CN108337257A - 一种免认证访问方法和网关设备 - Google Patents
一种免认证访问方法和网关设备 Download PDFInfo
- Publication number
- CN108337257A CN108337257A CN201810096893.2A CN201810096893A CN108337257A CN 108337257 A CN108337257 A CN 108337257A CN 201810096893 A CN201810096893 A CN 201810096893A CN 108337257 A CN108337257 A CN 108337257A
- Authority
- CN
- China
- Prior art keywords
- domain name
- dns
- query message
- dns query
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本公开提供一种免认证访问方法,该方法应用于网关设备,方法为:接收由终端发送给DNS服务器的第一DNS查询报文;如果域名列表中包括第一DNS查询报文要查询的第一域名,则转发第一DNS查询报文;域名列表用于记录网关设备收到过的DNS查询报文中的域名;如果域名列表中不包括第一域名且第一域名与预配置的免认证域名匹配,则在域名列表中记录第一域名,并向DNS服务器发送第二DNS查询报文,第二DNS查询报文的源IP地址为网关设备的地址,第二DNS查询报文也用于查询第一域名;如果接收到针对第二DNS查询报文的指示域名解析成功的DNS应答报文,则对解析得到的第一IP地址配置放行规则,以及转发第一DNS查询报文。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种免认证访问方法和网关设备。
背景技术
在用户接入网络时,网关设备能够控制用户访问网络的权限。比如,网关设备可以配合认证服务器对用户进行身份认证,并对认证通过的用户授予外网访问权限。又比如,网关设备可以对某些域名进行免认证,实现用户不需认证就能访问指定的网站或者服务器。
其中一种免认证访问方案是:在网关设备上为不需认证就能访问的网站或者服务器的域名配置免认证规则;针对配置了免认证规则的域名,网关设备向DNS(Domain NameSystem,域名系统)服务器查询这类域名对应的IP(Internet Protocol,互联网协议)地址,并对查询到的IP地址配置放行规则,这样用户访问此IP地址的HTTP(Hyper Text TransferProtocol,超文本传输协议)报文到达网关设备后可以直接放行。
发明内容
有鉴于此,本公开提供一种免认证访问方法和网关设备,用以解决终端第一次访问免认证网站或者免认证服务器时可能会出现访问失败的问题。
具体地,本公开是通过如下技术方案实现的:
本公开第一方面,提供了一种免认证访问方法,所述方法应用于网关设备,所述网关设备为终端与DNS服务器之间的中间设备,所述方法包括:
接收由终端发送给DNS服务器的第一DNS查询报文,所述第一DNS查询报文包括待查询的第一域名;
如果保存的域名列表中包括所述第一域名,则转发所述第一DNS查询报文;所述域名列表用于记录所述网关设备收到过的DNS查询报文中的域名;
如果保存的域名列表中不包括所述第一域名,且所述第一域名与预配置的免认证域名匹配,则在所述域名列表中记录所述第一域名,并向所述DNS服务器发送第二DNS查询报文,所述第二DNS查询报文的源IP地址为网关设备的地址,所述第二DNS查询报文所查询的域名为所述第一域名;
如果接收到针对所述第二DNS查询报文的用于指示域名解析成功的DNS应答报文,则对所述DNS应答报文中与所述第一域名对应的第一IP地址配置放行规则,以及转发所述第一DNS查询报文。
本公开第二方面,提供了一种网关设备,该网关设备为终端与DNS服务器之间的中间设备,具有实现上述方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块或单元。
一种实现方式中,所述网关设备包括:
收发单元,用于接收由终端发送给DNS服务器的第一DNS查询报文,所述第一DNS查询报文包括待查询的第一域名;
处理单元,用于如果保存的域名列表中包括所述第一域名,则指示所述收发单元转发所述第一DNS查询报文;所述域名列表用于记录所述网关设备收到过的DNS查询报文中的域名;如果保存的域名列表中不包括所述第一域名,且所述第一域名与预配置的免认证域名匹配,则在所述域名列表中记录所述第一域名,并指示所述收发单元向所述DNS服务器发送第二DNS查询报文,所述第二DNS查询报文的源IP地址为网关设备的地址,所述第二DNS查询报文所查询的域名为所述第一域名;如果所述收发单元接收到针对所述第二DNS查询报文的用于指示域名解析成功的DNS应答报文,则对所述DNS应答报文中与所述第一域名对应的第一IP地址配置放行规则,以及指示所述收发单元转发所述第一DNS查询报文。
另一种实现方式中,所述网关设备可以包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行本公开第一方面所述的方法。
本申请第三方面,提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现本申请第一方面所述的方法。
本公开中,网关设备通过识别终端发送给DNS服务器的DNS查询报文,并检查DNS查询报文所查询的域名与本设备预配置的免认证域名是否匹配,如果匹配则去DNS服务器提前解析该域名对应的IP地址并对解析得到的IP地址配置放行规则,使得终端第一次访问免认证网站或者免认证服务器便能成功。
附图说明
图1是本公开实施例提供的系统架构示意图;
图2是本公开实施例提供的方法流程图;
图3是本公开实施例提供的免认证访问过程示意图;
图4是本公开提供的装置功能模块框图;
图5是本公开提供的图4所示装置的硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
如上背景技术部分介绍了一种免认证访问方案,在实际应用中,这种免认证访问方案可能不适用于含有通配符(如星号*和问号?)的域名,原因如下:含有通配符的域名往往匹配了多个域名,比如*.sina.com这个域名可以匹配与新浪相关的所有域名。当网关设备向DNS服务器查询含有通配符的域名对应的IP地址时,DNS服务器可能查询到一个IP地址后便不再继续域名解析,导致网关设备不能获取到这类含有通配符的域名对应的所有IP地址,进而无法提前下发与该域名相关的完整的IP地址放行规则;这样用户第一次访问其中任一个未提前下发放行规则的IP地址的HTTP报文到达网关设备后,一方面该HTTP报文由于没有命中IP地址放行规则会被网关设备丢弃,另一方面由于该HTTP报文的目的IP地址对应的域名与配置了免认证规则的含有通配符的域名匹配,会触发网关设备为该HTTP报文的目的IP地址配置放行规则,使得后续用户访问此IP地址的HTTP报文可以直接放行。这给用户带来的体验是,在第一次访问免认证网站或者免认证服务器时会出现访问失败的情况,需要再次访问才能成功。
为此,本公开提供一种适用于含通配符的域名的免认证访问方案,网关设备识别终端发送给DNS服务器的DNS查询报文,并检查DNS查询报文所查询的域名与本设备预配置的免认证域名是否匹配,如果匹配则去DNS服务器提前解析该域名对应的IP地址并对解析得到的IP地址配置放行规则,使得终端第一次访问免认证网站或者免认证服务器便能成功。
本公开提供的免认证访问方法,可应用于图1所示例的系统,该系统包括终端、网关设备和DNS服务器,其中:
终端,也可称之为用户设备(User Equipment,UE),终端可以是移动电话、计算机或者车载移动装置等。终端在未通过Portal认证之前,通过浏览器访问指定的免认证网站或者免认证服务器的域名,触发向DNS服务器发送DNS查询报文,报文中包含着要访问的免认证网站或者免认证服务器的域名;最终终端会收到DNS服务器回应的DNS应答报文,其中包含有该域名对应的IP地址,终端可以向该IP地址定位的网站或者服务器发起TCP(Transmission Control Protocol,传输控制协议)连接。
网关设备,为终端连接到网络的网络设备,也为终端与DNS服务器之间的中间设备,具体可以是BRAS(Broadband Remote Access Server,宽带接入服务器);其作用是,在接收到终端发送给DNS服务器的DNS查询报文时,转发给DNS服务器,并对DNS查询报文进行分析处理(具体分析处理过程在下文再详细描述);以及在接收到DNS服务器发送给终端的DNS应答报文时,转发给终端。
DNS服务器,保存有网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址的功能。
基于上面描述,下面对本公开提供的方法进行描述:
本公开提供的免认证访问方法应用于终端与DNS服务器之间的网关设备上,为实现本公开提供的方法,需要在网关设备上进行如下配置:
首先,针对不需认证就能访问的网站或者服务器的域名配置免认证规则,这里配置了免认证规则的域名可以含有通配符,如*.sina.com形式的域名。
其次,在网关设备的转发面配置对目的地址是DNS服务器地址、目的端口为53(53端口为DNS服务器所开放)的UDP(User Datagram Protocol,用户数据包协议)报文或TCP报文,将其上送到网关设备的控制面处理,以及配置对源端口为53的UDP报文或TCP报文进行放行;即接收到发送给DNS服务器的DNS查询报文时上送到控制面做进一步的分析处理,以及接收到DNS服务器回应的DNS应答报文时转发给对应设备。
再其次,新增一张域名列表,此域名列表用于记录网关设备收到过的DNS查询报文中携带的域名,其形式可参考表1所示,其中表1中的域名字段用于记录网关设备收到过的DNS查询报文中的域名;IP地址字段表示域名对应的IP地址;DNS服务器地址字段表示负责域名解析的DNS服务器地址;老化时间字段表示本行在域名列表中的存活时长。以上各字段中,域名字段为必选字段,其余字段为可选字段。
表1
域名 | IP地址 | DNS服务器地址 | 老化时间 |
参见图2,图2为本公开提供的免认证访问方法的流程图,可包括以下步骤:
步骤201:网关设备接收由终端发送给DNS服务器的第一DNS查询报文,第一DNS查询报文包括待查询的第一域名。
这里网关设备的转发面收到的第一DNS查询报文可以匹配上上文描述的目的地址是DNS服务器地址、目的端口是53的TCP/UDP报文上送策略,从而网关设备的转发面会将第一DNS查询报文上送到控制面,之后控制面从第一DNS查询报文中解析出第一域名,并在保存的域名列表中查找第一域名。
步骤202:如果保存的域名列表中包括上述第一域名,则网关设备转发第一DNS查询报文。
当网关设备可以从域名列表中找到第一域名时,表明网关设备之前已收到到过针对第一域名的DNS查询报文并对第一域名进行过分析处理,所以这里只需将第一DNS查询报文转发给DNS服务器。DNS服务器收到第一DNS查询报文会通过DNS应答报文进行响应,在该DNS应答报文中携带对应第一域名的IP地址。网关设备接收到DNS服务器发送给终端的DNS应答报文后,可以匹配上上文描述的源端口为53的TCP/UDP报文放行策略,所以直接将该DNS应答报文转发给终端,以使终端使用该DNS应答报文中的IP地址发送HTTP报文。
当网关设备从域名列表中未找到第一域名时,此时可能有两种情况,一种是网关设备之前未收到过针对第一域名的DNS查询报文,另一种是网关设备曾经收到过针对第一域名的DNS查询报文但因超过老化时间导致第一域名已从域名列表中删除。无论哪种情况,网关设备均需要进一步将第一域名与本地预配置的免认证域名进行匹配。
步骤203:如果保存的域名列表中不包括上述第一域名,且第一域名与预配置的免认证域名匹配,则网关设备在域名列表中记录第一域名,并向DNS服务器发送第二DNS查询报文,第二DNS查询报文的源IP地址为网关设备的地址,第二DNS查询报文所查询的域名为第一域名。除步骤203所描述的情况之外,在另一种情况下,如果保存的域名列表中不包括第一域名,且第一域名与预配置的免认证域名不匹配,则网关设备只需在域名列表中记录第一域名,并转发第一DNS查询报文即可,无需发送上述第二DNS查询报文。
作为一个实施例,网关设备在域名列表中记录第一域名的同时,还可以在域名列表中记录负责解析第一域名的DNS服务器地址,即第一DNS查询报文和第二DNS查询报文的目的IP地址;以及还可以在域名列表中为第一域名配置一个老化时间,该老化时间到期后便从域名列表中删除第一域名所在的这一行。
本公开中无论第一域名是否与配置的免认证域名匹配,均会在域名列表中记录第一域名,这么做的优势在于,可以一定程度上减小针对DNS服务器的DOS(Denial ofService,拒绝服务)攻击对网关设备的影响。比如,当攻击端发送了针对同一域名的多个DNS查询报文时,由于网关设备在收到第一个DNS查询报文时便会在域名列表中记录该域名,所以后续收到针对同一域名的DNS查询报文时执行到上述步骤202后便不会再继续执行步骤203,因此在一定程度上可以节省网关设备的处理资源。
步骤203中发送的第二DNS查询报文与上述第一DNS查询报文的区别,可以仅在于源IP地址不同,第一DNS查询报文的源IP地址为终端地址,第二DNS查询报文的源IP地址为网关设备地址。DNS服务器收到第一DNS查询报文和第二DNS查询报文均会通过DNS应答报文进行响应,响应的DNS应答报文中均携带对应第一域名的IP地址。其中,响应第一DNS查询报文的DNS应答报文的目的地址是终端地址,网关设备的转发面收到此DNS应答报文直接将其转发给终端,以使终端使用此DNS应答报文中的IP地址发送HTTP报文;而响应第二DNS查询报文的DNS应答报文的目的地址是网关设备地址,网关设备的转发面收到此DNS应答报文发现其目的地址是自身,从而会将此DNS应答报文上送控制面,继续执行步骤204。网关设备由于发送了第二DNS查询报文,因此在后续可以根据DNS服务器对第二DNS查询报文的应答报文自然地获取到与第一DNS查询报文相同的域名解析结果,无需再拦截DNS服务器对第一DNS查询报文的应答报文。
步骤204:如果接收到针对上述第二DNS查询报文的用于指示域名解析成功的DNS应答报文,则网关设备对DNS应答报文中与第一域名对应的第一IP地址配置放行规则,以及转发第一DNS查询报文。
网关设备为第一IP地址配置放行规则之后,终端访问第一IP地址的HTTP报文到达网关设备后可以直接放行。
作为一个实施例,步骤204中网关设备可以先针对收到的DNS应答报文中与第一域名对应的第一IP地址配置放行规则,配置完毕后再转发第一DNS查询报文。这么做的优势在于,可以确保终端访问第一IP地址的HTTP报文到达网关设备时针对第一IP地址的放行规则已下发,使得终端第一次就能成功访问第一IP地址定位的网站或者服务器。
除步骤204所描述的情况之外,在另一种情况下,如果网关设备没有接收到针对第二DNS查询报文的DNS应答报文,或者接收到针对第二DNS查询报文的用于指示域名解析失败的DNS应答报文,则只需转发第一DNS查询报文,不用配置IP地址放行规则。
作为一个实施例,网关设备在接收到针对上述第二DNS查询报文的用于指示域名解析成功的DNS应答报文之后,还可以在域名列表中记录第一域名与DNS应答报文中的第一IP地址之间的映射关系;当域名列表中记录的第一域名对应的老化时间到期,或者与第一域名匹配的域名免认证规则删除后,网关设备可以从域名列表中删除第一域名所在的行,并根据删除的这一行中记录的第一域名与第一IP地址之间的映射关系删除第一IP地址的放行规则。
而如果网关设备没有接收到针对第二DNS查询报文的DNS应答报文,或者接收到针对第二DNS查询报文的用于指示域名解析失败的DNS应答报文,则可以将域名列表中与第一域名对应的IP地址字段留空,或者填入一个固定的不对应真实设备的固定IP地址。
至此,完成图2所示的流程。
通过图2所示的流程可以看出,网关设备通过识别终端发送给DNS服务器的DNS查询报文,并检查DNS查询报文所查询的域名与本设备预配置的免认证域名是否匹配,如果匹配则去DNS服务器提前解析该域名对应的IP地址并对解析得到的IP地址配置放行规则,使得终端第一次访问免认证网站或者免认证服务器便能成功。
为了更加清楚,下面以免认证访问www.new.sina.com为例,对图2所示流程进行描述。
网关设备需要进行以下配置:
1)为*.sina.com配置免认证规则;
2)在转发面配置:对源端口为53的UDP报文或TCP报文进行放行;
3)在转发面新增一条报文上送规则:匹配目的地址是10.1.1.1、目的端口是53的UDP报文或TCP报文,将其上送控制面处理;
4)在控制面新增一张域名列表,列表形式可参考上表1。
基于上述配置,网关设备作为终端和DNS服务器之间的中间设备,在收到报文时可以执行如图3所示的处理流程:
步骤a、网关设备的转发面收到报文后,判断该报文是否命中上述3)中配置的报文上送规则,如果命中则将报文上送到控制面,继续执行步骤b;如果不命中则对报文进行查表转发。
当终端发起对www.new.sina.com的访问时,会向DNS服务器发送DNS查询报文,以获取www.new.sina.com对应的IP地址;此DNS查询报文到达网关设备后显然匹配报文上送规则,继而上送到控制面做进一步的分析处理。
步骤b、网关设备的控制面从报文中解析出域名,判断域名是否命中域名列表;如果命中则直接查表转发给DNS服务器;如果不命中则继续执行步骤c。
即,如果域名列表中已经记录了www.new.sina.com,则控制面直接将这个DNS查询报文发送给DNS服务器,否则继续执行步骤c。
步骤c、控制面继续判断域名是否命中免认证域名,如果不命中则直接查表转发给DNS服务器;如果命中则继续执行步骤d。
显然,www.new.sina.com这个域名命中上述1)中配置的免认证域名*.sina.com,因此继续执行步骤d。
步骤d、控制面向DNS服务器发起针对步骤a收到的报文中域名的解析请求,并判断域名解析是否成功。
步骤e、如果域名解析失败,则在域名列表中记录该域名并对步骤a收到的报文进行查表转发;
假设DNS服务器的地址是10.1.1.1,如果www.new.sina.com域名解析失败,则可以在域名列表中增加如表2所示的表项:
表2
域名 | IP地址 | DNS服务器地址 | 老化时间 |
www.new.sina.com | 10.1.1.1 | t |
步骤f、如果域名解析成功,则在域名列表中记录该域名和该域名对应的IP地址,向转发面下发域名对应IP地址的放行规则,然后对步骤a收到的报文进行查表转发。
假设DNS服务器的地址是10.1.1.1,如果www.new.sina.com域名解析成功,DNS服务器上www.new.sina.com对应的地址为20.1.1.1,则可以在域名列表中增加如表3所示的表项,并向转发面下发针对20.1.1.1的放行规则。
表3
域名 | IP地址 | DNS服务器地址 | 老化时间 |
www.new.sina.com | 20.1.1.1 | 10.1.1.1 | t |
以上对本公开提供的方法进行了描述。下面对本公开提供的装置进行描述。
参见图4,为本公开提供的一种网关设备,该网关设备为终端与DNS服务器之间的中间设备。如图4所示,该网关设备可以包括以下单元:
收发单元401,用于接收由终端发送给DNS服务器的第一DNS查询报文,所述第一DNS查询报文包括待查询的第一域名。
处理单元402,用于如果保存的域名列表中包括所述第一域名,则指示所述收发单元401转发所述第一DNS查询报文;所述域名列表用于记录所述网关设备收到过的DNS查询报文中的域名;如果保存的域名列表中不包括所述第一域名,且所述第一域名与预配置的免认证域名匹配,则在所述域名列表中记录所述第一域名,并指示所述收发单元401向所述DNS服务器发送第二DNS查询报文,所述第二DNS查询报文的源IP地址为网关设备的地址,所述第二DNS查询报文所查询的域名为所述第一域名;如果所述收发单元401接收到针对所述第二DNS查询报文的用于指示域名解析成功的DNS应答报文,则对所述DNS应答报文中与所述第一域名对应的第一IP地址配置放行规则,以及指示所述收发单元401转发所述第一DNS查询报文。
在其中一种实施方式中,所述处理单元402,还用于如果所述收发单元401没有接收到针对所述第二DNS查询报文的DNS应答报文,或者所述收发单元401接收到针对所述第二DNS查询报文的用于指示域名解析失败的DNS应答报文,则指示所述收发单元401转发所述第一DNS查询报文。
在其中一种实施方式中,所述处理单元402,用于先针对所述DNS应答报文中与所述第一域名对应的第一IP地址配置放行规则,配置完毕后再指示所述收发单元401转发所述第一DNS查询报文。
在其中一种实施方式中,所述处理单元402,还用于如果保存的域名列表中不包括所述第一域名,且所述第一域名与预配置的免认证域名不匹配,则在所述域名列表中记录所述第一域名,并指示所述收发单元401转发所述第一DNS查询报文。
在其中一种实施方式中,所述处理单元402,还用于在所述收发单元401接收到针对所述第二DNS查询报文的用于指示域名解析成功的DNS应答报文之后,在所述域名列表中记录所述第一域名与所述第一IP地址之间的映射关系;当从所述域名列表中删除所述第一域名与所述第一IP地址之间的映射关系时,根据所述映射关系删除所述第一IP地址的放行规则。
至此,完成图4所示装置的描述。
对应地,本公开还提供了图4所示装置的硬件结构。参见图5,图5为本公开提供的一种网关设备的硬件结构示意图。该接入设备包含:通信接口501、处理器502、存储器503和总线504;其中,通信接口501、处理器502和存储器503通过总线504完成相互间的通信。
其中,通信接口501,用于发送和接收报文。处理器502可以是一个中央处理器(CPU),存储器503可以是非易失性存储器(non-volatile memory),并且存储器503中存储有机器可读指令,处理器502可以执行存储器503中存储的机器可读指令,以实现上述图2所示的方法。
至此,完成图5所示的硬件结构描述。
此外,本申请还提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现图2所示的方法。
以上所述仅为本公开的较佳实施例而已,并不用以限制本公开,凡在本公开的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本公开保护的范围之内。
Claims (12)
1.一种免认证访问方法,其特征在于,所述方法应用于网关设备,所述网关设备为终端与域名系统DNS服务器之间的中间设备,所述方法包括:
接收由终端发送给DNS服务器的第一DNS查询报文,所述第一DNS查询报文包括待查询的第一域名;
如果保存的域名列表中包括所述第一域名,则转发所述第一DNS查询报文;所述域名列表用于记录所述网关设备收到过的DNS查询报文中的域名;
如果保存的域名列表中不包括所述第一域名,且所述第一域名与预配置的免认证域名匹配,则在所述域名列表中记录所述第一域名,并向所述DNS服务器发送第二DNS查询报文,所述第二DNS查询报文的源IP地址为网关设备的地址,所述第二DNS查询报文所查询的域名为所述第一域名;
如果接收到针对所述第二DNS查询报文的用于指示域名解析成功的DNS应答报文,则对所述DNS应答报文中与所述第一域名对应的第一IP地址配置放行规则,以及转发所述第一DNS查询报文。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
如果没有接收到针对所述第二DNS查询报文的DNS应答报文,或者接收到针对所述第二DNS查询报文的用于指示域名解析失败的DNS应答报文,则转发所述第一DNS查询报文。
3.如权利要求1所述的方法,其特征在于,所述对所述DNS应答报文中与所述第一域名对应的第一IP地址配置放行规则,以及转发所述第一DNS查询报文,包括:
先针对所述DNS应答报文中与所述第一域名对应的第一IP地址配置放行规则,配置完毕后再转发所述第一DNS查询报文。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
如果保存的域名列表中不包括所述第一域名,且所述第一域名与预配置的免认证域名不匹配,则在所述域名列表中记录所述第一域名,并转发所述第一DNS查询报文。
5.如权利要求1所述的方法,其特征在于,在接收到针对所述第二DNS查询报文的用于指示域名解析成功的DNS应答报文之后,所述方法还包括:
在所述域名列表中记录所述第一域名与所述第一IP地址之间的映射关系;
当从所述域名列表中删除所述第一域名与所述第一IP地址之间的映射关系时,根据所述映射关系删除所述第一IP地址的放行规则。
6.一种网关设备,其特征在于,所述网关设备为终端与域名系统DNS服务器之间的中间设备,所述网关设备包括:
收发单元,用于接收由终端发送给DNS服务器的第一DNS查询报文,所述第一DNS查询报文包括待查询的第一域名;
处理单元,用于如果保存的域名列表中包括所述第一域名,则指示所述收发单元转发所述第一DNS查询报文;所述域名列表用于记录所述网关设备收到过的DNS查询报文中的域名;如果保存的域名列表中不包括所述第一域名,且所述第一域名与预配置的免认证域名匹配,则在所述域名列表中记录所述第一域名,并指示所述收发单元向所述DNS服务器发送第二DNS查询报文,所述第二DNS查询报文的源IP地址为网关设备的地址,所述第二DNS查询报文所查询的域名为所述第一域名;如果所述收发单元接收到针对所述第二DNS查询报文的用于指示域名解析成功的DNS应答报文,则对所述DNS应答报文中与所述第一域名对应的第一IP地址配置放行规则,以及指示所述收发单元转发所述第一DNS查询报文。
7.如权利要求6所述的网关设备,其特征在于,
所述处理单元,还用于如果所述收发单元没有接收到针对所述第二DNS查询报文的DNS应答报文,或者所述收发单元接收到针对所述第二DNS查询报文的用于指示域名解析失败的DNS应答报文,则指示所述收发单元转发所述第一DNS查询报文。
8.如权利要求6所述的网关设备,其特征在于,
所述处理单元,用于先针对所述DNS应答报文中与所述第一域名对应的第一IP地址配置放行规则,配置完毕后再指示所述收发单元转发所述第一DNS查询报文。
9.如权利要求6所述的网关设备,其特征在于,
所述处理单元,还用于如果保存的域名列表中不包括所述第一域名,且所述第一域名与预配置的免认证域名不匹配,则在所述域名列表中记录所述第一域名,并指示所述收发单元转发所述第一DNS查询报文。
10.如权利要求6所述的网关设备,其特征在于,
所述处理单元,还用于在所述收发单元接收到针对所述第二DNS查询报文的用于指示域名解析成功的DNS应答报文之后,在所述域名列表中记录所述第一域名与所述第一IP地址之间的映射关系;当从所述域名列表中删除所述第一域名与所述第一IP地址之间的映射关系时,根据所述映射关系删除所述第一IP地址的放行规则。
11.一种网关设备,其特征在于,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行如权利要求1至5任一项所述的方法。
12.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,所述机器可读指令促使所述处理器实现权利要求1至5任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810096893.2A CN108337257B (zh) | 2018-01-31 | 2018-01-31 | 一种免认证访问方法和网关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810096893.2A CN108337257B (zh) | 2018-01-31 | 2018-01-31 | 一种免认证访问方法和网关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108337257A true CN108337257A (zh) | 2018-07-27 |
CN108337257B CN108337257B (zh) | 2020-12-04 |
Family
ID=62927610
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810096893.2A Active CN108337257B (zh) | 2018-01-31 | 2018-01-31 | 一种免认证访问方法和网关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108337257B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109150874A (zh) * | 2018-08-16 | 2019-01-04 | 新华三技术有限公司 | 访问认证方法、装置及认证设备 |
CN111865876A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 网络的访问控制方法和设备 |
CN113810510A (zh) * | 2021-07-30 | 2021-12-17 | 绿盟科技集团股份有限公司 | 一种域名访问方法、装置及电子设备 |
CN113973303A (zh) * | 2021-11-02 | 2022-01-25 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
CN114500094A (zh) * | 2022-02-24 | 2022-05-13 | 新华三技术有限公司合肥分公司 | 一种访问方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7320073B2 (en) * | 2003-04-07 | 2008-01-15 | Aol Llc | Secure method for roaming keys and certificates |
CN102111406A (zh) * | 2010-12-20 | 2011-06-29 | 杭州华三通信技术有限公司 | 一种认证方法、系统和dhcp代理服务器 |
CN107295006A (zh) * | 2017-07-28 | 2017-10-24 | 上海斐讯数据通信技术有限公司 | 免认证访问url的方法及系统 |
-
2018
- 2018-01-31 CN CN201810096893.2A patent/CN108337257B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7320073B2 (en) * | 2003-04-07 | 2008-01-15 | Aol Llc | Secure method for roaming keys and certificates |
CN102111406A (zh) * | 2010-12-20 | 2011-06-29 | 杭州华三通信技术有限公司 | 一种认证方法、系统和dhcp代理服务器 |
CN107295006A (zh) * | 2017-07-28 | 2017-10-24 | 上海斐讯数据通信技术有限公司 | 免认证访问url的方法及系统 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109150874A (zh) * | 2018-08-16 | 2019-01-04 | 新华三技术有限公司 | 访问认证方法、装置及认证设备 |
CN109150874B (zh) * | 2018-08-16 | 2020-10-16 | 新华三技术有限公司 | 访问认证方法、装置及认证设备 |
CN111865876A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 网络的访问控制方法和设备 |
CN111865876B (zh) * | 2019-04-29 | 2021-10-15 | 华为技术有限公司 | 网络的访问控制方法和设备 |
US11909738B2 (en) | 2019-04-29 | 2024-02-20 | Huawei Technologies Co., Ltd. | Network access control method and device |
CN113810510A (zh) * | 2021-07-30 | 2021-12-17 | 绿盟科技集团股份有限公司 | 一种域名访问方法、装置及电子设备 |
CN113973303A (zh) * | 2021-11-02 | 2022-01-25 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
CN113973303B (zh) * | 2021-11-02 | 2024-04-02 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
CN114500094A (zh) * | 2022-02-24 | 2022-05-13 | 新华三技术有限公司合肥分公司 | 一种访问方法及装置 |
CN114500094B (zh) * | 2022-02-24 | 2024-03-12 | 新华三技术有限公司合肥分公司 | 一种访问方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN108337257B (zh) | 2020-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108337257A (zh) | 一种免认证访问方法和网关设备 | |
US20210360014A1 (en) | Rule-Based Network-Threat Detection For Encrypted Communications | |
US20170034174A1 (en) | Method for providing access to a web server | |
CN105554179B (zh) | 局域网内dns解析方法、系统 | |
CN106878483A (zh) | 一种ip地址分配方法及装置 | |
US10230691B2 (en) | Systems, devices, and methods for improved domain name system firewall protection | |
EP1903742A1 (en) | A method, system and apparatus for accessing the web server | |
CN105939337A (zh) | Dns缓存投毒的防护方法及装置 | |
CN108055312A (zh) | 路由方法及其装置与计算机装置及其可读存储介质 | |
CN108040134A (zh) | 一种dns透明代理的方法及装置 | |
CN113381906B (zh) | 基于政企系统业务的限制性外网访问测试方法 | |
CN103916492B (zh) | 一种网络设备访问控制方法及装置 | |
EP2388954A1 (en) | DNS based error reporting | |
CN107438068A (zh) | 一种防arp攻击的方法及装置 | |
CN108418806A (zh) | 一种报文的处理方法及装置 | |
CN103634111B (zh) | 单点登录方法和系统及单点登录客户端 | |
CN106411742A (zh) | 一种报文传输的方法和装置 | |
CN108737407A (zh) | 一种劫持网络流量的方法及装置 | |
CN114338597A (zh) | 一种网络访问方法及装置 | |
CN104468619A (zh) | 一种实现双栈web认证的方法和认证网关 | |
CN113507475A (zh) | 跨域访问方法和装置 | |
CN108282537B (zh) | 一种Portal用户下线的方法和接入设备 | |
CN107733926A (zh) | 一种基于NAT的portal认证的方法及装置 | |
CN104756462B (zh) | 用于在限制性防火墙后进行tcp turn操作的方法和系统 | |
CN108270881A (zh) | 一种域名解析的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230626 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |