CN109167758A - 一种报文处理方法及装置 - Google Patents
一种报文处理方法及装置 Download PDFInfo
- Publication number
- CN109167758A CN109167758A CN201810891526.1A CN201810891526A CN109167758A CN 109167758 A CN109167758 A CN 109167758A CN 201810891526 A CN201810891526 A CN 201810891526A CN 109167758 A CN109167758 A CN 109167758A
- Authority
- CN
- China
- Prior art keywords
- message
- domain name
- address
- blacklist
- inquiry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种报文处理方法及装置,所述方法包括:当接收到用户终端侧的报文,且确定所述报文为超文本传输协议HTTP报文时,根据所述报文的目的域名查询域名黑名单;若所述域名黑名单中包括所述目的域名,则丢弃所述报文;若所述域名黑名单中未包括所述目的域名,则允许所述报文通过。应用本发明实施例可以提高域名黑名单生效的概率,进而,提高阻止用户终端访问禁用网站的概率。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种报文处理方法及装置。
背景技术
Portal(门户)认证通过Web页面接收用户输入的用户名和密码,对用户进行身份认证,以达到对用户所使用的终端设备(简称为用户终端)的访问进行控制的目的。
当Portal认证功能开启后,用户终端在认证通过之前和之后均不可访问的规则称为黑名单。该规则由管理员手工配置,针对不同的需求和应用场景,黑名单的配置方式比较丰富,具体的,此类规则的配置包括源和目的两部分。对于源的配置,包括基于源IP(Internet Protocol,互联网协议)及网段、基于源SSID(Service Set Identifier,服务集标识)等方式;对于目的的配置,包括基于目的IP及网段、基于目的域名等多种指定方式。
基于目的域名的黑名单配置时需指定目的域名,认证设备接收到该配置时,查询该域名对应的IP地址,继而生成基于IP地址的阻止规则。之后用户终端发送目的IP地址为该地址(基于IP地址的阻止规则中包括的IP地址)的报文时,就会匹配到该规则,继而丢弃报文。
然而实践发现,由于不同域名服务器解析途径有差异,因此会出现不同的域名服务器对同一个域名解析出不同IP地址的现象。此时,如果用户通过其他方式获知了某域名对应的IP地址,且该IP地址与认证设备上生成的基于IP的阻止规则中包括的IP地址不相同,那么用户终端的网络访问请求就不会被阻止了。
发明内容
本发明提供一种报文处理方法及装置,以解决根据基于IP地址的阻止规则进行报文处理时可能会出现部分访问域名黑名单中的域名的报文被允许通过的问题。
根据本发明的第一方面,提供一种报文处理方法,包括:
当接收到用户终端侧的报文,且确定所述报文为HTTP报文时,根据所述报文的目的域名查询域名黑名单;
若所述域名黑名单中包括所述目的域名,则丢弃所述报文;
若所述域名黑名单中未包括所述目的域名,则允许所述报文通过。
根据本发明的第二方面,提供一种报文处理装置,包括:
接收单元,用于接收报文;
判断单元,用于当所述接收单元接收到用户终端侧的报文时,判断所述报文是否为HTTP报文;
查询单元,用于当所述接收单元接收到的用户终端侧的报文为超文本传输协议HTTP报文时,根据所述报文的目的域名查询域名黑名单;
控制单元,用于若所述域名黑名单中包括目的域名,则丢弃所述报文;若所述域名黑名单中未包括所述目的域名,则允许所述报文通过。
应用本发明公开的技术方案,通过在接收到用户终端侧的报文,且确定该报文为HTTP报文时,根据该报文的目的域名查询域名黑名单;若域名黑名单中包括该目的域名,则丢弃该报文;若域名黑名单中未包括该目的域名,则允许该报文通过,提高了域名黑名单生效的概率,进而,提高了阻止用户终端访问禁用网站的概率。
附图说明
图1是本发明实施例提供的一种报文处理方法的流程示意图;
图2是本发明实施例提供的另一种报文处理方法的流程示意图;
图3是本发明实施例提供的一种报文处理装置的结构示意图;
图4是本发明实施例提供的另一种报文处理装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
请参见图1,为本发明实施例提供的一种报文处理方法的流程示意图,其中,该报文处理方法可以应用于认证设备,如具有认证功能的路由器或交换机等网络设备,如图1所示,该报文处理方法可以包括以下步骤:
步骤101、当接收到用户终端侧的报文,且确定该报文为HTTP报文时,根据该报文的目的域名查询域名黑名单。若域名黑名单中包括该目的域名,则转至步骤102;若域名黑名单中未包括该目的域名,则转至步骤103。
本发明实施例中,考虑到同一域名对应的IP地址可能会不同,当认证设备根据基于IP地址的阻止规则进行报文处理时,可能会对部分访问域名黑名单中的域名的报文放行,导致部分域名黑名单不生效,降低了阻止用户终端访问禁用网站(域名黑名单中的域名对应的网站)的概率。
因此,为了提高阻止用户访问禁用网站的概率,提高域名黑名单生效的概率,对于HTTP(Hypertext Transfer Protocol,超文本传输协议)报文,认证设备可以通过域名匹配域名黑名单的方式进行报文处理。
相应地,在发明实施例中,当认证设备接收到用户终端侧的报文,且确定该报文为HTTP报文时,认证设备可以获取该报文的目的域名。
其中,HTTP报文可以包括但不限于HTTP GET(获取)报文、HTTP POST(传送)报文或HTTP PUT(推送)报文等;HTTP报文的HTTP协议字段中的Host(主机名)字段记录了HTTP报文的目的域名。
本发明实施例中,认证设备获取到该报文的目的域名之后,可以根据该报文的目的域名查询域名黑名单,以确定该域名黑名单中是否包括该目的域名,即确定该报文访问的网站是否为禁用网站。
步骤102、丢弃该报文。
本发明实施例中,当认证设备确定域名黑名单中包括所接收到的用户终端侧的报文的目的域名时,认证设备可以丢弃该报文,以阻止用户终端访问该目的域名对应的禁用网站。
步骤103、允许报文通过。
本发明实施例中,当认证设备确定域名黑名单中未包括所接收到的用户终端侧的报文的目的域名时,认证设备可以确定该报文访问的网站不是禁用网站,允许该报文通过,即允许用户终端访问该目的域名对应的网站。
可见,在图1所示方法流程中,对于HTTP报文,通过根据该HTTP报文的目的域名匹配域名黑名单的方式进行报文处理,避免了在使用基于IP地址的阻止规则的情况下,由于同一域名对应多个不同IP地址,而导致域名黑名单无法生效的情况,提高了域名黑名单生效的概率,进而,提高了阻止用户访问禁用网站的概率。
进一步地,在本发明实施例中,考虑到存在部分类型的报文中并未携带域名信息,无法根据报文的目的域名匹配域名黑名单的方式进行报文处理,为了提高报文处理方案的适用范围,可以结合通过IP地址匹配基于IP地址的阻止规则的方式和通过域名匹配域名黑名单的方式,来实现报文处理,在提高阻止用户终端访问禁用网站的概率的情况下,提高报文处理方案的适用范围。
相应地,在本发明其中一个实施例中,当接收到用户终端侧的报文时,上述根据报文的目的域名查询域名黑名单之前,还可以包括:
根据报文的目的IP地址查询基于IP地址的阻止规则;
若基于IP地址的阻止规则中未包括目的IP地址,则判断报文是否为HTTP报文;
若报文是HTTP报文,则执行上述根据报文的目的域名查询域名黑名单的步骤;
若报文不是HTTP报文,则允许报文通过。
在该实施例中,认证设备中除了保存有域名黑名单之外,还保存有基于IP地址的阻止规则。
当认证设备接收到用户终端侧的报文时,可以先根据报文的目的IP地址查询基于IP地址的阻止规则,以确定基于IP地址的阻止规则中是否包括该目的IP地址,即确定是否存在与该目的IP地址匹配的基于IP地址的阻止规则。
当认证设备确定基于IP地址的阻止规则中未包括所接收到的报文的目的IP地址时,认证设备可以进一步判断所接收到的报文是否为HTTP报文。
若是HTTP报文,则按照图1所示方法流程进行报文处理;否则,允许所接收到的用户终端侧的报文通过。
可见,在该实施例中,优先通过IP地址匹配基于IP地址的阻止规则的方式进行报文处理,对于目的IP地址未包括在基于IP地址的阻止规则中的HTTP报文,进一步使用通过域名匹配域名黑名单的方式进行报文处理,在提高阻止用户终端访问禁用网站的概率的情况下,扩展了报文处理方案的适用范围。
由于大部分情况下域名黑名单中的域名对应的IP地址均会包括在基于IP地址的阻止规则中,对于访问的禁用网站的报文大部分均可以通过IP地址匹配基于IP地址的阻止规则的方式进行阻止,即对于大部分访问禁用网站的报文,仅只需要获取报文的目的IP地址即可阻止,而不需要去解析报文以获取目的域名信息,因此,上述结合通过IP地址匹配基于IP地址的阻止规则的方式和通过域名匹配域名黑名单的方式进行报文处理的实现方案还可以在提高阻止用户终端访问禁用网站的概率的情况下,提高报文处理的效率。
需要说明的是,在该实施例中,当认证设备确定基于IP地址的阻止规则中包括所接收到的用户终端侧的报文的目的IP地址,即根据所接收到的用户终端侧的报文的目的IP地址查询到匹配的基于IP地址的阻止规则时,认证设备可以丢弃所接收到的用户终端侧的报文。
进一步地,考虑到对于结合通过IP地址匹配基于IP地址的阻止规则的方式和通过域名匹配域名黑名单的方式进行报文处理的实现方案,当任一域名被添加至域名黑名单时,会触发生成记录该域名及其对应的IP地址的DNS(Domain Name System)Host(主机名)表项,继而会生成该DNS Host表项中的IP地址(即该域名对应的IP地址)对应的基于IP地址的阻止规则,因此,对于任一报文,若该报文的目的IP地址未包括在基于IP地址的阻止规则中,且该报文的目的IP地址存在于DNS Host列表中,则该目的IP地址对应的域名不会在域名黑名单中。
相应地,在该实施例的一种实施方式中,若确定所接收到的用户终端侧的报文是HTTP报文,上述根据该报文的目的域名查询域名黑名单之前,还可以包括:
根据该报文的目的IP地址查询DNS Host列表;
若DNS Host列表中包括该目的IP地址,则允许该报文通过;
否则,执行根据该报文的目的域名查询域名黑名单的步骤。
在该实施方式中,当认证设备确定所接收到的用户终端侧的报文的目的IP地址未包括在基于IP地址的阻止规则中,且该报文为HTTP报文时,认证设备在获取该报文的目的域名之前,可以先根据该报文的目的IP地址查询DNS Host列表,以确定DNS列表中是否包括该目的IP地址。
若认证设备查询到该DNS列表中包括该目的IP地址,则认证设备可以允许该报文通过。
若认证设备查询到该DNS列表中未包括该目的IP地址,则认证设备可以进一步根据该报文的目的域名查询域名黑名单,并按照上述实施例中描述的方式进行报文处理。
可见,在该实施方式中,不需要对所有的HTTP报文均深度解析以获取目的域名信息,可以进一步提高报文处理的效率。
进一步地,在该实施例中,对于目的IP地址未包括在基于IP地址的阻止规则,但是目的域名包括在域名黑名单中的HTTP报文,认证设备可以生成基于该报文的目的IP地址的阻止规则,后续流程中,当再次接收到目的IP地址与该报文的目的IP地址相同的用户终端侧的报文时,认证设备可以直接根据基于IP地址的阻止规则进行阻止,以提高报文处理的效率。
进一步地,在该实施例中,考虑到DNS报文中也会携带域名,且认证设备从DNS报文中获取域名时不需要对报文进行深度解析,因此,对于DNS报文,可以直接通过域名匹配域名黑名单的方式进行报文处理,在保证报文处理的效率的情况下,提高阻止用户终端访问禁用网站的概率。
相应地,在该实施例的一种实施方式中,当接收到用户终端侧的报文时,上述根据该报文的目的IP地址查询IP地址的阻止规则之前,还可以包括:
判断该报文是否为DNS报文;
若该报文是DNS报文,则根据报文中携带的域名查询域名黑名单;
若域名黑名单中包括该域名,则丢弃该报文;
若域名黑名单中未包括该域名,则允许该报文通过;
若该报文不是DNS报文,则执行上述根据该报文的目的IP地址查询基于IP地址的阻止规则的步骤。
在该实施方式中,当认证设备接收到用户终端侧的报文时,在根据基于IP地址的阻止规则进行报文处理之前,可以先判断该报文是否为DNS报文,若是,则认证设备可以根据该报文中携带的域名查询域名黑名单,根据查询结果进行报文处理;若该报文不是DNS报文,则按照上述实施例中描述的方式根据基于IP地址的阻止规则进行报文处理,其具体实现在此不再赘述。
请参见图2,为本发明实施例提供的另一种报文处理方法的流程示意图,其中,该报文处理方法可以应用于认证设备,如图2所示,该报文处理方法可以包括以下步骤:
步骤201、当接收到用户终端侧的报文时,判断该报文是否为DNS报文。若是,则转至步骤202;否则,转至步骤203。
本发明实施例中,当认证设备接收到用户终端侧的报文时,可以先判断该报文是否为DNS报文,若是,则认证设备可以根据该报文中携带的域名查询域名黑名单,根据查询结果进行报文处理;若该报文不是DNS报文,则根据基于IP地址的阻止规则进行报文处理。
步骤202、根据该报文中携带的域名查询域名黑名单。若域名黑名单中包括该域名,则丢弃该报文;否则,允许该报文通过。
本发明实施例中,当认证设备确定接收到的用户终端侧的报文为DNS报文时,认证设备可以获取该DNS报文中携带的域名,并根据该域名查询域名黑名单,以确定该域名是否与域名黑名单匹配,即域名黑名单中是否包括该域名。
若认证设备查询到域名黑名单中存在该域名,则认证设备可以丢弃该报文;否则,认证设备可以允许该报文通过。
步骤203、根据该报文的目的IP地址查询基于IP地址的阻止规则。若基于IP地址的阻止规则中包括该目的IP地址,则丢弃该报文;否则,转至步骤204。
本发明实施例中,当认证设备确定接收到的用户终端侧的报文不是DNS报文时,认证设备可以获取该报文的目的IP地址,并根据该报文的目的IP地址查询基于IP地址的阻止规则,以确定是否存在与该目的IP地址匹配的基于IP地址的阻止规则,即确定基于IP地址的阻止规则中是否包括该目的IP地址。
若基于IP地址的阻止规则中包括该目的IP地址,则认证设备可以丢弃该报文。
步骤204、判断该报文是否为HTTP报文。若是,转至步骤205;否则,允许该报文通过。
本发明实施例中,当认证设备确定所接收到的用户终端侧的报文的目的IP地址未包括在基于IP地址的阻止规则中时,认证设备可以判断该报文是否为HTTP报文。
若该报文不是HTTP报文,则认证设备可以直接允许该报文通过。
步骤205、根据该报文的目的IP地址查询DNS Host列表。若DNS Host列表中包括该目的IP地址,则允许该报文通过;否则,转至步骤206。
本发明实施例中,当认证设备确定所接收到的用户终端侧的报文为HTTP报文时,认证设备可以根据该报文的目的IP地址查询DNS Host列表,以确定DNS Host列表中是否包括该目的IP地址。
若DNS Host列表中包括该目的IP地址,则认证设备可以允许该报文通过。
步骤206、根据该报文的目的域名查询域名黑名单。若域名黑名单中包括该目的域名,则生成基于该IP地址的阻止规则,并丢弃该报文;否则,允许该报文通过。
本发明实施例中,若认证设备确定DNS Host列表中未包括所接收到的用户终端侧的报文的目的IP地址,则认证设备可以对该报文进行深度解析,以获取该报文的目的域名,并根据该报文的目的域名查询域名黑名单,以确定域名黑名单中是否包括该目的域名。
若域名黑名单中包括该目的域名,则认证设备可以生成基于该报文的目的IP地址的阻止规则,并丢弃该报文;否则,认证设备允许该报文通过。
通过以上描述可以看出,在本发明实施例提供的技术方案中,通过在接收到用户终端侧的报文,且确定该报文为HTTP报文时,根据该报文的目的域名查询域名黑名单;若域名黑名单中包括该目的域名,则丢弃该报文;若域名黑名单中未包括该目的域名,则允许该报文通过,提高了域名黑名单生效的概率,进而,提高了阻止用户终端访问禁用网站的概率。
请参见图3,为本发明实施例提供一种报文处理装置的结构示意图,其中,该报文处理装置可以应用于上述方法实施例中的认证设备,如图3所示,该报文处理装置可以包括:
接收单元310,用于接收报文;
判断单元320,用于当所述接收单元310接收到用户终端侧的报文时,判断所述报文是否为HTTP报文;
查询单元330,用于当所述接收单元310接收到的用户终端侧的报文为超文本传输协议HTTP报文时,根据所述报文的目的域名查询域名黑名单;
处理单元340,用于若所述域名黑名单中包括目的域名,则丢弃所述报文;若所述域名黑名单中未包括所述目的域名,则允许所述报文通过。
在可选实施例中,所述查询单元330,还用于当所述接收单元310接收到用户终端侧的报文时,根据所述报文的目的IP地址查询基于IP地址的阻止规则;
所述判断单元320,具体用于若所述基于IP地址的阻止规则中未包括所述目的IP地址,则判断所述报文是否为HTTP报文;
所述查询单元330,还具体用于若所述报文是HTTP报文,则根据所述报文的目的域名查询域名黑名单;
所述处理单元340,还用于若所述报文不是HTTP报文,则允许所述报文通过。
在可选实施例中,所述查询单元330,还用于若所述报文是HTTP报文,则根据所述报文的目的IP地址查询域名系统DNS主机名Host列表;
所述处理单元340,还用于若所述DNS Host列表中包括所述目的IP地址,则允许所述报文通过;
所述查询单元330,具体用于若所述DNS Host列表中未包括所述目的IP地址,则根据所述报文的目的域名查询域名黑名单。
请一并参见图4,为本发明实施例提供的另一种报文处理装置的结构示意图,如图4所示,在图3所示报文处理装置的基础上,图4所示报文处理装置还包括:
生成单元350,用于若所述域名黑名单中包括所述目的域名,则生成基于所述报文的目的IP地址的阻止规则。
在可选实施例中,所述判断单元320,还用于当所述接收单元310接收到用户终端侧的报文时,判断所述报文是否为DNS报文;
所述查询单元330,还用于若所述报文是DNS报文,则根据所述报文中携带的域名查询所述域名黑名单;
所述处理单元340,还用于若所述域名黑名单中包括所述域名,则丢弃所述报文;若所述域名黑名单中未包括所述域名,则允许所述报文通过;
所述查询单元330,具体用于若所述报文不是DNS报文,则根据所述报文的目的IP地址查询基于IP地址的阻止规则。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,通过在接收到用户终端侧的报文,且确定该报文为HTTP报文时,根据该报文的目的域名查询域名黑名单;若域名黑名单中包括该目的域名,则丢弃该报文;若域名黑名单中未包括该目的域名,则允许该报文通过,提高了域名黑名单生效的概率,进而,提高了阻止用户终端访问禁用网站的概率。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种报文处理方法,其特征在于,包括:
当接收到用户终端侧的报文,且确定所述报文为超文本传输协议HTTP报文时,根据所述报文的目的域名查询域名黑名单;
若所述域名黑名单中包括所述目的域名,则丢弃所述报文;
若所述域名黑名单中未包括所述目的域名,则允许所述报文通过。
2.根据权利要求1所述的方法,其特征在于,当接收到用户终端侧的报文时,根据所述报文的目的域名查询域名黑名单之前,还包括:
根据所述报文的目的IP地址查询基于IP地址的阻止规则;
若所述基于IP地址的阻止规则中未包括所述目的IP地址,则判断所述报文是否为HTTP报文;
若所述报文是HTTP报文,则执行所述根据所述报文的目的域名查询域名黑名单的步骤;
若所述报文不是HTTP报文,则允许所述报文通过。
3.根据权利要求2所述的方法,其特征在于,若所述报文是HTTP报文,所述根据所述报文的目的域名查询域名黑名单之前,还包括:
根据所述报文的目的IP地址查询域名系统DNS主机名Host列表;
若所述DNS Host列表中包括所述目的IP地址,则允许所述报文通过;
否则,执行所述根据所述报文的目的域名查询域名黑名单的步骤。
4.根据权利要求2或3所述的方法,其特征在于,若所述域名黑名单中包括所述目的域名,则所述方法还包括:
生成基于所述报文的目的IP地址的阻止规则。
5.根据权利要求2或3所述的方法,其特征在于,当接收到用户终端侧的报文时,所述根据所述报文的目的IP地址查询基于IP地址的阻止规则之前,还包括:
判断所述报文是否为DNS报文;
若所述报文是DNS报文,则根据所述报文中携带的域名查询所述域名黑名单;
若所述域名黑名单中包括所述域名,则丢弃所述报文;
若所述域名黑名单中未包括所述域名,则允许所述报文通过;
若所述报文不是DNS报文,则执行所述根据所述报文的目的IP地址查询基于IP地址的阻止规则的步骤。
6.一种报文处理装置,其特征在于,包括:
接收单元,用于接收报文;
判断单元,用于当所述接收单元接收到用户终端侧的报文时,判断所述报文是否为HTTP报文;
查询单元,用于当所述接收单元接收到的用户终端侧的报文为超文本传输协议HTTP报文时,根据所述报文的目的域名查询域名黑名单;
处理单元,用于若所述域名黑名单中包括目的域名,则丢弃所述报文;若所述域名黑名单中未包括所述目的域名,则允许所述报文通过。
7.根据权利要求6所述的装置,其特征在于,
所述查询单元,还用于当所述接收单元接收到用户终端侧的报文时,根据所述报文的目的IP地址查询基于IP地址的阻止规则;
所述判断单元,具体用于若所述基于IP地址的阻止规则中未包括所述目的IP地址,则判断所述报文是否为HTTP报文;
所述查询单元,还具体用于若所述报文是HTTP报文,则根据所述报文的目的域名查询域名黑名单;
所述处理单元,还用于若所述报文不是HTTP报文,则允许所述报文通过。
8.根据权利要求7所述的装置,其特征在于,
所述查询单元,还用于若所述报文是HTTP报文,则根据所述报文的目的IP地址查询域名系统DNS主机名Host列表;
所述处理单元,还用于若所述DNS Host列表中包括所述目的IP地址,则允许所述报文通过;
所述查询单元,具体用于若所述DNS Host列表中未包括所述目的IP地址,则根据所述报文的目的域名查询域名黑名单。
9.根据权利要求7或8所述的装置,其特征在于,所述装置还包括:
生成单元,用于若所述域名黑名单中包括所述目的域名,则生成基于所述报文的目的IP地址的阻止规则。
10.根据权利要求7或8所述的装置,其特征在于,
所述判断单元,还用于当所述接收单元接收到用户终端侧的报文时,判断所述报文是否为DNS报文;
所述查询单元,还用于若所述报文是DNS报文,则根据所述报文中携带的域名查询所述域名黑名单;
所述处理单元,还用于若所述域名黑名单中包括所述域名,则丢弃所述报文;若所述域名黑名单中未包括所述域名,则允许所述报文通过;
所述查询单元,具体用于若所述报文不是DNS报文,则根据所述报文的目的IP地址查询基于IP地址的阻止规则。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810891526.1A CN109167758B (zh) | 2018-08-07 | 2018-08-07 | 一种报文处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810891526.1A CN109167758B (zh) | 2018-08-07 | 2018-08-07 | 一种报文处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109167758A true CN109167758A (zh) | 2019-01-08 |
CN109167758B CN109167758B (zh) | 2021-07-23 |
Family
ID=64895276
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810891526.1A Active CN109167758B (zh) | 2018-08-07 | 2018-08-07 | 一种报文处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109167758B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110266736A (zh) * | 2019-07-30 | 2019-09-20 | 杭州迪普科技股份有限公司 | 一种针对基于https协议的portal认证的优化方法及装置 |
CN112242981A (zh) * | 2019-07-19 | 2021-01-19 | 西安中兴新软件有限责任公司 | 一种网站过滤的方法和装置 |
CN114401129A (zh) * | 2022-01-04 | 2022-04-26 | 烽火通信科技股份有限公司 | 上网行为控制方法、dns服务器、家庭网关及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101917443A (zh) * | 2010-08-26 | 2010-12-15 | 北京天融信科技有限公司 | 一种安全网关及其控制敏感链接的方法 |
CN102118398A (zh) * | 2011-03-31 | 2011-07-06 | 北京星网锐捷网络技术有限公司 | 访问控制方法、装置及系统 |
JP2013171371A (ja) * | 2012-02-20 | 2013-09-02 | Nippon Telegr & Teleph Corp <Ntt> | パケットフィルタリング方法及び装置 |
CN104202444A (zh) * | 2014-09-26 | 2014-12-10 | 上海斐讯数据通信技术有限公司 | 一种外部访问控制方法、网关及dns服务器 |
CN104754066A (zh) * | 2013-12-26 | 2015-07-01 | 华为技术有限公司 | 一种报文处理方法和报文处理设备 |
CN105959284A (zh) * | 2016-04-29 | 2016-09-21 | 上海斐讯数据通信技术有限公司 | 一种报文过滤系统及方法 |
CN106559420A (zh) * | 2016-11-07 | 2017-04-05 | 杭州迪普科技股份有限公司 | 一种报文的过滤方法及装置 |
-
2018
- 2018-08-07 CN CN201810891526.1A patent/CN109167758B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101917443A (zh) * | 2010-08-26 | 2010-12-15 | 北京天融信科技有限公司 | 一种安全网关及其控制敏感链接的方法 |
CN102118398A (zh) * | 2011-03-31 | 2011-07-06 | 北京星网锐捷网络技术有限公司 | 访问控制方法、装置及系统 |
JP2013171371A (ja) * | 2012-02-20 | 2013-09-02 | Nippon Telegr & Teleph Corp <Ntt> | パケットフィルタリング方法及び装置 |
CN104754066A (zh) * | 2013-12-26 | 2015-07-01 | 华为技术有限公司 | 一种报文处理方法和报文处理设备 |
CN104202444A (zh) * | 2014-09-26 | 2014-12-10 | 上海斐讯数据通信技术有限公司 | 一种外部访问控制方法、网关及dns服务器 |
CN105959284A (zh) * | 2016-04-29 | 2016-09-21 | 上海斐讯数据通信技术有限公司 | 一种报文过滤系统及方法 |
CN106559420A (zh) * | 2016-11-07 | 2017-04-05 | 杭州迪普科技股份有限公司 | 一种报文的过滤方法及装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112242981A (zh) * | 2019-07-19 | 2021-01-19 | 西安中兴新软件有限责任公司 | 一种网站过滤的方法和装置 |
CN110266736A (zh) * | 2019-07-30 | 2019-09-20 | 杭州迪普科技股份有限公司 | 一种针对基于https协议的portal认证的优化方法及装置 |
CN114401129A (zh) * | 2022-01-04 | 2022-04-26 | 烽火通信科技股份有限公司 | 上网行为控制方法、dns服务器、家庭网关及存储介质 |
CN114401129B (zh) * | 2022-01-04 | 2024-02-13 | 烽火通信科技股份有限公司 | 上网行为控制方法、dns服务器、家庭网关及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109167758B (zh) | 2021-07-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10958624B2 (en) | Proxy auto-configuration for directing client traffic to a cloud proxy with cloud-based unique identifier assignment | |
CN108616490B (zh) | 一种网络访问控制方法、装置及系统 | |
US20080184357A1 (en) | Firewall based on domain names | |
US8555365B2 (en) | Directory authentication method for policy driven web filtering | |
WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
US20070180090A1 (en) | Dns traffic switch | |
MX2011003223A (es) | Acceso al proveedor de servicio. | |
EP3105902A1 (en) | Methods, apparatus and systems for processing service requests | |
US20190020623A1 (en) | Methods and systems for identification of a domain of a command and control server of a botnet | |
CN109167758A (zh) | 一种报文处理方法及装置 | |
CN103997479B (zh) | 一种非对称服务ip代理方法和设备 | |
CN108200039B (zh) | 基于动态创建临时账号密码的无感知认证授权系统和方法 | |
CN103327008A (zh) | 一种http重定向方法及装置 | |
TW201733314A (zh) | 執行請求指令的方法及相關的伺服器 | |
US8291479B2 (en) | Method, hardware product, and computer program product for optimizing security in the context of credential transformation services | |
KR102359070B1 (ko) | 접속 및 인증 요청들이 재방향설정되는 포털 주소들로 서브캐리어 디바이스 식별자들을 매핑하고 대량 가입자 장치 설정을 용이하게 하는 포털 집성 서비스 | |
CN101945053B (zh) | 一种报文的发送方法和装置 | |
US11405412B2 (en) | Inline anomaly detection for multi-request operations | |
LaCroix et al. | Cookies and sessions: a study of what they are, how they work and how they can be stolen | |
US9590990B2 (en) | Assigning user requests of different types or protocols to a user by trust association interceptors | |
CN111245791A (zh) | 一种通过反向代理实现管理和it服务的单点登录方法 | |
WO2013150543A2 (en) | Precomputed high-performance rule engine for very fast processing from complex access rules | |
Cisco | Controlling Network Access and Use | |
Cisco | Controlling Network Access and Use | |
GB2498566A (en) | Authenticating a user at a proxy using cookies |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |