CN109600385A - 一种访问控制方法及装置 - Google Patents
一种访问控制方法及装置 Download PDFInfo
- Publication number
- CN109600385A CN109600385A CN201811628446.3A CN201811628446A CN109600385A CN 109600385 A CN109600385 A CN 109600385A CN 201811628446 A CN201811628446 A CN 201811628446A CN 109600385 A CN109600385 A CN 109600385A
- Authority
- CN
- China
- Prior art keywords
- clearance
- domain name
- name
- address
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种访问控制方法及装置,所述方法包括:通过放行域名的网页的加载,获取所述放行域名的网页的各链接对应的放行子域名;通过域名解析服务器,确定所述放行域名的IP地址及所述放行子域名的IP地址;根据所述放行域名的IP地址及所述放行子域名的IP地址,生成所述放行域名的安全访问策略。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种访问控制方法及装置。
背景技术
在一些访问控制比较严格的科研机构、实验室、医院和卫生局等,对内网用户的上网行为进行了严格的管控,在工作时间,禁止访问与工作无关的互联网,但是,又难免会有技术上的查询需求或者是支付需求,需要访问一些技术型网站或者是支付API,这些互联网资源的网站,往往对应着数个IP地址,并且IP地址还会存在动态变化的可能,通过配置目的IP地址控制访问,会导致网络管理员的手工配置的策略工作量大。另外,网站的网页页面资源大量引用了其他网站的资源,例如图片、脚本语言(JavaScript,JS)库和层叠样式表(Cascading Style Sheets,CSS)样式等。例如pay.weixin.qq.com,就引用了如mp.weixin.qq.com、www.tenpay.com、wx.gtimg.com和shp.qpic.cn等资源,而这些资源的访问无法事先通过“*.weixin.qq.com”和“*.qq.com”通配符匹配来访问。若单独放行pay.weixin.qq.com会导致网页内容缺失,若手工配置所有的引用资源,会导致工作量大。
发明内容
本发明提供一种访问控制方法及装置,用以解决现有技术中存在的访问控制手工配置的安全策略工作量大,效率很低的问题。
本发明实施例提供一种访问控制方法,包括:
通过放行域名的网页的加载,获取所述放行域名的网页的各链接对应的放行子域名;
通过域名解析服务器,确定所述放行域名的IP地址及所述放行子域名的IP地址;
根据所述放行域名的IP地址及所述放行子域名的IP地址,生成所述放行域名的安全访问策略。
一种可能的实现方式,所述通过放行域名的网页的加载,获取所述放行域名的网页的各链接对应的放行子域名,包括:
执行网络爬虫脚本,获取所述放行域名的网页中的各网页资源的统一资源定位符URL;
针对每个URL,确定所述URL对应的放行子域名。
一种可能的实现方式,所述获取所述放行域名的网页的各链接对应的放行子域名之前,还包括:
确定所述域名解析服务器的网络连接是否建立;
若确定所述网络连接未建立,则进入休眠状态,并在下一个第一周期启动与所述域名解析服务器的重连。
一种可能的实现方式,所述生成所述放行域名的安全访问策略后,还包括:
在第二周期到达时,重新加载所述放行域名的网页,以更新所述放行域名的安全访问策略。
一种可能的实现方式,所述生成所述放行域名的安全访问策略包括:
建立所述放行域名的IP地址及所述放行子域名的IP地址与所述放行域名对应的安全策略的映射关系以使设置有安全访问策略的设备在解析出目的IP时确认是否符合安全访问策略。
本发明实施例提供一种访问控制装置,包括:
处理单元,用于通过放行域名的网页的加载,获取所述放行域名的网页的各链接对应的放行子域名;根据所述放行域名的IP地址及所述放行子域名的IP地址,生成所述放行域名的安全访问策略;
获取单元,用于通过域名解析服务器,确定所述放行域名的IP地址及所述放行子域名的IP地址。
一种可能的实现方式,所述处理单元,具体用于:
执行网络爬虫脚本,获取所述放行域名的网页中的各网页资源的统一资源定位符URL;针对每个URL,确定所述URL对应的放行子域名。
一种可能的实现方式,所述处理单元还用于:
确定所述域名解析服务器的网络连接是否建立;若确定所述网络连接未建立,则进入休眠状态,并在下一个第一周期启动与所述域名解析服务器的重连。
一种可能的实现方式,所述处理单元,还用于:
在第二周期到达时,重新加载所述放行域名的网页,以更新所述放行域名的安全访问策略。
一种可能的实现方式,所述处理单元,具体用于:
建立所述放行域名的IP地址及所述放行子域名的IP地址与所述放行域名对应的安全策略的映射关系以使设置有安全访问策略的设备在解析出目的IP时确认是否符合安全访问策略。
本发明实施例提供一种访问控制设备,包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行本发明实施例提供任一所述方法的步骤。
本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行本发明实施例提供的任意可能的实现方式中的方法。
本发明实施例提供一种计算机程序产品,所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行本发明实施例提供的任意可能的实现方式中的方法。
综上所述,本发明实施例提供了一种访问控制方法及装置,包括:通过放行域名的网页的加载,获取所述放行域名的网页的各链接对应的放行子域名;通过域名解析服务器,确定所述放行域名的IP地址及所述放行子域名的IP地址;根据所述放行域名的IP地址及所述放行子域名的IP地址,生成所述放行域名的安全访问策略。因此,可以快速准确的获取域名对应的子域名,保证放行域名的完整性,并实现https的域名的放行,提高访问控制的效率和访问控制的效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种访问控制方法流程示意图;
图2为本发明实施例提供的一种访问控制方法流程示意图;
图3为本发明实施例提供的一种访问控制方法流程示意图;
图4为本发明实施例提供的一种访问控制方法流程示意图;
图5为本发明实施例提供的一种访问控制方法流程示意图;
图6本发明实施例提供的一种访问控制装置的结构示意图;
图7本发明实施例提供的一种访问控制设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
本发明实施例提供一种访问控制的系统架构,如图1所示,包括内网的终端设备101,外网,防火墙设备102等。
终端设备可以为内网或外网中的终端设备,可以为用户设备(user equipment,UE)、移动台(mobile station,MS)、移动终端(mobile terminal,MT)等,是一种与网络设备用于语音和/或数据连通的设备。例如,具有有线或无线连接功能的手持式设备、车载设备等。具体的,可以为:手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device,MID)、可穿戴设备,虚拟现实(virtual reality,VR)设备、增强现实(augmented reality,AR)设备、工业控制(industrial control)中的终端、无人驾驶(self driving)中的终端、远程手术(remote medical surgery)中的终端、智能电网(smart grid)中的终端、运输安全(transportation safety)中的终端、智慧城市(smartcity)中的终端、智慧家庭(smart home)中的终端等。
终端上可以安装有访问网络的客户端系统,比如超文本传输协议(HyperTextTransfer Protocol,HTTP)或网络协议(Hyper Text Transfer Protocol over SecureSocket Layer,HTTPS)的浏览器、应用(application,APP)等,用以发起访问网络请求。
现有技术,主要是在转发设备上,提取、匹配内网用户访问HTTP类型网站的统一资源定位(Uniform/Universal Resource Locator,URL)(或者网站指纹),然而,随着网站安全性要求越来越高,很多应用开始采用HTTPS进行数据加密传输,从而导致无法在转发设备上捕获到内网用户访问的URL,从而导致访问控制策略失效;此外,网站指纹的维护工作量很大,对于一般的网络管理员的技术性要求也非常高,不利于方案的推广和维护。
综上,现有技术,没有解决网站资源嵌套的问题,对于URL白名单,仅仅放行指定域名,页面内容会有缺失,甚至浏览器由于没有成功加载关键CSS样式或者JS脚本,从而根本无法展示任何内容;无法有效解决HTTPS类型域名的访问控制;并且对网络管理员来说,通过配置目的IP地址来达到访问控制的效果,手工配置的安全策略工作量大,效率很低。
为访问控制比较严格的科研机构、实验室、医院和卫生局等,提供基于域名的访问控制功能,允许内网用户访问管理员指定的域名,提高内网用户的网络体验。如图2所示,本发明实施例提供一种访问控制方法,该方法可以运行与本发明实施例提供的一种访问控制装置,例如,如图1所示的防火墙设备103,具体包括:
步骤201:防火墙设备通过放行域名的网页的加载,获取所述放行域名的网页的各链接对应的放行子域名;
步骤202:防火墙设备通过域名解析服务器,确定所述放行域名的IP地址及所述放行子域名的IP地址;
步骤203:防火墙设备根据所述放行域名的IP地址及所述放行子域名的IP地址,生成所述放行域名的安全访问策略。
综上所述,本发明实施例通过放行域名的网页的加载,获取所述放行域名的网页的各链接对应的放行子域名;可以快速准确的获取域名对应的子域名,保证放行域名的完整性,并实现https的域名的放行,通过域名解析服务器,确定所述放行域名的IP地址及所述放行子域名的IP地址;根据所述放行域名的IP地址及所述放行子域名的IP地址,生成所述放行域名的安全访问策略。通过上述方法,可以使得网络管理员仅需配置放行域名,即可完成对放行域名的安全访问策略,因此,提高访问控制的效率和访问控制的效果。
在步骤201之前,可以通过配置域名解析服务器地址,用于防火墙设备与域名解析服务器建立通信连接。
一种可能的实现方式,所述获取所述放行域名的网页的各链接对应的放行子域名之前,还包括:
确定所述域名解析服务器的网络连接是否建立;
若确定所述网络连接未建立,则进入休眠状态,并在下一个第一周期启动与所述域名解析服务器的重连。
具体的,若确定网络连接未建立,为加快建立网络连接,第一周期可以设置为一个较短的周期,例如,1分钟。当然,若确定重连次数超过一定阈值,可以生成报警信息,以提示用户检查网络连接问题。
在网络连接建立后,为节约网络资源,可以周期性开启和/或关闭与域名解析服务器的网络连接,即第一周期可以设置为一个较长的周期,例如,30分钟。
具体的,可以在用户交互界面,提供web的配置界面,用户可以通过web配置或查看域名,以及可以配置或查看基于域名的策略配置;此处的策略配置指的是为对应的域名配置放行或阻止等策略;以及配置域名解析服务器的地址。
在步骤201中,一种可能的实现方式,可以包括:
步骤一、执行网络爬虫脚本,获取所述放行域名的网页中的各网页资源的统一资源定位符URL;
步骤二、针对每个URL,确定所述URL对应的放行子域名。
具体的,可以包括网络爬虫脚本解析用户配置的安全策略,获取安全策略对应的域名;
在一种场景下,对于阻断的安全策略,可以只配置针对域名的阻断策略,即可完成对域名及域名对应的各子域名的阻断。例如,阻断域名domain_name_obj的域名集合domain_name_sets,可以为配置的域名本身,即:domain_name_sets={domain_name_obj}。
对于放行的安全策略,域名对象的子域名可能存在多个,因此,本发明实施例中,执行网络爬虫脚本,获取该域名的网页资源,分析页面中的URL。得到嵌套引用的子域名(host_nested),domain_name_sets={domain_name_obj,host_nested}。
网络爬虫(Web crawler或Web spider)技术,也可以称为网络机器人(Webrobots)技术,是一种系统地按照一定规则自动抓取Web网页信息的计算机应用程序。目前,被搜索引擎等类型站点用来抓取最新的信息。网络爬虫通常以包含一定数目URL地址的列表作为原始输入,也叫做“种子”,在访问这些URL时发现其中包含的超链接并加入子域名集合中。
获取到按照上述方式设置的域名后,便可以将该域名作为“种子”,采用网络爬虫技术进行不断抓取,以获得域名对应的子域名,具体为:
A、根据域名,以文本形式(如,txt格式、word格式)输入域名对应的网站地址;其中,较佳的,需要去除抓取后的子域名中重复出现的URL地址。
B、确定预设的抓取配置参数。
可以通过命令行或者配置文件的方式设置抓取配置参数。抓取配置参数的设置对象可以有多种,包含但不限于:每次最多抓取的URL地址数量、每个URL地址的抓取超时时间、最大重复抓取次数、重试TTL(Time To Live,生存时间)、域名的最大抓取级数,例如,设定最多抓取2级域名,那么根域abc.com的可抓取域名包括:abc.com、www.abc.com、live.abc.com等等,而tv.live.abc.com就不在可抓范围内、最大URL地址并发数等等。
C、根据上述抓取配置参数,依次在获得的抓取的域名对应的子域名集合中记录的每一个域名对应的网页页面中进行域名抓取。
例如,针对任意一网页页面,可以依次分析该任意一网页页面内包含的每一个URL地址(包括mms://、rtsp://等各种类型的URL),并将每一个URL地址包含的域名记录至目标域名列表中,其中,较佳的,将可以通过HTTP访问(http://或https://)的URL地址添加至抓取队列中。
一轮域名的抓取,即一个域名处理完成后,会输出提示信息,提示本轮抓取已完成(本实施例中,将多次调用后完成对一个域名的子域名的完整遍历称为“一轮”)。本轮抓取完成后,该域名的子域名还可以保存起来作为下一轮的抓取域名。下次调用时,将按照该抓取域名进行抓取。
在上述抓取过程中,若针对某个URL地址(以下称为问题URL地址)执行的抓取操作失败(如,重复尝试若干次后仍未成功),则可以在子域名集合中对该问题URL地址进行标注,标注采用TTL的方式,每一轮遍历到该问题URL地址时,将TTL减1,如果TTL为0,不再重新尝试抓取,直接跳过;如果TTL不为0,则重新抓取该URL地址。
D、根据抓取结果生成子域名集合。
在上述抓取过程中,可以生成日志文件,记录抓取时间、抓取状态、抓取的URL地址和抓取结果(包含新增URL地址个数,新增域名个数等等),根据该抓取结果在获得所需的子域名集合。例如,“t.example.com\nvideo.example.com\n…”其中,\n为分隔符。
实际应用中,为了处理大规模数据,较佳的,可以将域名对应的子域名集合存入分布式文件系统中(也可以是集中式文件系统)进行后续处理。考虑到采用网络爬虫技术获得的抓取结果可能会包含重复域名,因此,必须对子域名集合包含的各类域名进行合并去重处理,这样,最终获得的子域名集合就是完整的无重复的域名集合。
分析页面中的URL,可以有多种获取方式,例如,通过获取“src=”和“href”的属性值,进而获取网页页面的URL。
举例来说,若确定放行域名为pay.weixin.qq.com,则它的域名和子域名的集合可以表示为domain_name_sets={mp.weixin.qq.com,www.tenpay.com,work.weixin.qq.com,pingjs.qq.com,open.qq.com,e.qq.com,tajs.qq.com,wx.gtimg.com,kf.qq.com,weixin.qq.com,open.weixin.qq.com}。
在步骤203中,防火墙设备可以主动向域名解析服务器发起请求,该请求用于获取域名集合domain_name_sets里的各个域名的IP地址信息。
在步骤204中,一种可能的实现方式,所述生成所述放行域名的安全访问策略包括:
建立所述放行域名的IP地址及所述放行子域名的IP地址与所述放行域名对应的安全策略的映射关系,以使设置有安全访问策略的设备在解析出目的IP时确认是否符合安全访问策略。
具体的,如图3所示,防火墙设备可以对获取的IP地址进行数据预处理,将IP地址和安全策略acl的编号组织成IP:acl1,acl2,…,acln形式的策略映射表,该策略映射表用于存储所述放行域名的IP地址及所述放行子域名的IP地址与所述放行域名对应的安全策略的映射关系。具体的存储方式,可以为将策略映射表写入文件domain_match_aclID中。为提高查找效率,策略映射表中,可以根据安全策略标识(acl1,acl2,…,acln)严格递增的顺序排序;当然,也可以根据其他方式,以提高查找安全策略的目的。
进一步的,可以通过将domain_match_aclID中的策略映射表生成为hash表;在防火墙设备使用所述策略映射表时,可以通过存储两份hash表的方式,以保证更新切换使用所述策略映射表。
考虑到爬虫脚本通常为运行在防火墙设备的管理核上,由于管理核还需处理其他防火墙的管理功能,用于管理web等其他进程,因此,执行爬虫脚本不能占用过多的管理核的资源,因此,本发明实施例中,可以在步骤201之前,设置执行周期;例如,设置执行爬虫脚本的第二周期,在第二周期到达时,执行爬虫脚本,获取域名对应的网页上的URL。
考虑设备重启的开始阶段,可能由于其他模块,例如路由模块的配置信息,域名解析服务器中的配置信息还未完全加载,可能会导致防火墙的安全策略无法正常运行,以阻断或放行对应的域名。
因此,可以考虑设置为第二周期设置一个较短的周期时间,例如,第二周期设定为1分钟,以便尽可能快地获取域名中的子域名。
对于放行域名,通过爬虫脚本解析网页资源中的子域名比较耗时,为进一步控制爬虫脚本对执行所述爬虫脚本的处理器的影响,一种可能的实现方式,可以在第一周期内,设定获取爬虫脚本连续运行的条件以及暂停时长。例如,若确定用户配置的安全策略中需放行的白名单为10个,即配置了放行域名为10个,则可以设置该条件为获取3个白名单。即爬虫脚本在获取3个白名单后暂停。在到达暂停时长后,继续启用爬虫脚本,用于获取放行域名中的其他白名单。为保证不重复爬虫,可以为每个成功获取白名单的域名进行标记;例如,为每个成功获取白名单的域名设置脚标,为循环遍历完所有白名单中的域名做记录。
若确定需要配置的白名单和黑名单全部配置完成,为节省资源的占用,一种可能的实现方式,所述生成所述放行域名的安全访问策略后,还包括:
在第二周期到达时,重新加载所述放行域名的网页,以更新所述放行域名的安全访问策略。
具体的,第二周期可以设置一个较长的周期时间,例如30分钟,即每半个小时,会重新更新白名单中域名对应的子域名;第二周期的设置,可以根据实际情况,在web页面进行配置调整,在此不做限定。
如图4所述,下图为本发明实施例的一种访问控制方法的流程图,包括:
步骤401:获取域名的策略配置及域名解析服务器的地址;
步骤402:确定域名的策略配置是否应用,若是,则执行步骤403;否则,执行步骤410;
步骤403:确定与域名解析服务器的网络连接是否可用;若是,则执行步骤404;否则,执行步骤411;
步骤404:确定域名的策略配置中的白名单和黑名单;
步骤405:获取预定个数的白名单,并更新白名单中的子域名;
步骤406:向域名解析服务器发送所述策略配置中的黑名单中的域名和/或白名单中的域名及子域名;
步骤407:获取域名解析服务器发送的所述策略配置中黑名单中的域名和/或白名单中的域名及子域名分别对应的IP地址;
步骤408:判断确定策略配置中的白名单中的子域名获取完全;若是,则执行步骤409;否则,返回步骤405;
步骤409:生成策略映射表,并更新第一周期的时间为30分钟;
步骤410:在下一第一周期到达后,返回步骤402;
步骤411:在下一第一周期到达后,返回步骤403。
针对转发过程,防火墙设备可以周期性地将更新的放行域名的安全访问策略对应的策略映射表传输至转发设备,进而在转发设备中生成哈希表。在转发设备中,可以存储至少2份哈希表,一份用于读取策略映射表中的映射关系,一份用于将新的策略映射表写入,以进行更新切换。
需要说明的是,转发设备可以为单独的设备,也可以为加载在防火墙设备中的转发引擎,在此不做限定。
为了保证收集的域名配置的安全策略为已经生效后的安全策略,在启动脚本和/或应用配置时,进行读取配置的安全策略。
针对转发流程,如图5所示,下图为本发明实施例的一种访问控制方法的流程图,包括:
步骤501:获取数据报文的报文头信息及安全策略的策略映射表;
具体的,可以包括读取域名策略配置,初始化域名,初始化各种参数,如第一周期设置为60秒。
步骤502:根据获取的报文头信息中的目的IP地址,在所述策略映射表中,查找所述目的IP地址;
步骤503:根据查找成功的所述目的IP地址对应的安全策略标识,确定安全策略标识对应的安全策略;
步骤504:对所述数据报文执行所述安全策略。
其中,安全策略可以为阻断或者放行该数据包。
由于数据预处理时,策略映射表中IP地址与安全策略标识(acl1,acl2,…,acln)已经做了递增的排序,因此使用安全策略标识查找时,可以直接使用二分法进行快速查找。
本发明实施例中,管理员只需要简单地配置DNS服务器地址、配置域名和配置以域名为目的地址的安全策略,即可达到域名访问控制的目的。对于网络管理员来说,配置域名的安全策略的工作量,远远小于传统配置目的IP地址设置放行的工作量;本发明实施例,通过后台自动定期更新嵌套域名信息和域名解析的IP地址信息,自动生成设备可以识别的安全策略,无需人为干预,后期的维护成本更低;嵌套资源可以通过爬虫脚本自动获取,无需打开浏览器的调试模式,进行手工查询和去重,极大的降低了工作量,提高了访问控制的效率和准确性。对于被管控的内网用户相比传统管理而言,页面内容不存在由于子域名获取不完全,导致网页展示不完全的问题,也不再出现网页资源加载十分缓慢的问题,有效的提高了用户体验;另外,由于URL的获取不是通过转发报文的数据流获取的,因此,对于采用加密方式的网页,例如https的类型的域名,本发明实施例中的访问控制效果也非常好。
基于相同的发明构思,如图6所示,本发明实施例提供一种访问控制装置,包括:
处理单元602,用于通过放行域名的网页的加载,获取所述放行域名的网页的各链接对应的放行子域名;根据所述放行域名的IP地址及所述放行子域名的IP地址,生成所述放行域名的安全访问策略;
获取单元601,用于通过域名解析服务器,确定所述放行域名的IP地址及所述放行子域名的IP地址。
一种可能的实现方式,处理单元602,具体用于:
执行网络爬虫脚本,获取所述放行域名的网页中的各网页资源的统一资源定位符URL;针对每个URL,确定所述URL对应的放行子域名。
一种可能的实现方式,处理单元602还用于:
确定所述域名解析服务器的网络连接是否建立;若确定所述网络连接未建立,则进入休眠状态,并在下一个第一周期启动与所述域名解析服务器的重连。
一种可能的实现方式,处理单元602,还用于:
在第二周期到达时,重新加载所述放行域名的网页,以更新所述放行域名的安全访问策略。
一种可能的实现方式,处理单元602,具体用于:
建立所述放行域名的IP地址及所述放行子域名的IP地址与所述放行域名对应的安全策略的映射关系以使设置有安全访问策略的设备在解析出目的IP时确认是否符合安全访问策略。
基于相同的技术构思,本申请实施例提供了一种访问控制设备,如图7所示,包括至少一个处理器701,以及与至少一个处理器连接的存储器702,本申请实施例中不限定处理器701与存储器702之间的具体连接介质,图7中处理器701和存储器702之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。
在本申请实施例中,存储器702存储有可被至少一个处理器701执行的指令,至少一个处理器701通过执行存储器702存储的指令,可以执行前述归档方法中所包括的步骤。
其中,处理器701是归档设备的控制中心,可以利用各种接口和线路连接归档设备的各个部分,通过运行或执行存储在存储器702内的指令以及调用存储在存储器702内的数据,从而实现归档。可选的,处理器701可包括一个或多个处理单元,处理器701可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器1801中。在一些实施例中,处理器701和存储器702可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器701可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器702作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器702可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器702是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器702还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
基于同一发明构思,本申请实施例提供了一种计算机可读介质,其存储有可由归档设备执行的计算机程序,当所述程序在归档设备上运行时,使得所述归档设备执行归档方法的步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种访问控制方法,其特征在于,包括:
通过放行域名的网页的加载,获取所述放行域名的网页的各链接对应的放行子域名;
通过域名解析服务器,确定所述放行域名的IP地址及所述放行子域名的IP地址;
根据所述放行域名的IP地址及所述放行子域名的IP地址,生成所述放行域名的安全访问策略。
2.如权利要求1所述的方法,其特征在于,所述通过放行域名的网页的加载,获取所述放行域名的网页的各链接对应的放行子域名,包括:
执行网络爬虫脚本,获取所述放行域名的网页中的各网页资源的统一资源定位符URL;
针对每个URL,确定所述URL对应的放行子域名。
3.如权利要求2所述的方法,其特征在于,所述获取所述放行域名的网页的各链接对应的放行子域名之前,还包括:
确定所述域名解析服务器的网络连接是否建立;
若确定所述网络连接未建立,则进入休眠状态,并在下一个第一周期启动与所述域名解析服务器的重连。
4.如权利要求1所述的方法,其特征在于,生成所述放行域名的安全访问策略后,还包括:
在第二周期到达时,重新加载所述放行域名的网页,以更新所述放行域名的安全访问策略。
5.如权利要求4所述的方法,其特征在于,生成所述放行域名的安全访问策略包括:
建立所述放行域名的IP地址及所述放行子域名的IP地址与所述放行域名对应的安全策略的映射关系以使设置有安全访问策略的设备在解析出目的IP时确认是否符合安全访问策略。
6.一种访问控制装置,其特征在于,包括:
处理单元,用于通过放行域名的网页的加载,获取所述放行域名的网页的各链接对应的放行子域名;根据所述放行域名的IP地址及所述放行子域名的IP地址,生成所述放行域名的安全访问策略;
获取单元,用于通过域名解析服务器,确定所述放行域名的IP地址及所述放行子域名的IP地址。
7.如权利要求6所述的装置,其特征在于,所述处理单元,具体用于:
执行网络爬虫脚本,获取所述放行域名的网页中的各网页资源的统一资源定位符URL;针对每个URL,确定所述URL对应的放行子域名。
8.如权利要求7所述的装置,其特征在于,所述处理单元还用于:
确定所述域名解析服务器的网络连接是否建立;若确定所述网络连接未建立,则进入休眠状态,并在下一个第一周期启动与所述域名解析服务器的重连。
9.如权利要求6所述的装置,其特征在于,所述处理单元,还用于:
在第二周期到达时,重新加载所述放行域名的网页,以更新所述放行域名的安全访问策略。
10.如权利要求9所述的装置,其特征在于,所述处理单元,具体用于:
建立所述放行域名的IP地址及所述放行子域名的IP地址与所述放行域名对应的安全策略的映射关系以使设置有安全访问策略的设备在解析出目的IP时确认是否符合安全访问策略。
11.一种访问控制设备,其特征在于,包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行权利要求1~5任一权利要求所述方法的步骤。
12.一种计算机可读介质,其特征在于,其存储有可由归档设备执行的计算机程序,当所述程序在访问控制设备上运行时,使得所述访问控制设备执行权利要求1~5任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811628446.3A CN109600385B (zh) | 2018-12-28 | 2018-12-28 | 一种访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811628446.3A CN109600385B (zh) | 2018-12-28 | 2018-12-28 | 一种访问控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109600385A true CN109600385A (zh) | 2019-04-09 |
| CN109600385B CN109600385B (zh) | 2021-06-15 |
Family
ID=65964854
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811628446.3A Active CN109600385B (zh) | 2018-12-28 | 2018-12-28 | 一种访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109600385B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213375A (zh) * | 2019-06-04 | 2019-09-06 | 杭州安恒信息技术股份有限公司 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
| CN110472930A (zh) * | 2019-07-24 | 2019-11-19 | 阿里巴巴集团控股有限公司 | 用于出金管理的方法、系统和计算设备 |
| CN111079040A (zh) * | 2019-11-26 | 2020-04-28 | 北京达佳互联信息技术有限公司 | 资源嗅探方法、装置、终端、服务器及存储介质 |
| CN111225075A (zh) * | 2019-11-12 | 2020-06-02 | 中盈优创资讯科技有限公司 | 物联网定向访问业务的配置方法及装置 |
| CN113906771A (zh) * | 2019-05-21 | 2022-01-07 | 艾里斯通讯公司 | 使用域名的通信流控制 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025713A (zh) * | 2010-02-09 | 2011-04-20 | 中国移动通信集团北京有限公司 | 一种访问控制方法、系统及dns服务器 |
| US20120089745A1 (en) * | 2010-10-06 | 2012-04-12 | Bhavin Turakhia | Computer enabled method and system for associating an ip address to a domain name |
| CN102457588A (zh) * | 2011-12-20 | 2012-05-16 | 北京瑞汛世纪科技有限公司 | 一种实现反向域名解析的方法及装置 |
| CN103763133A (zh) * | 2014-01-06 | 2014-04-30 | 上海聚力传媒技术有限公司 | 一种实现访问控制的方法、设备与系统 |
| CN104820674A (zh) * | 2015-04-02 | 2015-08-05 | 北京网康科技有限公司 | 一种网页分类方法及装置 |
| CN105302876A (zh) * | 2015-09-28 | 2016-02-03 | 孙燕群 | 基于正则表达式的url过滤方法 |
| CN105323173A (zh) * | 2014-07-18 | 2016-02-10 | 中兴通讯股份有限公司 | 网络规则条目的设置方法及装置 |
| CN106790749A (zh) * | 2016-12-13 | 2017-05-31 | 小咖秀(北京)科技有限公司 | 一种基于hosts更新优化域名解析速度的方法 |
| CN107835149A (zh) * | 2017-09-13 | 2018-03-23 | 杭州安恒信息技术有限公司 | 基于dns流量分析的网络窃密行为检测方法以及装置 |
| CN107959732A (zh) * | 2011-11-11 | 2018-04-24 | 柏思科技有限公司 | 允许在推行网络策略过程中使用域名的方法和系统 |
| CN108574742A (zh) * | 2017-03-10 | 2018-09-25 | 腾讯科技(深圳)有限公司 | 域名信息收集方法及域名信息收集装置 |
| CN108737542A (zh) * | 2018-05-21 | 2018-11-02 | 北京小米移动软件有限公司 | 网页的访问控制方法及装置 |
| CN108809928A (zh) * | 2018-03-30 | 2018-11-13 | 小安(北京)科技有限公司 | 一种网络资产风险画像方法及装置 |
-
2018
- 2018-12-28 CN CN201811628446.3A patent/CN109600385B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025713A (zh) * | 2010-02-09 | 2011-04-20 | 中国移动通信集团北京有限公司 | 一种访问控制方法、系统及dns服务器 |
| US20120089745A1 (en) * | 2010-10-06 | 2012-04-12 | Bhavin Turakhia | Computer enabled method and system for associating an ip address to a domain name |
| CN107959732A (zh) * | 2011-11-11 | 2018-04-24 | 柏思科技有限公司 | 允许在推行网络策略过程中使用域名的方法和系统 |
| CN102457588A (zh) * | 2011-12-20 | 2012-05-16 | 北京瑞汛世纪科技有限公司 | 一种实现反向域名解析的方法及装置 |
| CN103763133A (zh) * | 2014-01-06 | 2014-04-30 | 上海聚力传媒技术有限公司 | 一种实现访问控制的方法、设备与系统 |
| CN105323173A (zh) * | 2014-07-18 | 2016-02-10 | 中兴通讯股份有限公司 | 网络规则条目的设置方法及装置 |
| CN104820674A (zh) * | 2015-04-02 | 2015-08-05 | 北京网康科技有限公司 | 一种网页分类方法及装置 |
| CN105302876A (zh) * | 2015-09-28 | 2016-02-03 | 孙燕群 | 基于正则表达式的url过滤方法 |
| CN106790749A (zh) * | 2016-12-13 | 2017-05-31 | 小咖秀(北京)科技有限公司 | 一种基于hosts更新优化域名解析速度的方法 |
| CN108574742A (zh) * | 2017-03-10 | 2018-09-25 | 腾讯科技(深圳)有限公司 | 域名信息收集方法及域名信息收集装置 |
| CN107835149A (zh) * | 2017-09-13 | 2018-03-23 | 杭州安恒信息技术有限公司 | 基于dns流量分析的网络窃密行为检测方法以及装置 |
| CN108809928A (zh) * | 2018-03-30 | 2018-11-13 | 小安(北京)科技有限公司 | 一种网络资产风险画像方法及装置 |
| CN108737542A (zh) * | 2018-05-21 | 2018-11-02 | 北京小米移动软件有限公司 | 网页的访问控制方法及装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113906771A (zh) * | 2019-05-21 | 2022-01-07 | 艾里斯通讯公司 | 使用域名的通信流控制 |
| CN110213375A (zh) * | 2019-06-04 | 2019-09-06 | 杭州安恒信息技术股份有限公司 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
| CN110472930A (zh) * | 2019-07-24 | 2019-11-19 | 阿里巴巴集团控股有限公司 | 用于出金管理的方法、系统和计算设备 |
| CN111225075A (zh) * | 2019-11-12 | 2020-06-02 | 中盈优创资讯科技有限公司 | 物联网定向访问业务的配置方法及装置 |
| CN111079040A (zh) * | 2019-11-26 | 2020-04-28 | 北京达佳互联信息技术有限公司 | 资源嗅探方法、装置、终端、服务器及存储介质 |
| CN111079040B (zh) * | 2019-11-26 | 2023-09-01 | 北京达佳互联信息技术有限公司 | 资源嗅探方法、装置、终端、服务器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109600385B (zh) | 2021-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109600385A (zh) | 一种访问控制方法及装置 | |
| CN106294372B (zh) | 应用程序页面快速访问方法及应用其的移动终端 | |
| US9485240B2 (en) | Multi-account login method and apparatus | |
| CN105243159B (zh) | 一种基于可视化脚本编辑器的分布式网络爬虫系统 | |
| WO2015069912A1 (en) | Dynamic application version selection | |
| US20110196957A1 (en) | Real-Time Policy Visualization by Configuration Item to Demonstrate Real-Time and Historical Interaction of Policies | |
| CN107809383B (zh) | 一种基于mvc的路径映射方法及装置 | |
| CN106022139A (zh) | 用于保护数据操作的方法和系统 | |
| JP2016533594A (ja) | ウェブページのアクセス方法、ウェブページのアクセス装置、ルーター、プログラム及び記録媒体 | |
| CN111651224A (zh) | 用于识别、索引和导航至移动应用的深度状态的系统和方法 | |
| CN104219316A (zh) | 一种分布式系统中的调用请求处理方法及装置 | |
| CN106656920B (zh) | Http服务的处理方法、装置、存储介质及处理器 | |
| CN106776983B (zh) | 搜索引擎优化装置和方法 | |
| CN107885777A (zh) | 一种基于协作式爬虫的抓取网页数据的控制方法及系统 | |
| CN107391775A (zh) | 一种通用的网络爬虫模型实现方法及系统 | |
| CN105260388A (zh) | 一种分布式垂直爬虫服务系统的优化方法 | |
| CN110266661A (zh) | 一种授权方法、装置及设备 | |
| CN105302815B (zh) | 网页的统一资源定位符url的过滤方法和装置 | |
| CN107580052B (zh) | 自演进的网络自适应爬虫方法及系统 | |
| CN110555146A (zh) | 一种网络爬虫伪装数据的生成方法及系统 | |
| CN111538883A (zh) | 一种数据爬取方法、系统及设备 | |
| CN105468981A (zh) | 基于漏洞识别技术的插件安全扫描装置及扫描方法 | |
| WO2020155765A1 (zh) | 移动终端爬取数据的方法、装置、移动终端和存储介质 | |
| CN106936907A (zh) | 一种文件处理方法、逻辑服务器、接入服务器及系统 | |
| US20130173579A1 (en) | Scenario-based crawling |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Applicant after: NSFOCUS Technologies Group Co.,Ltd. Applicant after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Applicant before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Applicant before: NSFOCUS TECHNOLOGIES Inc. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |