CN110149349A - 一种网络访问控制方法及装置 - Google Patents

Abstract

本申请实施例提供了一种网络访问控制方法及装置，其中所述网络访问控制方法包括：至少获得客户端基于IP地址发送的网络请求数据包；基于所述网络请求数据包获得所述目的IP地址；确定是否有与所述目的IP地址匹配的域名；若有，则将所述域名与预配置域名进行匹配；若具有匹配成功的预配置域名，则根据所述预配置域名对应的操作策略对所述网络请求数据包进行动作。本申请实施例的网络访问控制进行访问控制的过程中无需进行复杂的数据处理，只通过直接解析域名服务器发送的回复报文便可实现精确的域名访问控制，整体控制流程简单方便，易于维护。

Description

一种网络访问控制方法及装置

技术领域

本申请实施例涉及智能设备领域，特别涉及一种网络访问控制方法及装置。

背景技术

现在的网络环境多数是https环境。基于http代理的https访问控制方法，在运行http代理的网络安全设备中，可以通过对https数据包进行解密运算，获取报文中的URL来实现对https的访问控制。基于完整域名的https访问控制方法为在网络安全设备上配置完整的域名，并对该域名配置策略，之后网络安全设备主动向DNS服务器发送关于该配置后的域名的DNS请求报文，接着再接收并解析来自DNS服务器的回复报文以获取并记录该完整域名对应的IP地址，从而使得该网络安全设备可根据https数据包的IP对客户端做访问控制。虽然，通过http代理的访问控制方法能够实现客户端对https访问请求的访问控制，但是由于控制过程中需要解密、加密https数据包，处理过程复杂，且不易维护。基于完整域名的https访问控制存在配置复杂度高、不易维护的问题；且当客户配置的DNS服务器与网络安全设备配置的DNS服务器不同时，存在访问控制策略失效问题。

申请内容

本申请实施例提供了一种控制过程简单方便，无需进行大量数据处理的网络访问控制方法及装置。

为了解决上述技术问题，本申请实施例提供了一种网络访问控制方法，包括：

至少获得客户端基于IP地址发送的网络请求数据包；

基于所述网络请求数据包获得所述目的IP地址；

确定是否有与所述目的IP地址匹配的域名；

若有，则将所述域名与预配置域名进行匹配；

若具有匹配成功的预配置域名，则根据所述预配置域名对应的操作策略对所述网络请求数据包进行动作。

作为优选，所述确定是否有与所述目的IP地址匹配的域名包括：

基于域名-IP地址对应关系表确定是否有与所述目的IP地址匹配的域名。

作为优选，还包括：

获得所述客户端向域名服务器发送的域名请求报文；

向所述域名服务器转发所述域名请求报文；

接收所述域名服务器的回复报文

发送所述回复报文到所述客户端，以使所述客户端基于所述IP地址发送所述网络请求数据包，其中，所述IP地址为所述目的IP地址。

作为优选，还包括：

基于所述回复报文获得对应所述域名的IP地址；

匹配记录所述域名及IP地址形成所述域名-IP地址对应关系表。

作为优选，所述预配置域名至少包括网络服务商的实际域名，每个所述预配置域名均与一所述操作策略匹配。

作为优选，所述预配置域名还包括通配符。

作为优选，所述操作策略至少包括向匹配所述目的IP地址或预配置域名的网络设备发送所述网络请求数据包。

本发明实施例同时提供一种网络访问控制装置，至少包括网络安全设备，其用于：

至少获得客户端基于目的IP地址发送的网络请求数据包；

基于所述网络请求数据包获得所述目的IP地址；

确定是否有与所述目的IP地址匹配的域名；

若有，则将所述域名与预配置域名进行匹配；

若具有匹配成功的预配置域名，则根据所述预配置域名对应的操作策略对所述网络请求数据包进行动作。

作为优选，所述网络安全设备还用于：

基于域名-IP地址对应关系表确定是否有与所述目的IP地址匹配的域名。

作为优选，所述网络安全设备还用于：

获得所述客户端向域名服务器发送的域名请求报文；

向域名服务器转发所述域名请求报文；

接收所述服务器的回复报文；；

转发所述回复报文到所述客户端，以使所述客户端基于所述IP地址发送所述网络请求数据包，其中，所述IP地址为所述目的IP地址。

基于上述实施例的公开可以获知，本申请实施例具备的有益效果在于进行访问控制的过程中无需进行复杂的数据处理，只通过直接解析域名服务器发送的回复报文便可实现精确的域名访问控制，整体控制流程简单方便，易于维护。而且，还支持配置带有通配符的域名，实现了仅通过一个带有通配符的域名便可控制访问多个匹配的IP地址的技术效果，进一步满足用户的不同网络请求。

附图说明

图1为本发明实施例中的网络访问控制方法的流程图。

图2为本发明另一实施例中的网络访问控制方法的流程图。

图3为本发明另一实施例中的网络访问控制方法的场景图。

图4为本发明实施例中的网络访问控制装置的结构图。

具体实施方式

下面，结合附图对本申请的具体实施例进行详细的描述，但不作为本申请的限定。

应理解的是，可以对此处公开的实施例做出各种修改。因此，下述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。

包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例，并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。

通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本申请的这些和其它特性将会变得显而易见。

还应当理解，尽管已经参照一些具体实例对本申请进行了描述，但本领域技术人员能够确定地实现本申请的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。

当结合附图时，鉴于以下详细说明，本公开的上述和其他方面、特征和优势将变得更为显而易见。

此后参照附图描述本公开的具体实施例；然而，应当理解，所公开的实施例仅仅是本公开的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此，本文所公开的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。

本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本公开的相同或不同实施例中的一个或多个。

下面，结合附图详细的说明本申请实施例。

如图1所示，本申请实施例提供一种网络访问控制方法，包括：

至少获得客户端基于目的IP地址发送的网络请求数据包；

基于网络请求数据包获得目的IP地址；

确定是否有与目的IP地址匹配的域名；

若有，则将域名与预配置域名进行匹配；

若具有匹配成功的预配置域名，则根据预配置域名对应的操作策略对网络请求数据包进行动作。

本申请实施例具备的有益效果在于进行访问控制的过程中无需进行复杂的数据处理，例如解密数据包、加密数据包等，只需通过直接解析域名服务器发送的回复报文便可实现精确的域名访问控制，整体控制流程简单方便，且易于维护。

例如，本实施例中首先获得客户端基于目的IP地址发送至目标网站或服务器的网络请求数据包(当然也可同时获得其余网络请求数据包)，然后基于网络请求数据包获得目标网站或服务器的IP地址(即，目的IP地址)，并根据该IP地址及已存储数据进行匹配，确定是否有匹配的域名，若有，则将该域名与设备中的多个预配置域名进行匹配，若有相匹配的预配置域名，则根据该预配置域名对应的操作策略对网络请求数据包进行动作。其中，预配置域名至少包括对应网络服务商(网站或服务器)的实际域名，以及满足所需通信协议要求的前缀、后缀等等信息。

具体地，如图2所示，本实施例中的访问控制方法还包括：

获得客户端向域名服务器发送的域名请求报文；

向域名服务器转发域名请求报文；

接收域名服务器的回复报文

发送回复报文到客户端，以使客户端基于回复报文中的IP地址(即，目的IP地址)发送网络请求数据包。

例如，在接收到客户端发送域名请求报文后，代理客户端向域名服务器转发域名请求报文，接着将回复报文转发到客户端，以使客户端可基于回复报文中域名对应的IP地址(即，目的IP地址)直接向网络端发送网络请求数据包。如客户端向HTTPS服务器发送的网络请求数据包，HTTPS服务器当接收到该网络请求数据包后无需解密便可直接进行处理，倘若HTTPS服务器处理该数据包后决定放行该数据包，则可将获得的网络数据回向至客户端。另外，上述获得客户端欲访问的域名的方式不唯一，也可从其他途径获得客户端预访问的域名，例如截获客户端欲发出的请求，或直接询问客户等等，包括根据客户反馈的当前需求等而确定出域名，并由客户决定最终欲访问的域名等等。

进一步地，本实施例中在确定是否有与IP地址匹配地域名时包括：

基于域名-IP地址对应关系表确定是否有与IP地址匹配的域名。

例如，设备内预存储有域名-IP地址对应关系表，当获得IP地址后，可根据该IP地址在对应关系表中进行查找，若查找到一致的IP地址，便可根据对应关系表中与该IP地址对应的域名而确定出用户预访问的域名。其中，该域名-IP地址对应关系表中的数据可通过外部数据库得到，也可根据自身以往记录的历史数据得到。

具体地，本实施例中的域名-IP地址对应关系表中的获得方法为：

基于域名服务器的回复报文获得对应域名的IP地址；

匹配记录域名及IP地址形成域名-IP地址对应关系表。

如上文所述，在接收域名服务器的回复报文后，可对回复报文进行解析，而经解析该回复报文得到客户端欲访问的网站或服务器的域名及其IP地址后，匹配存储该域名及IP地址，随着客户端访问数据的增多，最终形成本实施例中的域名-IP地址对应关系表。

进一步地，为了更好地说明本实施例中的网络访问控制方法，现以一下几个实施例进行详细说明：

实施例一：如图3所示，客户端欲访问https服务器

1、PC(客户端设备)沿着虚线1向域名服务器(DNS服务器)发送DNS请求报文；

2.DNS服务器沿着虚线2向PC发送DNS回复报文；

3.DNS回复报文经过网络安全设备，例如防火墙(FW)时，FW解析该报文并把得到的域名-IP地址对应信息记录到“域名-IP地址对应关系表”中；

4.PC从DNS回复报文中获取https服务器的IP地址，将该IP地址作为目的IP地址沿虚线3向https服务器发送网络请求数据包；

5.网络安全设备根据网络请求数据包的目的IP地址从“域名-IP地址对应关系表”中查找所对应的域名，并将该域名与预配置域名进行匹配，若匹配成功，则按照与预配置域名匹配的操作策略对网络请求数据包进行处理，例如网络安全设备放行PC向https服务器发送的网络请求，以获得客户端所需网络数据等；

6、若PC发出的网络请求最终被放行，则https服务器通过虚线4向PC发送网络数据。

上述过程不仅可保证获得的域名的精确度，保证访问控制精度，而且省略了网络安全设备运行http代理解密https报文获取https报文中目的服务器域名的过程，简化了网络访问控制操作步骤，另外仅需维护域名-IP地址对应关系表即可，维护难度较低。

实施例二：客户端配置的DNS服务器与网络安全设备配置的DNS服务器位于不同运营商

在本实施例中，当客户端欲访问某个网络时，客户端便可基于DNS协议并通过网络安全设备获取与所要访问网络的域名对应的IP地址。其中，当网络安全设备接收并解析来自DNS服务器的DNS回复报文时，获取所要访问的域名与其IP地址的对应信息，并匹配记录在“域名-IP地址对应关系表”中，使基于该对应关系表实现对后续客户端发出的网络请求数据包的目的IP地址实现精确匹配。如此便可避免当客户端获取的所要访问域名对应的IP地址与网络安全设备获得的该域名对应IP地址不同而导致操作策略失效的问题发生。

其中，本申请各实施例中的预配置域名至少包括网络服务商的实际域名，每个预配置域名均与一操作策略匹配。该操作策略至少包括向匹配IP地址或预配置域名的网络设备发送网络请求数据包。

进一步地，实施例三，客户端要对某个网络服务商应用操作策略；

本实施例中的预配置域名还包括通配符。具体地，当网络安全设备管理员需要对某一网络服务商(例如baidu)应用操作策略时，可以配置带有通配符的策略域名(例如*.baidu.com)。客户端向DNS服务器发送域名请求报文，来自DNS服务器的DNS回复报文经过网络安全设备。网络安全设备解析该回复报文并将域名-IP地址对应关系记录到“域名-IP地址对应关系表”。网络安全设备转发该DNS回复报文到客户端。接着客户端根据获得的IP地址向网络服务商(例如baidu)发送网络请求数据包，网络安全设备根据网络数据包的目的IP地址从“域名-IP地址对应关系表”中查找匹配的域名，并将该域名与网络安全设备预配置的带通配符的域名做匹配，若匹配成功，则根据预设的策略动作对网络服务商(例如baidu)做处理。如此便可解决对同一个网络服务商的所有域名所在网络应用策略时需要配置所有域名(例如jingyan.baidu.com，zhidao.baidu.com，image.baidu.com...)的问题，因为在配置域名时很难包含该服务商的所有域名(例如news.baidu.com)，故本实施例通过在域名中配置通配符大幅降低了配置的复杂度，简化了操作。

进一步地，如图4所示，本申请的另一实施例同时提供一种网络访问控制装置，至少包括网络安全设备，其用于：

至少获得客户端基于IP地址发送的网络请求数据包；

基于网络请求数据包获得目的IP地址；

确定是否有与目的IP地址匹配的域名；

若有，则将域名与预配置域名进行匹配；

若具有匹配成功的预配置域名，则根据预配置域名对应的操作策略对网络请求数据包进行动作。

本申请实施例具备的有益效果在于网络安全设备在进行访问控制的过程中无需进行复杂的数据处理，例如解密数据包、加密数据包等，只需通过直接解析域名服务器发送的回复报文便可实现精确的域名访问控制，整体控制流程简单方便，且易于维护。

例如，本实施例中网络安全设备首先获得客户端基于目的IP地址发送至目标网站或服务器的网络请求数据包(当然也可同时获得其余网络请求数据包)，然后基于网络请求数据包获得目标网站或服务器的IP地址(即，目的IP地址)，并根据该IP地址及已存储数据进行匹配，确定是否有匹配的域名，若有，则将该域名与设备中的多个预配置域名进行匹配，若有相匹配的预配置域名，则根据该预配置域名对应的操作策略对网络请求数据包进行动作。其中，预配置域名至少包括对应网络服务商(网站或服务器)的实际域名，以及满足所需通信协议要求的前缀、后缀等等信息。

具体地，本实施例中的网络安全设备还用于：

获得客户端向域名服务器发送的域名请求报文；

向域名服务器转发来自客户端的域名请求；

接收域名服务器的回复报文；

转发回复报文到客户端，以使客户端基于应域名的IP地址(即，目的IP地址)发送网络请求数据包。

例如，网络安全设备在接收到客户端发送域名请求报文后，向域名服务器转发域名请求报文，接着将域名服务器的回复报文转发到客户端，以使客户端可基于该IP地址直接向网络端发送网络请求数据包。如客户端向HTTPS服务器发送网络请求数据包经过网络安全设备，网络安全设备接收到该网络请求数据包后无需解密便可直接进行处理，若网络安全设备处理该数据包后决定放行该数据包，则将该请求数据包转发到HTTPS服务器。当然，另外，上述获得客户端欲访问的域名的方式不唯一，，例如截获客户端欲发出的请求，或直接询问客户等等，包括根据客户反馈的当前需求等而确定出域名，并由客户决定最终欲访问的域名等等。

进一步地，本实施例中网络安全设备在确定是否有与IP地址匹配的域名时包括：

基于域名-IP地址对应关系表确定是否有与IP地址匹配的域名。

例如，网络安全设备内预存储有域名-IP地址对应关系表，当获得IP地址后，可根据该IP地址在对应关系表中进行查找，若查找到一致的IP地址，便可根据对应关系表中与该IP地址对应的域名而确定出用户预访问的域名。其中，该域名-IP地址对应关系表中的数据可通过外部数据库得到，也可根据自身以往记录的历史数据得到。

具体地，本实施例中的域名-IP地址对应关系表中的获得方法为：

基于域名服务器的回复报文获得对应域名的IP地址；

匹配记录域名及IP地址形成域名-IP地址对应关系表。

如上文所述，网络安全设备在接收域名服务器的回复报文后，经解析该回复报文得到客户端欲访问的网站或服务器的域名及其IP地址后，匹配存储该域名及IP地址，随着客户端访问数据的增多，最终形成本实施例中的域名-IP地址对应关系表。

进一步地，为了更好地说明本实施例中的网络安全设备的网络访问控制方法，现以以下几个实施例进行详细说明：

实施例一：如图3所示，客户端欲访问https服务器

1、PC(客户端设备)沿着虚线1向域名服务器(DNS服务器)发送DNS请求报文；

2.DNS服务器沿着虚线2向PC发送DNS回复报文；

3.DNS回复报文经过网络安全设备，例如防火墙(FW)时，FW解析该报文并把得到的域名-IP地址对应信息记录到“域名-IP地址对应关系表”中；

4.PC从DNS回复报文中获取https服务器的IP地址，将该IP地址作为目的IP地址沿虚线3向https服务器发送网络请求数据包；

5.网络安全设备根据网络请求数据包的目的IP地址从“域名-IP地址对应关系表”中查找所对应的域名，并将该域名与预配置域名进行匹配，若匹配成功，则按照与预配置域名匹配的操作策略对网络请求数据包进行处理，例如放行PC向https服务器发送的网络请求，以获得客户端所需网络数据等；

6、若PC发出的网络请求最终被放行，则https服务器通过虚线4向PC发送网络数据。

上述过程不仅可保证获得的域名的精确度，保证访问控制精度，而且省略了网络安全设备运行http代理解密https报文获取https报文中目的服务器域名的过程，简化了网络访问控制操作步骤，另外仅需维护域名-IP地址对应关系表即可，维护难度较低。

实施例二：客户端配置的DNS服务器与网络安全设备配置的DNS服务器位于不同运营商

在本实施例中，当客户端欲访问某个网络时，客户端便可基于DNS协议并通过网络安全设备获取与所要访问网络的域名对应的IP地址。其中，当网络安全设备接收并解析来自DNS服务器的DNS回复报文时，获取所要访问的域名与其IP地址的对应信息，并匹配记录在“域名-IP地址对应关系表”中，使基于该对应关系表实现对后续客户端发出的网络请求数据包的目的IP地址实现精确匹配。如此便可避免当客户端获取的所要访问域名对应的IP地址与网络安全设备获得的该域名对应IP地址不同而导致操作策略失效的问题发生。

其中，本申请各实施例中的预配置域名至少包括网络服务商的实际域名，每个预配置域名均与一操作策略匹配。该操作策略至少包括向匹配IP地址或预配置域名的网络设备发送网络请求数据包。

进一步地，实施例三，客户端要对某个网络服务商应用操作策略；

本实施例中的预配置域名还包括通配符。具体地，当网络安全设备管理员需要对某一网络服务商(例如baidu)应用操作策略时，可以配置带有通配符的策略域名(例如*.baidu.com)。客户端向DNS服务器发送域名请求报文，来自DNS服务器的DNS回复报文经过网络安全设备。网络安全设备解析该回复报文并将域名-IP地址对应关系记录到“域名-IP地址对应关系表”。网络安全设备转发该DNS回复报文到客户端。接着客户端根据获得的IP地址向网络服务商(例如baidu)发送网络请求数据包，网络安全设备根据网络数据包的目的IP地址从“域名-IP地址对应关系表”中查找匹配的域名，并将该域名与网络安全设备预配置的带通配符的域名做匹配，若匹配成功，则根据预设的策略动作对网络服务商(例如baidu)做处理。如此便可解决对同一个网络服务商的所有域名所在网络应用策略时需要配置所有域名(例如jingyan.baidu.com，zhidao.baidu.com，image.baidu.com...)的问题，因为在配置域名时很难包含该服务商的所有域名(例如news.baidu.com)，故本实施例通过在域名中配置通配符大幅降低了配置的复杂度，简化了操作。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的数据处理方法所应用于的电子设备，可以参考前述产品实施例中的对应描述，在此不再赘述。

以上实施例仅为本申请的示例性实施例，不用于限制本申请，本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内，对本申请做出各种修改或等同替换，这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (10)

1.一种网络访问控制方法，其特征在于，包括：

至少获得客户端基于目的IP地址发送的网络请求数据包；

基于所述网络请求数据包获得所述目的IP地址；

确定是否有与所述目的IP地址匹配的域名；

若有，则将所述域名与预配置域名进行匹配；

若具有匹配成功的预配置域名，则根据所述预配置域名对应的操作策略对所述网络请求数据包进行动作。

2.根据权利要求1所述的方法，其特征在于，所述确定是否有与所述目的IP地址匹配的域名包括：

基于域名-IP地址对应关系表确定是否有与所述目的IP地址匹配的域名。

3.根据权利要求2所述的方法，其特征在于，还包括：

获得所述客户端向域名服务器发送的域名请求报文；

向所述域名服务器转发所述域名请求报文；

接收所述域名服务器的回复报文；

发送所述回复报文到所述客户端，以使所述客户端基于所述回复报文中的IP地址发送所述网络请求数据包，其中，所述IP地址为所述目的IP地址。

4.根据权利要求3所述的方法，其特征在于，还包括：

基于所述回复报文获得对应所述域名的IP地址；

匹配记录所述域名及IP地址形成所述域名-IP地址对应关系表。

5.根据权利要求1所述的方法，其特征在于，所述预配置域名至少包括网络服务商的实际域名，每个所述预配置域名均与一所述操作策略匹配。

6.根据权利要求5所述的方法，其特征在于，所述预配置域名还包括通配符。

7.根据权利要求5所述的方法，其特征在于，所述操作策略至少包括向匹配所述目的IP地址或预配置域名的网络设备发送所述网络请求数据包。

8.一种网络访问控制装置，其特征在于，至少包括网络安全设备，其用于：

至少获得客户端基于目的IP地址发送的网络请求数据包；

基于所述网络请求数据包获得所述目的IP地址；

确定是否有与所述目的IP地址匹配的域名；

若有，则将所述域名与预配置域名进行匹配；

若具有匹配成功的预配置域名，则根据所述预配置域名对应的操作策略对所述网络请求数据包进行动作。

9.根据权利要求8所述的网络访问控制装置，其特征在于，所述网络安全设备还用于：

基于域名-IP地址对应关系表确定是否有与所述目的IP地址匹配的域名。

10.根据权利要求9所述的网络访问控制装置，其特征在于，所述网络安全设备还用于：

获得所述客户端向域名服务器发送的域名请求报文；

向域名服务器转发所述域名请求报文；

接收所述服务器的回复报文；

发送所述回复报文到所述客户端，以使所述客户端基于所述回复报文中的IP地址发送所述网络请求数据包，其中，所述IP地址为所述目的IP地址。