡设备在接收到携带第一查询类型的域名查询请求报文时可以从连接的所有DNS服务器中获取待解析域名对应的IP地址，因此可以使网络安全设备得到待解析域名对应的所有IP地址，这样能够使获取的IP地址更准确，进而能够提高报文处理的准确性。当然，实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为内网设备通过防火墙访问外网服务器的一种网络架构图；

图2为本申请实施例提供的一种域名解析方法的流程示意图；

图3为在图2所示实施例基础上得到的域名解析方法的一种流程示意图；

图4为本申请实施例提供的另一种域名解析方法的流程示意图；

图5为本申请实施例提供的一种域名解析装置的结构示意图；

图6为本申请实施例提供的另一种域名解析装置的结构示意图；

图7为本申请实施例提供的网络安全设备的一种结构示意图；

图8为本申请实施例提供的负载均衡设备的一种结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整的描述。显然，所描述的实施例仅仅是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

为了使获取的IP地址更准确，进而提高报文处理的准确性，本申请实施例提供了一种域名解析方法及装置。下面通过具体实施例，对本申请进行详细说明。

图2为本申请实施例提供的域名解析方法的一种流程示意图。该方法应用于网络安全设备。网络安全设备为一种位于内网与外网之间的网络安全防护设备。该网络安全设备可以为防火墙设备。该方法包括如下步骤：

步骤S201：获取待解析域名。

其中，待解析域名可以是人工配置在网络安全设备中的，也可以是网络安全设备从其他设备中获取到的。

步骤S202：向负载均衡设备发送携带第一查询类型和待解析域名的第一域名查询请求报文。

其中，第一查询类型，用于指示负载均衡设备从负载均衡设备连接的所有域名系统(Domain Name System，DNS)服务器中获取待解析域名对应的互联网协议(InternetProtocol，IP)地址。例如，第一查询类型的名称可以为A-EX，数值可以取为17。

网络安全设备可以通过负载均衡(Load Balance，LB)设备与DNS服务器连接。

网络安全设备将第一域名查询请求报文发送至负载均衡设备。负载均衡设备接收网络安全设备发送的第一域名查询请求报文，并从负载均衡设备连接的所有DNS服务器中获取待解析域名对应的IP地址，将该待解析域名对应的IP地址发送至网络安全设备。

在一种实施方式中，负载均衡设备也可以为DNS服务器，即负载均衡设备可以为具有域名解析功能和负载均衡功能的服务器。在这种情况下，负载均衡设备连接的所有DNS服务器也包括该负载均衡设备，即负载均衡设备也从自身获取待解析域名对应的IP地址。

步骤S203：接收负载均衡设备发送的第一域名查询响应报文。

其中，该第一域名查询响应报文携带负载均衡设备获取到的待解析域名对应的IP地址。

网络安全设备可以从第一域名查询响应报文中解析出待解析域名对应的IP地址。

由上述内容可见，本实施例中，网络安全设备可以向负载均衡设备发送携带第一查询类型和待解析域名的第一域名查询请求报文，该第一查询类型用于指示负载均衡设备从负载均衡设备连接的所有DNS服务器中获取待解析域名对应的IP地址。网络安全设备可以接收负载均衡设备发送的携带待解析域名对应的IP地址的第一域名查询响应报文。由于负载均衡设备在接收到携带第一查询类型的域名查询请求报文时可以从连接的所有DNS服务器中获取待解析域名对应的IP地址，因此可以使网络安全设备得到待解析域名对应的所有IP地址，这样能够使获取的IP地址更准确，进而能够提高报文处理的准确性。

在本申请的另一实施例中，在图2所示实施例的基础上，步骤S201，获取待解析域名的步骤，可以包括：

检测存储的域名与IP地址的第三对应关系中是否存在生存期超期的IP地址，如果存在，则将生存期超期的IP地址对应的域名确定为待解析域名；如果不存在，则可以不予以处理。

其中，网络安全设备中存储有域名与IP地址的第三对应关系，以及各个IP地址的生存期。IP地址的生存期超期时，说明该IP地址已经失效。当IP地址的生存期超期时，网络安全设备可以将该IP地址对应的域名确定为待解析域名，通过负载均衡设备向DNS服务器请求查询该待解析域名对应的IP地址。

在接收负载均衡设备发送的第一域名查询响应报文之后，还可以将待解析域名对应的IP地址更新至第三对应关系，进而可以使第三对应关系中的IP地址更准确。

在本申请的另一实施例中，由于网络安全设备中存储有域名与IP地址的第三对应关系，为了减少负载均衡设备和DNS服务器的处理工作量，可以将网络安全设备作为内网设备请求域名解析时的代理设备。在图2所示实施例的基础上，该方法还可以包括以下步骤1～步骤3：

步骤1：接收内网设备发送的第二域名查询请求报文。

其中，第二域名查询请求报文中携带第二查询类型和待解析域名，第二域名查询请求报文的目的地址为网络安全设备的地址。第二查询类型用于指示获取与待解析域名对应的IP地址。例如，第二查询类型的名称可以为A，数值可以取为1。

第二域名查询请求报文与第一域名查询请求报文不同。其中，第二域名查询请求报文的源地址为内网设备的地址，目的地址为网络安全设备的地址；第一域名查询请求报文的源地址为网络安全设备的地址，目的地址为负载均衡设备的地址。第二域名查询请求报文中携带的第二查询类型，用于指示该报文的目的端设备获取与待解析域名对应的IP地址；第一域名查询请求报文中携带的第一查询类型，用于指示负载均衡设备从负载均衡设备连接的所有DNS服务器中获取待解析域名对应的IP地址。

内网设备可以在需要访问外网服务器时，向网络安全设备发送第二域名查询请求报文。本实施例中，内网设备可以将网络安全设备设置为域名解析的代理设备，使网络安全设备确定待解析域名对应的IP地址，并对内网设备发送的域名查询请求报文进行响应。

步骤2：根据第二查询类型从第三对应关系中选择一个IP地址。

由于网络安全设备中存储有第三对应关系，因此在接收到内网设备发送的第二域名查询请求报文时，可以从第三对应关系中选择一个IP地址，作为待解析域名对应的IP地址。

在选择IP地址时，可以从第三对应关系中待解析域名对应的IP地址中随机选择。

步骤3：向内网设备发送第二域名查询响应报文，第二域名查询响应报文中携带选择的IP地址。

内网设备可以接收网络安全设备发送的第二域名查询响应报文，并从第二域名查询响应报文中获取IP地址，作为待解析域名对应的IP地址。

综上，本实施例中，网络安全设备可以接收内网设备发送的域名查询请求报文，并从第三对应关系中选择一个IP地址，将选择的IP地址发送至内网设备，以使内网设备获取到待解析域名对应的IP地址，无需再向负载均衡设备和DNS设备发送域名查询请求，能够减少负载均衡设备和DNS设备的处理工作量。

在本申请的另一实施例中，图3为本申请实施例提供的另一种域名解析方法的流程示意图。该方法应用于网络安全设备。网络安全设备为一种位于内网与外网之间的网络安全防护设备。该网络安全设备可以为防火墙设备。该方法包括如下步骤S301～步骤S305：

步骤S301：获取待解析域名。

步骤S302：向负载均衡设备发送携带第一查询类型和待解析域名的第一域名查询请求报文。其中，第一查询类型，用于指示负载均衡设备从负载均衡设备连接的所有DNS服务器中获取待解析域名对应的IP地址。

步骤S303：接收负载均衡设备发送的第一域名查询响应报文。其中，该第一域名查询响应报文携带负载均衡设备获取到的待解析域名对应的IP地址。

上述步骤S301～步骤S303分别与图2中的步骤S201～步骤S203相同，详细说明可参见图2所示实施例，此处不再赘述。

步骤S304：根据预设的待解析域名与规则的第一对应关系，生成待解析域名对应的IP地址与规则的第二对应关系。

在本实施例中，可以预先在网络安全设备上配置第一对应关系。上述规则可以理解为当内网设备向待解析域名对应的外网服务器发送报文时对报文的处理规则。在第一对应关系中，一个待解析域名对应一个规则，一个规则可以对应多个待解析域名。

例如，待解析域名a.com，c.com对应的规则可以为放行，除了a.com，c.com，d.com之外的待解析域名对应的规则为拦截。当待解析域名a.com对应的IP地址为1.1.1.1，2.2.2.2，3.3.3.3，待解析域名c.com对应的IP地址为4.4.4.4，5.5.5.5时，可以得到待解析域名对应的IP地址与规则的第二对应关系为：1.1.1.1，2.2.2.2，3.3.3.3，4.4.4.4，5.5.5.5对应的规则为放行，除上述IP地址之外的IP地址对应的规则为拦截。

步骤S305：当接收到待处理报文时，若第二对应关系中包括与待处理报文的目的IP地址相同的IP地址，则根据该目的IP地址对应的规则对待处理报文进行处理。

当网络安全设备接收到待处理报文时，可以将待处理报文的目的IP地址与第二对应关系中的IP地址进行匹配，若第二对应关系中包括与该目的IP地址相同的IP地址，则根据该目的IP地址对应的规则对待处理报文进行处理。

例如，沿用步骤S304中的第二对应关系，当接收到待处理报文的目的IP地址为3.3.3.3时，可以确定第二对应关系中与该目的IP地址对应的规则为放行，因此对该待处理报文进行放行。当接收到待处理报文的目的IP地址为9.9.9.9时，可以确定第二对应关系中与该目的IP地址对应的规则为拦截，因此对该待处理报文进行拦截。

综上，本实施例中，根据第一对应关系生成待解析域名对应的IP地址与规则的第二对应关系，当接收到待处理报文时，可以根据第二对应关系对待处理报文进行处理。由于获取的待解析域名对应的IP地址更全面、更准确，因此根据待解析域名对应的IP地址与规则的对应关系对报文进行处理时也更准确。

图4为本申请实施例提供的另一种域名解析方法的结构示意图。该方法应用于负载均衡设备，该负载均衡(LB)设备可以为路由器、交换机等网络设备，也可以为计算机、服务器等设备，服务器具体可以为DNS服务器等。该方法包括以下步骤S401～步骤S403：

步骤S401：接收网络安全设备发送的携带第一查询类型和待解析域名的第一域名查询请求报文。

其中，第一查询类型，用于指示负载均衡设备从负载均衡设备连接的所有域名系统DNS服务器中获取所述待解析域名对应的IP地址。

步骤S402：根据第一查询类型从负载均衡设备连接的所有DNS服务器中获取待解析域名对应的IP地址。

本步骤中，负载均衡设备在接收到第一域名查询请求报文时，可以将该第一域名查询请求报文的目的地址分别修改为各个DNS服务器的地址，将修改目的地址后的各个第一域名查询请求报文分别发送至各个DNS服务器。

各个DNS服务器接收到负载均衡设备发送的修改目的地址后的第一域名查询请求报文时，从自身获取待解析域名对应的IP地址。各个DNS服务器分别向负载均衡设备发送携带待解析域名对应的IP地址的应答报文。负载均衡设备可以接收各个DNS服务器发送的响应报文，并从各个应答报文中解析得到待解析域名对应的各个IP地址。

在一种实施方式中，负载均衡设备也可以为DNS服务器，即负载均衡设备可以为具有域名解析功能和负载均衡功能的服务器。在这种情况下，负载均衡设备连接的所有DNS服务器包括该负载均衡设备，即负载均衡设备也从自身获取待解析域名对应的IP地址。

步骤S403：向网络安全设备发送第一域名查询响应报文。

其中，第一域名查询响应报文携带从负载均衡设备连接的所有DNS服务器中获取到的待解析域名对应的IP地址。

在负载均衡设备接收到各个DNS服务器返回的待解析域名对应的IP地址时，可以从接收的待解析域名对应的各个IP地址中删除重复的IP地址，得到待解析域名对应的IP地址集合，该IP地址集合中不包含重复的IP地址。也就是说，第一域名查询响应报文中携带的待解析域名对应的IP地址中，各个IP地址互不相同。

由上述内容可见，本实施例中，负载均衡设备在接收到网络安全设备发送的携带第一查询类型和待解析域名的第一域名查询请求报文时，可以根据第一查询类型从负载均衡设备连接的所有DNS服务器中获取待解析域名对应的IP地址。由于负载均衡设备在接收到携带第一查询类型的域名查询请求报文时可以从连接的所有DNS服务器中获取待解析域名对应的IP地址，因此可以使网络安全设备得到待解析域名对应的所有IP地址，这样能够使网络安全设备获取的IP地址更准确，进而能够提高报文处理的准确性。

图5为本申请实施例提供的一种域名解析装置的结构示意图。该装置应用于网络安全设备，该装置与图2所示实施例相对应。该装置可以包括以下模块：

第一获取模块501，用于获取待解析域名；

第一发送模块502，用于向负载均衡设备发送携带第一查询类型和所述待解析域名的第一域名查询请求报文；其中，所述第一查询类型，用于指示所述负载均衡设备从所述负载均衡设备连接的所有域名系统DNS服务器中获取所述待解析域名对应的IP地址；

第一接收模块503，用于接收所述负载均衡设备发送的第一域名查询响应报文，所述第一域名查询响应报文携带所述负载均衡设备获取到的所述待解析域名对应的互联网协议IP地址。

在本申请的另一实施例中，图5所示实施例中，该装置还可以包括：

生成模块(图中未示出)，用于在接收所述负载均衡设备发送的第一域名查询响应报文之后，根据预设的所述待解析域名与规则的第一对应关系，生成所述待解析域名对应的IP地址与规则的第二对应关系；

处理模块(图中未示出)，用于当接收到待处理报文时，若所述第二对应关系中包括与所述待处理报文的目的IP地址相同的IP地址，则根据所述目的IP地址对应的规则对所述待处理报文进行处理。

在本申请的另一实施例中，图5所示实施例中，第一获取模块501具体用于：

检测存储的域名与IP地址的第三对应关系中是否存在生存期超期的IP地址，如果存在，则将生存期超期的IP地址对应的域名确定为待解析域名；

所述装置还可以包括：

更新模块(图中未示出)，用于在接收所述负载均衡设备发送的第一域名查询响应报文之后，将所述待解析域名对应的IP地址更新至所述第三对应关系。

在本申请的另一实施例中，图5所示实施例中，该装置还可以包括：选择模块(图中未示出)；

第一接收模块503，还用于接收内网设备发送的第二域名查询请求报文，所述第二域名查询请求报文中携带第二查询类型和所述待解析域名，所述第二域名查询请求报文的目的地址为所述网络安全设备的地址，所述第二查询类型用于指示获取与所述待解析域名对应的IP地址；

选择模块，用于根据所述第二查询类型从所述第三对应关系中选择一个IP地址；

第一发送模块502，还用于向内网设备发送第二域名查询响应报文，第二域名查询响应报文中携带选择的IP地址。

由于上述装置实施例是基于图2所示方法实施例得到的，与该方法具有相同的技术效果，因此装置实施例的技术效果在此不再赘述。对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。

图6为本申请实施例提供的另一种域名解析装置。该装置应用于负载均衡设备，该实施例与图4所示实施例相对应。该装置包括以下模块：

第二接收模块601，用于接收网络安全设备发送的携带第一查询类型和待解析域名的第一域名查询请求报文；其中，所述第一查询类型，用于指示所述负载均衡设备从所述负载均衡设备连接的所有域名系统DNS服务器中获取所述待解析域名对应的IP地址；

第二获取模块602，用于根据所述第一查询类型从所述负载均衡设备连接的所有DNS服务器中获取所述待解析域名对应的互联网协议IP地址；

第二发送模块603，用于向所述网络安全设备发送第一域名查询响应报文，所述第一域名查询响应报文携带从所述负载均衡设备连接的所有DNS服务器中获取到的所述待解析域名对应的IP地址。

由于上述装置实施例是基于图4所示方法实施例得到的，与该方法具有相同的技术效果，因此装置实施例的技术效果在此不再赘述。对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。

图7为本申请实施例提供的一种网络安全设备的结构示意图。该网络安全设备包括处理器701和机器可读存储介质702。机器可读存储介质702存储有能够被处理器701执行的机器可执行指令，处理器701被所述机器可执行指令促使：实现本申请实施例提供的域名解析方法，该方法包括：

获取待解析域名；

上述处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

综上，本实施例中，由于负载均衡设备在接收到携带第一查询类型的域名查询请求报文时可以从连接的所有DNS服务器中获取待解析域名对应的IP地址，因此可以使网络安全设备得到待解析域名对应的所有IP地址，这样能够使获取的IP地址更准确，进而能够提高报文处理的准确性。

图8为本申请实施例提供的一种负载均衡设备的结构示意图。该负载均衡设备可以包括处理器801和机器可读存储介质802，机器可读存储介质802存储有能够被处理器801执行的机器可执行指令，处理器801被机器可执行指令促使：实现本申请实施例提供的域名解析方法，该方法包括：

综上，本实施例中，由于负载均衡设备在接收到携带第一查询类型的域名查询请求报文时可以从连接的所有DNS服务器中获取待解析域名对应的IP地址，因此可以使网络安全设备得到待解析域名对应的所有IP地址，这样能够使网络安全设备获取的IP地址更准确，进而能够提高报文处理的准确性。

本申请实施例还提供了一种机器可读存储介质，该机器可读存储介质存储有机器可执行指令，在被处理器调用和执行时，机器可执行指令促使处理器：实现本申请实施例提供的域名解析方法，该方法包括：

获取待解析域名；

本申请实施例还提供了另一种机器可读存储介质，该机器可读存储介质存储有机器可执行指令，在被处理器调用和执行时，机器可执行指令促使处理器：实现本申请实施例提供的域名解析方法，该方法包括：

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。

以上所述仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本申请的保护范围内。

Claims

1.一种域名解析方法，其特征在于，应用于网络安全设备，所述方法包括：

获取待解析域名；

2.根据权利要求1所述的方法，其特征在于，在接收所述负载均衡设备发送的第一域名查询响应报文之后，所述方法还包括：

根据预设的所述待解析域名与规则的第一对应关系，生成所述待解析域名对应的IP地址与规则的第二对应关系；

当接收到待处理报文时，若所述第二对应关系中包括与所述待处理报文的目的IP地址相同的IP地址，则根据所述目的IP地址对应的规则对所述待处理报文进行处理。

3.根据权利要求1所述的方法，其特征在于，所述获取待解析域名的步骤，包括：

所述方法还包括：

在接收所述负载均衡设备发送的第一域名查询响应报文之后，将所述待解析域名对应的IP地址更新至所述第三对应关系。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

接收内网设备发送的第二域名查询请求报文，所述第二域名查询请求报文中携带第二查询类型和所述待解析域名，所述第二域名查询请求报文的目的地址为所述网络安全设备的地址，所述第二查询类型用于指示获取与所述待解析域名对应的IP地址；

根据所述第二查询类型从所述第三对应关系中选择一个IP地址；

向所述内网设备发送第二域名查询响应报文，所述第二域名查询响应报文中携带选择的IP地址。

5.一种域名解析方法，其特征在于，应用于负载均衡设备，所述方法包括：

6.一种域名解析装置，其特征在于，应用于网络安全设备，所述装置包括：

第一获取模块，用于获取待解析域名；

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

生成模块，用于在接收所述负载均衡设备发送的第一域名查询响应报文之后，根据预设的所述待解析域名与规则的第一对应关系，生成所述待解析域名对应的IP地址与规则的第二对应关系；

处理模块，用于当接收到待处理报文时，若所述第二对应关系中包括与所述待处理报文的目的IP地址相同的IP地址，则根据所述目的IP地址对应的规则对所述待处理报文进行处理。

8.根据权利要求6所述的装置，其特征在于，所述第一获取模块，具体用于：

所述装置还包括：

更新模块，用于在接收所述负载均衡设备发送的第一域名查询响应报文之后，将所述待解析域名对应的IP地址更新至所述第三对应关系。

9.根据权利要求8所述的装置，其特征在于，所述装置还包括：选择模块；

所述第一接收模块，还用于接收内网设备发送的第二域名查询请求报文，所述第二域名查询请求报文中携带第二查询类型和所述待解析域名，所述第二域名查询请求报文的目的地址为所述网络安全设备的地址，所述第二查询类型用于指示获取与所述待解析域名对应的IP地址；

所述选择模块，用于根据所述第二查询类型从所述第三对应关系中选择一个IP地址；

所述第一发送模块，还用于向所述内网设备发送第二域名查询响应报文，所述第二域名查询响应报文中携带选择的IP地址。

10.一种域名解析装置，其特征在于，应用于负载均衡设备，所述装置包括：

11.一种网络安全设备，其特征在于，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现权利要求1-4任一所述的方法步骤。

12.一种负载均衡设备，其特征在于，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现权利要求5所述的方法步骤。

13.一种机器可读存储介质，其特征在于，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现权利要求1-4任一所述的方法步骤。

14.一种机器可读存储介质，其特征在于，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现权利要求5所述的方法步骤。