CN111865876A - 网络的访问控制方法和设备 - Google Patents
网络的访问控制方法和设备 Download PDFInfo
- Publication number
- CN111865876A CN111865876A CN201910354917.4A CN201910354917A CN111865876A CN 111865876 A CN111865876 A CN 111865876A CN 201910354917 A CN201910354917 A CN 201910354917A CN 111865876 A CN111865876 A CN 111865876A
- Authority
- CN
- China
- Prior art keywords
- domain name
- address
- request message
- local domain
- entry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/30—Types of network names
- H04L2101/33—Types of network names containing protocol addresses or telephone numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
Abstract
本申请提供了一种网络的访问控制的方法,在第二设备对所要访问的目标设备进行内部网络访问之前,首先通过域名请求报文携带的本地域名对第二设备进行认证,只有在该本地域名通过认证时,才将第二设备的IP地址与第二设备所要访问的目标设备的IP地址记录在转发信息中,以使得在接收到数据请求报文时,可以根据数据请求报文中携带的源IP地址、目的IP地址与转发信息,确定是否转发数据请求报文,从而降低内部网络面临的安全威胁。
Description
技术领域
本申请涉及信息技术领域,并且更具体地,涉及一种网络的访问控制方法和设备。
背景技术
随着网络的发展,作为企业、政府部门、校园内部网络的局域网安全面临的挑战越来越大。无论在局域网与互联网(Internet)的边界处部署功能多么强大的边界设备,该边界设备仍然存在被突破的可能。一旦边界设备被突破,边界设备所保护的内部网络就会变得不安全。蠕虫病毒可能在内部网络中传播,黑客有可能获得内部网络中主机的控制权,从而对局域网的安全构成威胁。
现有研究提出在内部网络中设置蜜罐系统,当黑客尝试访问内部网络时,通过蜜罐系统发现黑客的访问行为,获取蠕虫病毒的信息。这一技术的缺点是较为被动,只有被动地等待黑客和蠕虫病毒访问蜜罐系统而留下访问痕迹。通过蜜罐系统发现内部网络中存在的黑客活动和蠕虫病毒的概率较低,且无法防止蠕虫病毒在内部网络中扩散。
发明内容
本申请提供一种网络的访问控制方法,该方法能够降低内部网络面临的安全威胁。
第一方面,提供了一种网络的访问控制方法,该方法可以由内部网络中的第一设备执行,第一设备可以是内部网络中的转发设备包括:接收第二设备发送的第一域名请求报文,所述第一域名请求报文携带有源互联网协议IP地址与第一本地域名,所述第一本地域名用于指示所述内部网络中的除所述第二设备之外的另一个设备;判断所述第一本地域名是否通过认证;如果所述第一本地域名通过认证,生成转发信息的一个条目,所述条目包括所述源IP地址与所述第一本地域名对应的第一IP地址组成的地址对;接收所述第二设备发送的数据请求报文,所述数据请求报文携带有所述源IP地址与目的IP地址;根据所述源IP地址、所述目的IP地址与所述转发信息,确定是否转发所述数据请求报文,其中,所述数据请求报文用于访问所述内部网络。
基于上述技术方案,通过为内部网络中的计算机生成本地域名,在交换机接收到来自内网计算机的域名请求报文时,判断域名请求报文中携带的本地域名是否通过认证,只有在该本地域名通过认证的情况下,才会将该计算机的IP地址与该计算机所要访问的目标设备的IP地址记录在转发信息中,后续在交换机接收到数据请求报文时,可以根据数据请求报文中携带的源IP地址、目的IP地址与转发信息,确定是否转发数据请求报文,例如,当转发信息中记录有该数据请求报文中携带的源IP地址与目的IP地址时,交换机才会将该数据请求报文转发至目标设备,从而降低内部网络面临的安全威胁。
在一种可能的实现方式中,所述判断所述第一本地域名是否通过认证,包括:确定所述第一本地域名的字符串结构是否满足预设的命名规则;如果所述第一本地域名的字符串结构满足所述预设的命名规则,则确定所述第一本地域名通过认证。
基于上述技术方案,通过为内部网络中的计算机生成本地域名,并使得为内网计算机生成的本地域名的字符串结构满足预设的命名规则,在对第二设备进行认证时,通过确定第一本地域名的字符串结构是否满足预设的命名规则,来确定第二设备是否通过认证,例如,当第一本地域名的字符串结构满足预设的命名规则时,确定第二设备通过认证,将第二设备的IP地址与第二设备所要访问的目标设备的IP地址记录在转发信息中,以使得在接收到数据请求报文时,可以根据数据请求报文中携带的源IP地址、目的IP地址与转发信息,确定是否转发数据请求报文,从而降低内部网络面临的安全威胁。
在一种可能的实现方式中,所述第一IP地址是根据所述预设的命名规则从所述第一本地域名的字符串中截取的。
基于上述技术方案,通过将第一IP地址携带在第一本地域名中,使得当第一设备确定第二设备通过认证时,可以从第一本地域名中获取第一IP地址,将第二设备的IP地址与该第一IP地址记录在转发信息中,以使得在接收到数据请求报文时,可以根据数据请求报文中携带的源IP地址、目的IP地址与转发信息,确定是否转发数据请求报文,从而降低内部网络面临的安全威胁。
在一种可能的实现方式中,所述判断所述第一本地域名是否通过认证,包括:确定保存的参考信息中是否包括所述第一本地域名,所述参考信息中包括多个本地域名与多个IP地址,所述多个本地域名与所述多个IP地址之间为一一对应的关系;如果所述参考信息中包括所述第一本地域名,则确定所述第一本地域名通过认证,所述第一IP地址为所述参考信息中与所述第一本地域名存在对应关系的IP地址。
基于上述技术方案,通过在第一设备处预先保存参考信息,该参考信息中包括多个内网计算机的IP地址与为内网计算机生成的本地域名,使得第一设备在获取到域名请求报文携带的本地域名后,可以查看参考信息中是否包括该本地域名,当参考信息中包括该本地域名时,确定第二设备通过认证,并将参考信息中该本地域名对应的IP地址确定为第一IP地址,并将第二设备的IP地址与该第一IP地址记录在转发信息中,以使得在接收到数据请求报文时,可以根据数据请求报文中携带的源IP地址、目的IP地址与转发信息,确定是否转发数据请求报文,从而降低内部网络面临的安全威胁。
在一种可能的实现方式中,所述方法还包括:如果确定所述第一本地域名通过认证,所述方法还包括:生成第一域名请求响应报文,所述第一域名请求响应报文中携带有所述第一IP地址;向所述第二设备发送所述第一域名请求响应报文。
在一种可能的实现方式中,所述转发信息的每一个条目中还包括时间长度信息,所述时间长度信息用于指示所述条目的有效时间长度,所述方法还包括:针对每一个条目,确定当前时间长度是否大于所述地址对对应的有效时间长度,所述当前时间长度的计时起始时刻为所述条目的生成时间;如果所述当前时间长度大于所述地址对对应的有效时间长度,删除所述条目。
基于上述技术方案,通过在转发信息中记录每个条目对应的有效时间长度,使得第一设备可以根据每个条目对应的有效时间长度,对记录在转发信息中的条目进行管理。例如,在确定当前时间长度大于条目对应的有效时间长度时,删除转发信息中该条目。
在一种可能的实现方式中,所述根据所述源IP地址、所述目的IP地址与所述转发信息,确定是否转发所述数据请求报文,包括:确定所述转发信息中是否包括所述源IP地址与所述目的IP地址组成的地址对;如果所述转发信息中包括所述源IP地址与所述目的IP地址组成的地址对,转发所述数据请求报文;或,如果所述转发信息中不包括所述源IP地址与所述目的IP地址组成的地址对,将所述数据请求报文发送至诱捕系统,或者,丢弃所述数据请求报文。
基于上述技术方案,通过根据数据请求报文中携带的源IP地址、目的IP地址与转发信息,确定是否转发数据请求报文,例如,当接收到的数据请求报文携带的源IP地址与目的IP地址被记录在转发信息中时,才会将该数据请求报文进行转发,当接收到的数据请求报文携带的源IP地址与目的IP地址没有被记录在转发信息中时,不会转发该数据请求报文(例如,将数据请求报文发送至诱捕系统,或者,丢弃数据请求报文),从而降低内部网络面临的安全威胁。
在一种可能的实现方式中,所述方法还包括:接收所述第二设备发送的第二域名请求报文,所述第二域名请求报文携带有所述源IP地址与外部网络中的域名;向域名解析设备发送所述第二域名请求报文。
在一种可能的实现方式中,所述方法还包括:接收所述域名解析设备返回的第二域名请求响应报文,所述第二域名请求响应报文携带有所述外部网络的IP地址;向所述第二设备发送所述第二域名请求响应报文。
在一种可能的实现方式中,所述方法还包括:根据所述外部网络的域名,生成所述转发信息的一个条目,所述条目包括所述源IP地址与所述外部网络的IP地址组成的地址对。基于上述技术方案,通过在转发信息中记录第二设备的IP地址(例如,源IP地址)与第二设备所要访问的外部网络的IP地址,使得当第二设备要访问外部网络时,第二设备在接收到来自第二设备的访问外部网络的数据访问请求时,能够根据转发信息中记录的第二设备的IP地址与外部网络的IP地址,将该数据请求报文转发至外部网络,从而在防止内部网络被网络入侵者攻击的同时,保证第二设备与外部网络间的正常通信。
在一种可能的实现方式中,在接收到所述第一域名请求报文之后,生成所述转发信息的一个条目之前,所述方法还包括:获取访问控制信息,所述访问控制信息用于指示需要进行访问控制的设备的IP地址;根据所述访问控制信息与所述第一域名请求报文的源IP地址,确定所述第二设备为需要进行访问控制的设备;和/或,接收到所述第二域名请求报文之后,生成所述转发信息的一个条目之前,所述方法还包括:获取访问控制信息,所述访问控制信息用于指示需要进行访问控制的设备的IP地址;根据所述访问控制信息与所述第二域名请求报文的源IP地址,确定所述第二设备为需要进行访问控制的设备。
第二方面,本申请实施例提供了一种网络的访问控制设备,该设备具有实现上述第一方面、或上述第一方面的任意一种可能的实现方式所述方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
第三方面,本申请实施例提供了一种通信系统,该系统包括第一设备和至少一个第二设备,任意两个第二设备之间通过第一设备进行通信。第一设备用于执行上述第一方面、或上述第一方面的任意一种可能的实现方式所述方法。
第四方面,本申请实施例提供了一种计算机存储介质,用于储存为第一设备所用的计算机软件指令,当该计算机软件指令在计算机上运行时,使得计算机执行上述各方面所述的方法。
第五方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第一方面或第一方面的各种可能的实现方式所述的方法。
附图说明
图1是适用于本申请实施例的网络系统的示意图;
图2是本申请实施例提供的网络的访问控制的方法的示意性流程图;
图3是本申请实施例提供的另一网络的访问控制的方法的示意性流程图;
图4为本申请实施例提供的第一设备的示意性框图;
图5为本申请实施例提供的第一设备的另一示意性框图。
具体实施方式
下面将结合附图,对本申请实施例提供的技术方案进行描述。本申请实施例描述的网络系统以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络系统的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请中的“1”、“2”、“3”、“第一”、“第二”以及“第三”等序数词用于对多个对象进行区分,不用于限定多个对象的顺序。
下面结合图1对本申请实施例的应用场景进行介绍。图1示出的网络系统中由外部网络(例如,互联网(internet))、内部网络以及办公区域组成,其中,办公区域通过路由器分别与外部网络、内部网络进行通信,防火墙用于保护内部网络,以防止内部网络遭受外部网络的攻击。
外部网络中包括n(n大于或等于2)个服务器,n个外部网络中的服务器(以下简称“外网服务器”)中的一个服务器作为域名命名系统(domain name system,DNS)服务器使用,其他服务器可以为Web服务器,即时通讯服务器等等。
内部网络中包括m(m大于或等于2)个计算机,m个内部网络中的计算机(以下简称“内网计算机”),该内网计算机之间可以相互访问,此外,内网计算机还可以对外部网络进行访问。
目前,随着网络的发展,作为企业、政府部门、校园内部网络的局域网安全面临的挑战越来越大。无论在局域网与互联网(Internet)的边界处部署功能多么强大的边界设备,该边界设备仍然存在被突破的可能。一旦边界设备被突破,边界设备所保护的内部网络就会变得不安全。蠕虫病毒可能在内部网络中传播,黑客有可能获得内部网络中主机的控制权,从而对局域网的安全构成威胁。
有鉴于此,本申请提供了一种网络的访问控制方法,该方法为内部网络中的计算机生成本地域名。在交换机接收到来自内网计算机的域名请求报文时,判断域名请求报文中携带的本地域名是否通过认证。只有在该本地域名通过认证的情况下,交换机才会将该计算机的互联网协议(internet protocol,IP)地址与该计算机所要访问的目标设备的IP地址记录在转发信息中。后续在交换机接收到数据请求报文时,可以根据数据请求报文中携带的源IP地址、目的IP地址与转发信息,确定是否转发数据请求报文,例如,当转发信息中记录有该数据请求报文中携带的源IP地址与目的IP地址时,交换机才会将该数据请求报文转发至目标设备,从而降低内部网络面临的安全威胁。
需要说明的是,在本申请中,当内网计算机访问内部网络时,内网计算机发送的域名请求报文中携带的域名为该内网计算机所要访问的另一内网计算机的本地域名,当交换机确定该本地域名通过认证后,交换机可以基于多播域名命名系统(multicast DNS,MDNS)协议或链路本地多播名称解析(link-local multicast name resolution,LLMNR)协议对该本地域名进行解析,以获得该另一内网计算机的IP地址,并将该IP地址携带在域名请求响应报文中返回至该内网计算机。当内网计算机访问外部网络时,内网计算机发送的域名请求报文中携带的域名为该内网计算机所要访问的外部网络的域名,当交换机确定该外部网络的域名并非本地域名后,交换机可以将该域名请求报文转发至域名命名系统(domainname system,DNS)服务器,DNS服务器基于DNS协议对该外部网络的域名进行解析,以获得该外部网络的IP地址,并将该IP地址携带在域名请求响应报文中返回至该内网计算机。
上述DNS协议是实现公网(公网是相对于内部网络而言的)IP地址与外部网络的域名之间的映射的,而MDNS、LLMNR是实现本地域名与内部网络IP地址映射的。
下面对本申请的一个实施例提供的网络的访问控制的方法200进行详细说明,图2示出了方法200的示意性流程图,该方法可以应用于图1所示的网络架构中。
S201,第一设备接收第二设备发送的第一域名请求报文,该第一域名请求报文携带有源IP地址与第一本地域名,该第一本地域名用于指示内部网络中的除该第二设备之外的另一个设备。其中,第一设备可以是内部网络中的转发设备。
S202,第一设备判断第一本地域名是否通过认证。
S203,如果第一本地域名通过认证,第一设备生成转发信息的一个条目,该条目包括该源IP地址与第一本地域名对应的第一IP地址组成的地址对。
S204,第一设备接收第二设备发送的数据请求报文,该数据请求报文携带有该源IP地址与目的IP地址;
S205,第一设备根据该源IP地址、该目的IP地址与该转发信息,确定是否转发该数据请求报文,其中,该数据请求报文用于访问该内部网络。
具体地,在S201中,在内网计算机进行数据访问之前(例如,内网计算机1(例如,第二设备)要对内网计算机4进行数据访问),此时内网计算机1可以经过第一设备(例如,交换机)向DNS服务器发送域名请求报文(例如,第一域名请求报文),该第一域名请求报文中携带有内网计算机1的IP地址(例如,源IP地址)与为内网计算机4的分配的本地域名(例如,第一本地域名),该第一本地域名可以指示内部网络中的除该第二设备之外的另一个设备(例如,内网计算机4)。
在本申请实施例中,为内网计算机配置一个本地域名,并且通过域名请求报文中携带的本地域名,对发送该域名请求报文的内网计算机进行认证。例如,在S202中,当内网计算机1发送的第一域名请求报文被交换机接收到时,交换机可以确定第一域名请求报文携带的第一本地域名是否通过认证,换句话说,通过确定第一本地域名是否通过认证来确定内网计算机1是否是安全的。在S203中,如果交换机确定该第一域名请求报文携带的第一本地域名通过认证,交换机会将该内网计算机1的IP地址与该第一本地域名对应的第一IP地址记录在转发信息的一个条目中。其中,第一本地域名对应的第一IP地址可以是内网计算机1所要访问的目标设备(例如,内网计算机4)的IP地址。
示例性地,S202可以包括:
S2021,内网计算机1在判断第一本地域名是否通过认证时,可以确定第一本地域名的字符串结构是否满足预设的命名规则。
S2022,如果第一本地域名的字符串结构满足该预设的命名规则,则内网计算机1可以确定第一本地域名通过认证。
例如,该预设的命名规则所限定的本地域名的形式可以如下所示:
规则1,IP地址+后缀字符串;
规则2,前缀字符串+IP地址;
规则3,前缀字符串+IP地址+后缀字符串;
规则4,IP地址的‘.’用‘-’替换;
规则5,IP地址+后缀字符串,用‘-’替换IP地址的‘.’;
规则6,前缀字符串+IP地址,用‘-’替换IP地址的‘.’;
规则7,前缀字符串+IP地址+后缀字符串,用‘-’替换IP地址的‘.’。
例如,当该IP地址为10.1.1.3,上述命名规则规定上述前缀字符串为“abc”,规定上述后缀字符串为“com”时,此时,满足上述命名规则的本地域名的形式可以如下所示:
规则1,10.1.1.3.com;
规则2,abc.10.1.1.3;
规则3,abc.10.1.1.3.com;
规则4,10-1-1-3;
规则5,10-1-1-3-com;
规则6,abc-10-1-1-3;
规则7,abc-10-1-1-3-com。
交换机接收到第一域名请求报文时,可以确定该第一本地域名的字符串结构是否满足上述规则1至规则7中任一种预设的规则,如果该第一本地域名的字符串结构满足规则1至规则7中任一种预设的规则,交换机可以确定第一本地域名通过认证,即确定该第一域名请求报文的发送方(例如,内网计算机1)是安全的。此时,在S203中,交换机可以将第一域名请求报文中携带的源IP地址与第一本地域名对应的第一IP地址记录在转发信息的一个条目中,使得该转发信息中包括该源IP地址与该第一IP地址组成的地址对。
第一本地域名对应的第一IP地址是可以按照上述命名规则携带在第一本地域名中的IP地址,例如,交换机接收到来自内网计算机1的第一域名请求报文中携带的第一本地域名为abc.10.1.1.3,则第一本地域名中的IP地址10.1.1.3为第一IP地址,交换机确定该第一本地域名的字符串结构满足预设的命名规则,则可以将第一域名请求报文中携带的源IP地址与第一本地域名中携带的第一IP地址记录在转发信息的一个条目中。
当交换机确定该第一本地域名的字符串结构满足预设的规则时,交换机除了将第一域名请求报文中携带的源IP地址与第一本地域名中携带的第一IP地址记录在转发信息的一个条目中以外,还可以为每个条目生成时间长度信息,每个时间长度信息用于指示相应条目的有效时间长度。交换机可以将每个条目的时间长度信息记录在该条目中,并且使得每个条目与该条目对应的时间长度信息之间存在对应关系,例如,当转发信息为控制允许访问表时,为了使得每个条目与该条目对应的时间长度信息之间存在对应关系,可以将每个条目与该条目对应的时间长度信息记录在控制允许访问表的同一行或同一列。
例如,交换机接收到的另一域名请求报文中携带的本地域名为10.1.1.3,交换机确定该本地域名的字符串结构并不满足预设的命名规则,认为该本地域名未通过认证,此时,交换机不会在转发信息中添加该域名请求报文对应的条目。
对于转发信息中的每一个条目,当该条目中包括时间长度信息时,此时,方法200还可以包括:交换机针对每一个条目,确定当前时间长度是否大于该条目对应的有效时间长度,该当前时间长度的计时起始时刻为该条目的生成时间;如果该当前时间长度长大于该条目对应的有效时间长度,删除该条目。
具体地,交换机可以根据转发信息中包括的时间长度信息,对转发信息中记录的条目进行管理。
例如,交换机可以将当前时间长度与条目对应的有效时间长度进行比较,该当前时间长度的计时起始时刻可以为该条目的生成时间。例如,当交换机在转发信息中新增一个条目时,交换机可以控制定时器启动,该定时器启动后记录的便是当前时间长度。
如果当前时间长度大于该条目对应的有效时间长度,交换机可以认为该条目已经过期,此时,交换机可以删除转发信息中记录的已经过期的条目,从而对转发信息中记录的条目进行管理。
示例性地,在S204中,内部网络中的内网计算机1要对内网计算机4进行数据访问,此时,内网计算机1可以向内网计算机4发送数据请求报文,该数据请求报文中携带有源IP地址与目的IP地址,其中,源IP地址可以为内网计算机1的IP地址,目的IP地址可以为内网计算机4的IP地址。
该数据请求报文被内网计算机1发送出去之后,首先会到达交换机处,交换机接收到该数据请求报文后,需要进一步确定内网计算机1与内网计算机4之间的通信是否被允许,只有在内网计算机1与内网计算机4之间的通信被允许的情况下,交换机才会将该数据请求报文转发至内网计算机4。
在S205中,交换机在确定内网计算机1与内网计算机4之间的通信是否被允许时,可以根据该数据请求报文中携带的源IP地址、目的IP地址与在S203中生成的转发信息,确定是否转发该数据请求报文。
例如,上述转发信息可以是交换机在本地生成的一张表格(例如,控制允许访问表),该表格中记录了至少一个条目。只有当转发信息中包括该源IP地址与该目的IP地址组成的地址对的情况下,交换机才可以确定内网计算机1与内网计算机4之间的通信是被允许的,此时,交换机才会将该数据请求报文转发至内网计算机4.
如果到达交换机的数据请求报文携带的源IP地址与目的IP地址组成的地址对并没有被记录在转发信息中,则转发节点可以认为该数据请求报文有可能是网络入侵者(例如,病毒)伪造的报文,此时,交换机可以将该数据请求报文发送至诱捕系统,或者直接丢弃该数据请求报文。
例如,交换机接收到的数据请求报文携带的源IP地址与目的IP地址并没有被记录在转发信息中,其中,源IP地址可以为该数据请求报文的发送方的IP地址,该目的IP地址可以是该数据请求报文的目标方的IP地址。
则转发节点可以认为该数据请求报文有可能是网络入侵者(例如,病毒)伪造的报文,此时,交换机可以根据本地生成的封装信息,为该数据请求报文确定隧道封装信息,其中,该隧道封装信息中包括至少一个地址对与至少一个隧道封装信息,并且该至少一个地址对与至少一个隧道封装信息之间存在一一对应的关系,交换机可以使用封装信息中与该源IP地址与该目的IP地址组成的地址对存在对应关系的隧道封装信息对该数据请求报文进行封装,最终将封装后的该数据请求报文发送至诱捕系统。
示例性地,在第一设备(例如,交换机)接收到域名请求报文(例如,第一域名请求报文)之后,生成转发信息的一个条目之前,方法200还可以包括:交换机获取访问控制信息,该访问控制信息用于指示需要进行访问控制的设备的IP地址;交换机根据该访问控制信息与该接收到的域名请求报文的源IP地址,确定第二设备(例如,内网计算机1)为需要进行访问控制的设备。
具体地,交换机在接收到域名请求报文后,可以先查看访问控制信息,该访问控制信息中记录了需要进行访问控制的设备IP地址,例如,该访问控制信息中记录了需要进行访问控制的设备的IP地址的范围。交换机在接收到域名请求报文后,在对域名请求报文中携带的本地域名进行认证之前,交换机可以先查看访问控制信息,以确定该域名请求报文中携带的源IP地址是否落入访问控制信息中记录的源IP地址的范围,如果该域名请求报文中携带的源IP地址落入访问控制信息中记录的源IP地址的范围,则交换机需要进一步确定该域名请求报文中携带的本地域名是否通过认证,否则交换机仅对该域名请求报文做转发处理。
示例性地,当交换机确定发送第一域名请求报文携带的第一本地域名通过认证时,交换机可以将第一本地域名对应的第一IP地址返回至内网计算机1,以便内网计算机1后续对IP地址为该第一IP地址的设备进行数据访问。此时,方法200还可以包括:第一设备(例如,交换机)生成第一域名请求响应报文,该第一域名请求响应报文中携带有该第一IP地址;第一设备向第二设备(例如,内网计算机1)发送该第一域名请求响应报文。
示例性地,对于交换机而言,其接收到的报文可能不全是域名请求报文,例如,交换机接收到的报文有可能是数据请求报文或域名请求响应报文,在这种情况下,交换机在接收到报文时(例如,域名请求报文、数据请求报文或域名请求响应报文),还需要判断接收到的报文属于哪种报文(即,确定报文的类型),只有在交换机确定接收到的报文是域名请求报文时,交换机才会利用域名请求报文中携带的本地域名对域名请求报文的发送方进行认证。
例如,交换机可以根据接收到的报文中携带的协议类型确定报文的类型。例如,交换机接收到的报文携带的协议类型为传输控制协议(transmission control protocol,TCP),则交换机可以认为该报文是数据请求报文;交换机接收到的报文携带的协议类型为用户数据报协议(user datagram protocol,UDP),则交换机可以认为该报文是域名请求报文或域名请求响应报文。
此时,交换机还可以进一步根据报文中携带的端口信息(例如,端口号)确定报文的类型。例如,当交换机接收到的报文携带的协议类型为UDP时,如果该报文携带的目的端口号为53,则交换机可以认为该报文是发往DNS服务器的域名请求报文;当交换机接收到的报文携带的协议类型为UDP时,如果该报文携带的源端口号为53,则交换机可以认为该报文是来自于DNS服务器的域名请求响应报文。
需要说明的是,交换机还可以仅根据报文中携带的端口信息(例如,端口号)确定报文的类型。例如,交换机接收到的报文携带的目的端口号为53,则交换机可以认为该报文是发往DNS服务器的域名请求报文;交换机接收到的报文携带的源端口号为53,则交换机可以认为该报文是来自于DNS服务器的域名请求响应报文。
示例性地,内网计算机之间可以通过内部网络进行通信,其次,每个内网计算机还可以对外部网络(例如,百度)进行访问,无论是内部网络访问还是外部网络访问,内网计算机发送出去的数据请求报文均需要经过交换机转发。根据本申请实施例前面的描述,交换机在接收到数据请求报文时,会确定转发信息中是否包括数据请求报文中携带的源IP地址与目的IP地址,因此,当内网计算机发送的数据请求报文用于访问外部网络时,如果转发信息中不包括该数据请求报文中携带的源IP地址与目的IP地址,则会影响内网计算机与外部网络间的正常通信。
因此,为了在防止内部网络被网络入侵者攻击的同时,保证内网计算机与外部网络间的正常通信,转发信息中还可以包括内网计算机的IP地址(例如,源IP地址)与该内网计算机要访问的外网服务器的IP地址(例如,目的IP地址)。
例如,内网计算机1要访问外部网络时,其首先需要向域名解析设备(例如,DNS服务器)发送域名请求报文(例如,第二域名请求报文),该第二域名请求报文携带的域名可以为该外部网络的域名,例如,当内网计算机1要访问的外部网络为百度时,该第二域名请求报文携带的域名为www.baidu.com,携带的源IP地址为内网计算机1的IP地址。该第二域名请求报文首先被交换机接收,交换机可以确定该第二域名请求报文中携带的域名并非本地域名,此时,交换机会将该第二域名请求报文转发至DNS服务器。
DNS服务器会对该第二域名请求报文进行解析,获得第二域名请求报文所请求的百度服务器的IP地址(例如,外部网络的IP地址),并生成第二域名请求响应报文,该第二域名请求响应报文携带有百度服务器的IP地址,DNS服务器最终将第二域名请求响应报文通过交换机发送至内网计算机1.
当交换机接收到DNS服务器返回的百度服务器的IP地址时,交换机会将该源IP地址与该百度服务器的IP地址组成的地址对记录在转发信息的一个条目中,便于内网计算机1后续对百度进行访问。
需要说明的是,在本申请实施例中,当域名请求报文到达交换机时,如果交换机确定获取到的域名请求报文携带的域名属于本地域名时,交换机会对该域名请求报文进行拦截,由交换机判断该本地域名是否通过认证,换句话说,交换机不会将该域名请求报文转发至相应的域名解析设备。
下面对本申请的另一个实施例提供的网络的访问控制的方法300进行详细说明,图3示出了方法300的示意性流程图,该方法可以应用于图1所示的网络架构中。
方法300包括S301至S305,其中,S301的具体实现请参考方法200中的S201,S303的具体实现请参考方法200中的S203,S304的具体实现请参考方法200中的S204,S305的具体实现请参考方法200中的S205,为了简洁,此处不再赘述。下面对方法300中的S302进行详细说明。
S302,第一设备(例如,交换机)判断第一本地域名是否通过认证。
示例性地,S302可以包括:
S3021,第一设备确定保存的参考信息中是否包括该第一本地域名,该参考信息中包括多个本地域名与多个IP地址,该多个本地域名与该多个IP地址之间为一一对应的关系。
S3022,如果该参考信息中包括该第一本地域名,则确定该第一本地域名通过认证,该第一IP地址为该参考信息中与该第一本地域名存在对应关系的IP地址。
具体地,内网计算机1发出的第一域名请求报文可以携带有第一本地域名与源IP地址,交换机接收到内网计算机1发送的第一域名请求报文后,可以查看本地生成的参考信息中是否记录有该第一本地域名,其中,该参考信息中包括多个本地域名与多个IP地址,该多个本地域名与该多个IP地址之间为一一对应的关系,如果该参考信息中包括该第一本地域名,交换机可以将该参考信息中与该第一本地域名存在对应关系的IP地址确定为第一IP地址,并将第一域名请求报文中携带的源IP地址与从参考信息中确定的第一IP地址记录在转发信息的一个条目中,使得该转发信息中包括该源IP地址与该第一IP地址组成的地址对。
例如,可以为内部网络中的每个内网计算机生成与该内网计算机的IP地址存在对应关系的一个本地域名,将每个内网计算机的IP地址与该IP地址对应的本地域名记录在参考信息中,并且保存在交换机处。交换机在接收到第一域名请求报文时,可以在参考信息中查找该第一域名请求报文中携带的第一本地域名,如果在参考信息中查找到了该第一本地域名,交换机可以确定该第一本地域名通过了认证,即确定该第一域名请求报文的发送方(例如,内网计算机1)是安全的,此时,交换机可以将参考信息中与该第一本地域名存在对应关系的IP地址确定为第一IP地址,并将域名请求报文中携带的源IP地址与从参考信息中确定的第一IP地址记录在转发信息的一个条目中。
当交换机在参考信息中查找到了第一域名请求报文携带的第一本地域名时,交换机除了将第一域名请求报文中携带的源IP地址与从参考信息中确定的第一IP地址记录在转发信息的一个条目中以外,还可以为每个条目生成时间长度信息,每个时间长度信息用于指示相应条目的有效时间长度。交换机可以将每个条目的时间长度信息记录在该条目中,并且使得每个条目与该条目对应的时间长度信息之间存在对应关系,例如,当转发信息为控制允许访问表时,为了使得每个条目与该条目对应的时间长度信息之间存在对应关系,可以将每个条目与该条目对应的时间长度信息记录在控制允许访问表的同一行或同一列。
对于转发信息中的每一个条目,当该条目中包括时间长度信息此时,方法300还可以包括:交换机针对每一个条目,确定当前时间长度是否大于该条目对应的有效时间长度,该当前时间长度的计时起始时刻为该条目的生成时间;如果该当前时间长度长大于该条目对应的有效时间长度,删除该条目。
具体地,交换机可以根据转发信息中包括的时间长度信息,对转发信息中记录的条目进行管理。
例如,交换机可以将当前时间长度与条目对应的有效时间长度进行比较,该当前时间长度的计时起始时刻可以为该条目的生成时间。例如,当交换机在转发信息中新增一个条目时,交换机可以控制定时器启动,该定时器启动后记录的便是当前时间长度。
如果当前时间长度大于该条目对应的有效时间长度,交换机可以认为该条目已经过期,此时,交换机可以删除转发信息中记录的已经过期的条目,从而对转发信息中记录的条目进行管理。
此外,交换机还可以对保存的参考信息进行更新,例如,可以定时更新参考信息中记录的每个IP地址对应的本地域名,对于每个IP地址与该IP地址对应的本地域名,可以将更新该IP地址对应的本地域名的时间长度信息记录在参考信息中。
例如,参考信息可以表示如下:
IP地址本地域名时间长度信息
例如,对于参考信息中的IP地址10.1.1.1,更新之前其对应的本地域名为abc,时间长度信息用于指示300秒后会更新该IP地址10.1.1.1对应的本地域名。
示例性地,在第一设备(例如,交换机)接收到域名请求报文(例如,第一域名请求报文)之后,生成转发信息的一个条目之前,方法300还可以包括:交换机获取访问控制信息,该访问控制信息用于指示需要进行访问控制的设备的IP地址;交换机根据该访问控制信息与该接收到的域名请求报文的源IP地址,确定第二设备(例如,内网计算机1)为需要进行访问控制的设备。
具体地,交换机在接收到域名请求报文后,可以先查看访问控制信息,该访问控制信息中记录了需要进行访问控制的设备IP地址,例如,该访问控制信息中记录了需要进行访问控制的设备的IP地址的范围。交换机在接收到域名请求报文后,在对域名请求报文中携带的本地域名进行认证之前,交换机可以先查看访问控制信息,以确定该域名请求报文中携带的源IP地址是否落入访问控制信息中记录的源IP地址的范围,如果该域名请求报文中携带的源IP地址落入访问控制信息中记录的源IP地址的范围,则交换机需要进一步确定该域名请求报文中携带的本地域名是否通过认证,否则交换机仅对该域名请求报文做转发处理。
示例性地,当交换机确定发送第一域名请求报文携带的第一本地域名通过认证时,交换机可以将第一本地域名对应的第一IP地址返回至内网计算机1,以便内网计算机1后续对IP地址为该第一IP地址的设备进行数据访问。此时,方法300还可以包括:第一设备(例如,交换机)生成第一域名请求响应报文,该第一域名请求响应报文中携带有该第一IP地址;第一设备向第二设备(例如,内网计算机1)发送该第一域名请求响应报文。
示例性地,对于交换机而言,其接收到的报文可能不全是域名请求报文,例如,交换机接收到的报文有可能是数据请求报文或域名请求响应报文,在这种情况下,交换机在接收到报文时(例如,域名请求报文、数据请求报文或域名请求响应报文),还需要判断接收到的报文属于哪种报文(即,确定报文的类型),只有在交换机确定接收到的报文是域名请求报文时,交换机才会利用域名请求报文中携带的本地域名对域名请求报文的发送方进行认证。
例如,交换机可以根据接收到的报文中携带的协议类型确定报文的类型。例如,交换机接收到的报文携带的协议类型为传输控制协议(transmission control protocol,TCP),则交换机可以认为该报文是数据请求报文;交换机接收到的报文携带的协议类型为用户数据报协议(user datagram protocol,UDP),则交换机可以认为该报文是域名请求报文或域名请求响应报文。
此时,交换机还可以进一步根据报文中携带的端口信息(例如,端口号)确定报文的类型。例如,当交换机接收到的报文携带的协议类型为UDP时,如果该报文携带的目的端口号为53,则交换机可以认为该报文是发往DNS服务器的域名请求报文;当交换机接收到的报文携带的协议类型为UDP时,如果该报文携带的源端口号为53,则交换机可以认为该报文是来自于DNS服务器的域名请求响应报文。
需要说明的是,交换机还可以仅根据报文中携带的端口信息(例如,端口号)确定报文的类型。例如,交换机接收到的报文携带的目的端口号为53,则交换机可以认为该报文是发往DNS服务器的域名请求报文;交换机接收到的报文携带的源端口号为53,则交换机可以认为该报文是来自于DNS服务器的域名请求响应报文。
示例性地,内网计算机之间可以通过内部网络进行通信,其次,每个内网计算机还可以对外部网络(例如,百度)进行访问,无论是内部网络访问还是外部网络访问,内网计算机发送出去的数据请求报文均需要经过交换机转发。根据本申请实施例前面的描述,交换机在接收到数据请求报文时,会确定转发信息中是否包括数据请求报文中携带的源IP地址与目的IP地址,因此,当内网计算机发送的数据请求报文用于访问外部网络时,如果转发信息中不包括该数据请求报文中携带的源IP地址与目的IP地址,则会影响内网计算机与外部网络间的正常通信。
因此,为了在防止内部网络被网络入侵者攻击的同时,保证内网计算机与外部网络间的正常通信,转发信息中还可以包括内网计算机的IP地址(例如,源IP地址)与该内网计算机要访问的外网服务器的IP地址(例如,目的IP地址)。
例如,内网计算机1要访问外部网络时,其首先需要向域名解析设备(例如,DNS服务器)发送域名请求报文(例如,第二域名请求报文),该第二域名请求报文携带的域名可以为该外部网络的域名,例如,当内网计算机1要访问的外部网络为百度时,该第二域名请求报文携带的域名为www.baidu.com,携带的源IP地址为内网计算机1的IP地址。该第二域名请求报文首先被交换机接收,交换机可以确定该第二域名请求报文中携带的域名并非本地域名,此时,交换机会将该第二域名请求报文转发至DNS服务器。
DNS服务器会对该第二域名请求报文进行解析,获得第二域名请求报文所请求的百度服务器的IP地址(例如,外部网络的IP地址),并生成第二域名请求响应报文,该第二域名请求响应报文携带有百度服务器的IP地址,DNS服务器最终将第二域名请求响应报文通过交换机发送至内网计算机1.
当交换机接收到DNS服务器返回的百度服务器的IP地址时,交换机会将该源IP地址与该百度服务器的IP地址组成的地址对记录在转发信息的一个条目中,便于内网计算机1后续对百度进行访问。
需要说明的是,在本申请实施例中,当域名请求报文到达交换机时,如果交换机确定获取到的域名请求报文携带的域名属于本地域名时,交换机会对该域名请求报文进行拦截,由交换机判断该本地域名是否通过认证,换句话说,交换机不会将该域名请求报文转发至相应的域名解析设备。
应理解,上述只是为了帮助本领域技术人员更好地理解本申请实施例,而非要限制本申请实施例的范围。本领域技术人员根据所给出的上述示例,显然可以进行各种等价的修改或变化,例如,上述方法的各个实施例中某些步骤可以不是必须的,或者可以新加入某些步骤等。或者上述任意两种或者任意多种实施例的组合。这样的修改、变化或者组合后的方案也落入本申请实施例的范围内。
还应理解,上文对本申请实施例的描述着重于强调各个实施例之间的不同之处,未提到的相同或相似之处可以互相参考,为了简洁,这里不再赘述。
还应理解,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
还应理解,本申请实施例中的方式、情况、类别以及实施例的划分仅是为了描述的方便,不应构成特别的限定,各种方式、类别、情况以及实施例中的特征在不矛盾的情况下可以相结合。
还应理解,在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
图4是本申请提供的一种网络的访问控制设备300的结构示意图。
可选地,具有图3所示结构的网络的访问控制设备是图2或图3中的第一设备。第一设备包括至少一个处理器401、存储器402、网络接口403,处理器401、存储器402和网络接口403通过总线404相互连接。
至少一个处理器401可以是一个或多个CPU,该CPU可以是单核CPU,也可以是多核CPU。
存储器402包括但不限于是随机存取存储器(random access memory,RAM)、只读存储器(read only memory,ROM)、可擦除可编程只读存储器(erasable programmableread-only memory,EPROM或者快闪存储器)、或便携式只读光盘(compact disc read-onlymemory,CD-ROM)。存储器302中保存有操作系统的代码、以及实现本申请提供的方法的程序代码。
网络接口403可以是有线接口,例如光纤分布式数据接口(fiber distributeddata interface,FDDI)、千兆以太网(gigabit ethernet,GE)接口;网络接口403也可以是无线接口。网络接口403用于接收第二设备发送的第一域名请求报文,所述第一域名请求报文携带有源互联网协议IP地址与第一本地域名,所述第一本地域名用于指示所述内部网络中的除所述第二设备之外的另一个设备。
处理器401用于读取存储器402中存储的程序代码后,使得第一设备(可选地,是第一设备中的处理器401)执行以下操作:判断所述第一本地域名是否通过认证。如果所述第一本地域名通过认证,第一设备还用于生成转发信息的一个条目,所述条目包括所述源IP地址与所述第一本地域名对应的第一IP地址组成的地址对。
网络接口403还用于接收所述第二设备发送的数据请求报文,所述数据请求报文携带有所述源IP地址与目的IP地址;根据所述源IP地址、所述目的IP地址与所述转发信息,确定是否转发所述数据请求报文,其中,所述数据请求报文用于访问所述内部网络。
可选地,处理器401还用于确定所述第一本地域名的字符串结构是否满足预设的命名规则;如果所述第一本地域名的字符串结构满足所述预设的命名规则,则确定所述第一本地域名通过认证。
可选地,第一IP地址是根据所述预设的命名规则从所述第一本地域名的字符串中截取的。
可选地,处理器401还用于确定保存的参考信息中是否包括所述第一本地域名,所述参考信息中包括多个本地域名与多个IP地址,所述多个本地域名与所述多个IP地址之间为一一对应的关系;如果所述参考信息中包括所述第一本地域名,则确定所述第一本地域名通过认证,所述第一IP地址为所述参考信息中与所述第一本地域名存在对应关系的IP地址。
可选地,第一设备还用于生成第一域名请求响应报文,所述第一域名请求响应报文中携带有所述第一IP地址。
网络接口403还用于向所述第二设备发送所述第一域名请求响应报文。
可选地,所述转发信息的每一个条目中还包括时间长度信息,所述时间长度信息用于指示所述条目的有效时间长度,第一设备还用于针对每一个条目,确定当前时间长度是否大于所述地址对对应的有效时间长度,所述当前时间长度的计时起始时刻为所述条目的生成时间;如果所述当前时间长度大于所述地址对对应的有效时间长度,删除所述条目。
可选地,第一设备还用于确定所述转发信息中是否包括所述源IP地址与所述目的IP地址组成的地址对;如果所述转发信息中包括所述源IP地址与所述目的IP地址组成的地址对,转发所述数据请求报文;或,如果所述转发信息中不包括所述源IP地址与所述目的IP地址组成的地址对,将所述数据请求报文发送至所述内部网络中的诱捕系统,或者,丢弃所述数据请求报文。
可选地,网络接口403还用于接收所述第二设备发送的第二域名请求报文,所述第二域名请求报文携带有所述源IP地址与外部网络中的域名。
网络接口403还用于向域名解析设备发送所述第二域名请求报文
可选地,网络接口403还用于接收所述域名解析设备返回的第二域名请求响应报文,所述第二域名请求响应报文携带有所述外部网络的IP地址。
网络接口403还用于向所述第二设备发送所述第二域名请求响应报文。
可选地,第一设备还用于根据所述外部网络的域名,生成所述转发信息的一个条目,所述条目包括所述源IP地址与所述外部网络的IP地址组成的地址对。
可选地,第一设备还用于获取访问控制信息,所述访问控制信息用于指示需要进行访问控制的设备的IP地址;根据所述访问控制信息与所述第一域名请求报文的源IP地址,确定所述第二设备为需要进行访问控制的设备。
附图4中所示的网络的访问控制设备300的工作流程的细节请参考前面附图2和附图3所示的实施例中的描述,在这里不再一一重复。
图5是本申请提供的另一种网络的访问控制设备500的结构示意图。可选地,具有图4所示结构的网络的访问控制设备是图2或图3中的第一设备。第一设备包括接收单元501、处理单元502、和发送单元503。
接收单元501,用于接收第二设备发送的第一域名请求报文,所述第一域名请求报文携带有源互联网协议IP地址与第一本地域名,所述第一本地域名用于指示所述内部网络中的除所述第二设备之外的另一个设备。
处理单元502,用于判断所述第一本地域名是否通过认证。
处理单元502,还用于如果所述第一本地域名通过认证,生成转发信息的一个条目,所述条目包括所述源IP地址与所述第一本地域名对应的第一IP地址组成的地址对。
接收单元501,还用于接收所述第二设备发送的数据请求报文,所述数据请求报文携带有所述源IP地址与目的IP地址。
处理单元502,还用于根据所述源IP地址、所述目的IP地址与所述转发信息,确定是否转发所述数据请求报文,其中,所述数据请求报文用于访问所述内部网络。
可选地,处理单元502,还用于确定所述第一本地域名的字符串结构是否满足预设的命名规则;如果所述第一本地域名的字符串结构满足所述预设的命名规则,则确定所述第一本地域名通过认证。
可选地,第一IP地址是根据所述预设的命名规则从所述第一本地域名的字符串中截取的。
可选地,处理单元502,还用于确定保存的参考信息中是否包括所述第一本地域名,所述参考信息中包括多个本地域名与多个IP地址,所述多个本地域名与所述多个IP地址之间为一一对应的关系;如果所述参考信息中包括所述第一本地域名,则确定所述第一本地域名通过认证,所述第一IP地址为所述参考信息中与所述第一本地域名存在对应关系的IP地址。
可选地,处理单元502,还用于生成第一域名请求响应报文,所述第一域名请求响应报文中携带有所述第一IP地址。
发送单元503,用于向所述第二设备发送所述第一域名请求响应报文。
可选地,所述转发信息的每一个条目中还包括时间长度信息,所述时间长度信息用于指示所述条目的有效时间长度,处理单元502,还用于针对每一个条目,确定当前时间长度是否大于所述地址对对应的有效时间长度,所述当前时间长度的计时起始时刻为所述条目的生成时间;如果所述当前时间长度大于所述地址对对应的有效时间长度,删除所述条目。
可选地,处理单元502,还用于确定所述转发信息中是否包括所述源IP地址与所述目的IP地址组成的地址对;如果所述转发信息中包括所述源IP地址与所述目的IP地址组成的地址对,转发所述数据请求报文;或,如果所述转发信息中不包括所述源IP地址与所述目的IP地址组成的地址对,将所述数据请求报文发送至所述内部网络中的诱捕系统,或者,丢弃所述数据请求报文。
可选地,接收单元501,还用于接收所述第二设备发送的第二域名请求报文,所述第二域名请求报文携带有所述源IP地址与外部网络中的域名。
发送单元503,还用于向域名解析设备发送所述第二域名请求报文。
可选地,接收单元501,还用于接收所述域名解析设备返回的第二域名请求响应报文,所述第二域名请求响应报文携带有所述外部网络的IP地址。
发送单元503,还用于向所述第二设备发送所述第二域名请求响应报文。
可选地,处理单元502,还用于根据所述外部网络的域名,生成所述转发信息的一个条目,所述条目包括所述源IP地址与所述外部网络的IP地址组成的地址对。
可选地,处理单元502,还用于获取访问控制信息,所述访问控制信息用于指示需要进行访问控制的设备的IP地址;根据所述访问控制信息与所述第一域名请求报文的源IP地址,确定所述第二设备为需要进行访问控制的设备。
图5所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。图5中上述各个单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。例如,采用软件实现时,上述接收单元501、处理单元502和发送单元503可以是由图4中的CPU读取存储器中存储的程序代码后,生成的软件功能模块来实现。图5中上述各个单元也可以由第一设备中的不同硬件分别实现,例如接收单元501和发送单元503由图4中的网络接口403实现,处理单元由图4中的处理器401实现,或者采用现场可编程门阵列(field-programmable gate array,FPGA)、或协处理器等可编程器件来完成。显然上述功能模块也可以采用软件硬件相结合的方式来实现,例如接收单元501和发送单元503由硬件可编程器件实现,而处理单元502是由CPU读取存储器中存储的程序代码后,生成的软件功能模块来实现。上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行该计算机指令或计算机程序时,全部或部分地产生按照本申请实施例的流程或功能。该计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。
附图5中所示的网络的访问控制设备500的工作流程的细节请参考前面附图2和附图3所示的实施例中的描述,在这里不再一一重复。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (21)
1.一种网络的访问控制方法,其特征在于,所述方法由内部网络中的第一设备执行,所述第一设备是所述内部网络中的转发设备,包括:
接收第二设备发送的第一域名请求报文,所述第一域名请求报文携带有源互联网协议IP地址与第一本地域名,所述第一本地域名用于指示所述内部网络中的除所述第二设备之外的另一个设备;
判断所述第一本地域名是否通过认证;
如果所述第一本地域名通过认证,生成转发信息的一个条目,所述条目包括所述源IP地址与所述第一本地域名对应的第一IP地址组成的地址对;
接收所述第二设备发送的数据请求报文,所述数据请求报文携带有所述源IP地址与目的IP地址;
根据所述源IP地址、所述目的IP地址与所述转发信息,确定是否转发所述数据请求报文,其中,所述数据请求报文用于访问所述内部网络。
2.根据权利要求1所述的方法,其特征在于,所述判断所述第一本地域名是否通过认证,包括:
确定所述第一本地域名的字符串结构是否满足预设的命名规则;
如果所述第一本地域名的字符串结构满足所述预设的命名规则,则确定所述第一本地域名通过认证。
3.根据权利要求2所述的方法,其特征在于,所述第一IP地址是根据所述预设的命名规则从所述第一本地域名的字符串中截取的。
4.根据权利要求1所述的方法,其特征在于,所述判断所述第一本地域名是否通过认证,包括:
确定保存的参考信息中是否包括所述第一本地域名,所述参考信息中包括多个本地域名与多个IP地址,所述多个本地域名与所述多个IP地址之间为一一对应的关系;
如果所述参考信息中包括所述第一本地域名,则确定所述第一本地域名通过认证,所述第一IP地址为所述参考信息中与所述第一本地域名存在对应关系的IP地址。
5.根据权利要求1至4中任一项所述的方法,其特征在于,如果确定所述第一本地域名通过认证,所述方法还包括:
生成第一域名请求响应报文,所述第一域名请求响应报文中携带有所述第一IP地址;
向所述第二设备发送所述第一域名请求响应报文。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述转发信息的每一个条目中还包括时间长度信息,所述时间长度信息用于指示所述条目的有效时间长度,所述方法还包括:
针对每一个条目,确定当前时间长度是否大于所述地址对对应的有效时间长度,所述当前时间长度的计时起始时刻为所述条目的生成时间;
如果所述当前时间长度大于所述地址对对应的有效时间长度,删除所述条目。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述根据所述源IP地址、所述目的IP地址与所述转发信息,确定是否转发所述数据请求报文,包括:
确定所述转发信息中是否包括所述源IP地址与所述目的IP地址组成的地址对;
如果所述转发信息中包括所述源IP地址与所述目的IP地址组成的地址对,转发所述数据请求报文;或,
如果所述转发信息中不包括所述源IP地址与所述目的IP地址组成的地址对,将所述数据请求报文发送至所述内部网络中的诱捕系统,或者,丢弃所述数据请求报文。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述方法还包括:
接收所述第二设备发送的第二域名请求报文,所述第二域名请求报文携带有所述源IP地址与外部网络中的域名;
向域名解析设备发送所述第二域名请求报文。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
接收所述域名解析设备返回的第二域名请求响应报文,所述第二域名请求响应报文携带有所述外部网络的IP地址;
向所述第二设备发送所述第二域名请求响应报文。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
根据所述外部网络的域名,生成所述转发信息的一个条目,所述条目包括所述源IP地址与所述外部网络的IP地址组成的地址对。
11.根据权利要求8至10中任一项所述的方法,其特征在于,在接收到所述第一域名请求报文之后,生成所述转发信息的一个条目之前,所述方法还包括:
获取访问控制信息,所述访问控制信息用于指示需要进行访问控制的设备的IP地址;
根据所述访问控制信息与所述第一域名请求报文的源IP地址,确定所述第二设备为需要进行访问控制的设备;和/或
在接收到所述第二域名请求报文之后,生成所述转发信息的一个条目之前,所述方法还包括:
获取访问控制信息,所述访问控制信息用于指示需要进行访问控制的设备的IP地址;
根据所述访问控制信息与所述第二域名请求报文的源IP地址,确定所述第二设备为需要进行访问控制的设备。
12.一种第一设备,其特征在于,所述第一设备是内部网络中的转发设备,包括:
存储器,用于存储程序代码;
所述存储器与所述处理器相连,所述程序代码被所述处理器读取之后,使得所述第一设备执行:
接收第二设备发送的第一域名请求报文,所述第一域名请求报文携带有源互联网协议IP地址与第一本地域名,所述第一本地域名用于指示所述内部网络中除所述第二设备之外的另一个设备;
判断所述第一本地域名是否通过认证;
如果所述第一本地域名通过认证,生成转发信息的一个条目,所述条目包括所述源IP地址与所述第一本地域名对应的第一IP地址组成的地址对;
接收所述第二设备发送的数据请求报文,所述数据请求报文携带有所述源IP地址与目的IP地址;
根据所述源IP地址、所述目的IP地址与所述转发信息,确定是否转发所述数据请求报文,其中,所述数据请求报文用于访问所述内部网络。
13.根据权利要求12所述的第一设备,其特征在于,所述第一设备还用于执行以下操作:
确定所述第一本地域名的字符串结构是否满足预设的命名规则;
如果所述第一本地域名的字符串结构满足所述预设的命名规则,则确定所述第一本地域名通过认证。
14.根据权利要求13所述的第一设备,其特征在于,所述第一IP地址是根据所述预设的命名规则从所述第一本地域名的字符串中截取的。
15.根据权利要求12所述的第一设备,其特征在于,所述第一设备还用于执行以下操作:
确定保存的参考信息中是否包括所述第一本地域名,所述参考信息中包括多个本地域名与多个IP地址,所述多个本地域名与所述多个IP地址之间为一一对应的关系;
如果所述参考信息中包括所述第一本地域名,则确定所述第一本地域名通过认证,所述第一IP地址为所述参考信息中与所述第一本地域名存在对应关系的IP地址。
16.根据权利要求12至15中任一项所述的第一设备,其特征在于,所述第一设备还用于执行以下操作:
生成第一域名请求响应报文,所述第一域名请求响应报文中携带有所述第一IP地址;
向所述第二设备发送所述第一域名请求响应报文。
17.根据权利要求12至16中任一项所述的第一设备,其特征在于所述转发信息的每一个条目中还包括时间长度信息,所述时间长度信息用于指示所述条目的有效时间长度,所述第一设备还用于执行以下操作:
针对每一个条目,确定当前时间长度是否大于所述地址对对应的有效时间长度,所述当前时间长度的计时起始时刻为所述条目的生成时间;
如果所述当前时间长度大于所述地址对对应的有效时间长度,删除所述条目。
18.根据权利要求12至17中任一项所述的第一设备,其特征在于,所述第一设备还用于执行以下操作:
确定所述转发信息中是否包括所述源IP地址与所述目的IP地址组成的地址对;
如果所述转发信息中包括所述源IP地址与所述目的IP地址组成的地址对,转发所述数据请求报文;或,
如果所述转发信息中不包括所述源IP地址与所述目的IP地址组成的地址对,将所述数据请求报文发送至所述内部网络中的诱捕系统,或者,丢弃所述数据请求报文。
19.根据权利要求12至18中任一项所述的第一设备,其特征在于,所述第一设备还用于执行以下操作:
在接收到所述第一域名请求报文之后,生成所述转发信息的一个条目之前,获取访问控制信息,所述访问控制信息用于指示需要进行访问控制的设备的IP地址;根据所述访问控制信息与所述第一域名请求报文的源IP地址,确定所述第二设备为需要进行访问控制的设备。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1至11中任一项所述的方法。
21.一种通信系统,其特征在于,所述通信系统包括权利要求12至19中任一项所述的第一设备。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910354917.4A CN111865876B (zh) | 2019-04-29 | 2019-04-29 | 网络的访问控制方法和设备 |
| PCT/CN2020/086361 WO2020221095A1 (zh) | 2019-04-29 | 2020-04-23 | 网络的访问控制方法和设备 |
| US17/316,388 US11909738B2 (en) | 2019-04-29 | 2021-05-10 | Network access control method and device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910354917.4A CN111865876B (zh) | 2019-04-29 | 2019-04-29 | 网络的访问控制方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111865876A true CN111865876A (zh) | 2020-10-30 |
| CN111865876B CN111865876B (zh) | 2021-10-15 |
Family
ID=72966262
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910354917.4A Active CN111865876B (zh) | 2019-04-29 | 2019-04-29 | 网络的访问控制方法和设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11909738B2 (zh) |
| CN (1) | CN111865876B (zh) |
| WO (1) | WO2020221095A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112640392A (zh) * | 2020-11-20 | 2021-04-09 | 华为技术有限公司 | 一种木马检测方法、装置和设备 |
| CN113572793A (zh) * | 2021-09-26 | 2021-10-29 | 苏州浪潮智能科技有限公司 | 访问请求捕获方法、装置、计算机设备和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103650437A (zh) * | 2013-06-28 | 2014-03-19 | 华为技术有限公司 | 任播服务注册、实现方法及装置、交换设备和系统 |
| CN105323173A (zh) * | 2014-07-18 | 2016-02-10 | 中兴通讯股份有限公司 | 网络规则条目的设置方法及装置 |
| CN105516385A (zh) * | 2015-12-02 | 2016-04-20 | 传线网络科技(上海)有限公司 | 域名解析方法、服务器和系统 |
| CN105610993A (zh) * | 2014-11-20 | 2016-05-25 | 中国移动通信集团河南有限公司 | 一种域名解析方法、装置及系统 |
| US20170149730A1 (en) * | 2015-11-24 | 2017-05-25 | International Business Machines Corporation | Trustworthiness-verifying dns server for name resolution |
| CN107980217A (zh) * | 2017-07-14 | 2018-05-01 | 深圳前海达闼云端智能科技有限公司 | 获取本地域名服务器地址的方法、装置和权威域名服务器 |
| CN108337257A (zh) * | 2018-01-31 | 2018-07-27 | 新华三技术有限公司 | 一种免认证访问方法和网关设备 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6876654B1 (en) * | 1998-04-10 | 2005-04-05 | Intel Corporation | Method and apparatus for multiprotocol switching and routing |
| CN101997768B (zh) * | 2009-08-21 | 2012-10-17 | 华为技术有限公司 | 一种上送地址解析协议报文的方法和装置 |
| US9736054B2 (en) * | 2011-10-05 | 2017-08-15 | Cisco Technology, Inc. | Multicast active source discovery and management for layer-2 interconnect solutions |
| CN105338123B (zh) * | 2014-05-28 | 2018-10-02 | 国际商业机器公司 | 用于在网络中解析域名的方法、装置和系统 |
| US9602465B2 (en) * | 2014-09-09 | 2017-03-21 | Citrix Systems, Inc. | Systems and methods for carrier grade NAT optimization |
| CN104506538B (zh) * | 2014-12-26 | 2018-01-19 | 北京奇虎科技有限公司 | 机器学习型域名系统安全防御方法和装置 |
| CN104601578B (zh) * | 2015-01-19 | 2018-05-22 | 福建星网锐捷网络有限公司 | 一种攻击报文识别方法、装置及核心设备 |
| CN105681225A (zh) * | 2016-02-24 | 2016-06-15 | 中国联合网络通信集团有限公司 | 网络资源获取方法及装置 |
| CN107332812B (zh) * | 2016-04-29 | 2020-07-07 | 新华三技术有限公司 | 网络访问控制的实现方法及装置 |
| CN107819732B (zh) * | 2016-09-13 | 2021-07-13 | 中兴通讯股份有限公司 | 用户终端访问本地网络的方法和装置 |
-
2019
- 2019-04-29 CN CN201910354917.4A patent/CN111865876B/zh active Active
-
2020
- 2020-04-23 WO PCT/CN2020/086361 patent/WO2020221095A1/zh active Application Filing
-
2021
- 2021-05-10 US US17/316,388 patent/US11909738B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103650437A (zh) * | 2013-06-28 | 2014-03-19 | 华为技术有限公司 | 任播服务注册、实现方法及装置、交换设备和系统 |
| CN105323173A (zh) * | 2014-07-18 | 2016-02-10 | 中兴通讯股份有限公司 | 网络规则条目的设置方法及装置 |
| CN105610993A (zh) * | 2014-11-20 | 2016-05-25 | 中国移动通信集团河南有限公司 | 一种域名解析方法、装置及系统 |
| US20170149730A1 (en) * | 2015-11-24 | 2017-05-25 | International Business Machines Corporation | Trustworthiness-verifying dns server for name resolution |
| CN105516385A (zh) * | 2015-12-02 | 2016-04-20 | 传线网络科技(上海)有限公司 | 域名解析方法、服务器和系统 |
| CN107980217A (zh) * | 2017-07-14 | 2018-05-01 | 深圳前海达闼云端智能科技有限公司 | 获取本地域名服务器地址的方法、装置和权威域名服务器 |
| CN108337257A (zh) * | 2018-01-31 | 2018-07-27 | 新华三技术有限公司 | 一种免认证访问方法和网关设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112640392A (zh) * | 2020-11-20 | 2021-04-09 | 华为技术有限公司 | 一种木马检测方法、装置和设备 |
| CN113572793A (zh) * | 2021-09-26 | 2021-10-29 | 苏州浪潮智能科技有限公司 | 访问请求捕获方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11909738B2 (en) | 2024-02-20 |
| WO2020221095A1 (zh) | 2020-11-05 |
| CN111865876B (zh) | 2021-10-15 |
| US20210266327A1 (en) | 2021-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10498803B1 (en) | Identifying communicating network nodes in the same local network | |
| US11570144B2 (en) | Protecting client privacy during browsing | |
| US10382436B2 (en) | Network security based on device identifiers and network addresses | |
| US10542006B2 (en) | Network security based on redirection of questionable network access | |
| US10397273B1 (en) | Threat intelligence system | |
| EP3923551A1 (en) | Method and system for entrapping network threat, and forwarding device | |
| US10491561B2 (en) | Equipment for offering domain-name resolution services | |
| US9413785B2 (en) | System and method for interlocking a host and a gateway | |
| US8677487B2 (en) | System and method for detecting a malicious command and control channel | |
| US20050193429A1 (en) | Integrated data traffic monitoring system | |
| US20170237749A1 (en) | System and Method for Blocking Persistent Malware | |
| JP2005318584A (ja) | デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置 | |
| US10397225B2 (en) | System and method for network access control | |
| US20190020664A1 (en) | System and Method for Blocking Persistent Malware | |
| EP3618355B1 (en) | Systems and methods for operating a networking device | |
| CN111865876B (zh) | 网络的访问控制方法和设备 | |
| CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
| US10659497B2 (en) | Originator-based network restraint system for identity-oriented networks | |
| Zhu | On the model-checking-based IDS | |
| Kalil | Policy Creation and Bootstrapping System for Customer Edge Switching | |
| US11973783B1 (en) | Attack prevention in internet of things networks | |
| Frank | Securing Smart Homes with OpenFlow: Feasibility, Implementation, and Performance | |
| Berglund et al. | Spreading a computer worm over connected cars | |
| CN116896456A (zh) | 通信方法及装置 | |
| CN116266793A (zh) | 访问控制方法及其相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |