CN111885217A - 一种数据通信方法、装置、设备及存储介质 - Google Patents
一种数据通信方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111885217A CN111885217A CN202010705638.0A CN202010705638A CN111885217A CN 111885217 A CN111885217 A CN 111885217A CN 202010705638 A CN202010705638 A CN 202010705638A CN 111885217 A CN111885217 A CN 111885217A
- Authority
- CN
- China
- Prior art keywords
- service
- domain name
- equipment
- address
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006854 communication Effects 0.000 title claims abstract description 114
- 238000004891 communication Methods 0.000 title claims abstract description 103
- 238000000034 method Methods 0.000 title claims abstract description 73
- 230000004044 response Effects 0.000 claims description 39
- 238000004590 computer program Methods 0.000 claims description 11
- 230000002159 abnormal effect Effects 0.000 claims description 8
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 16
- 230000008569 process Effects 0.000 description 9
- 230000001360 synchronised effect Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种数据通信方法、装置、设备及存储介质。该方法应用于网络安全设备,步骤包括:获取内网设备发起的域名访问请求;在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址;将本地地址发送至内网设备;接收内网设备基于本地地址传入的服务访问流量,并将服务访问流量转发至服务设备地址对应的目标服务设备。本方法进一步保证了在内网设备与服务设备之间基于网络安全设备通信的场景中,内网设备与服务设备之间数据通信过程的整体可靠性。此外,本申请还提供一种数据通信装置、设备及存储介质,有益效果同上所述。
Description
技术领域
本申请涉及网络安全领域,特别是涉及一种数据通信方法、装置、设备及存储介质。
背景技术
当前为了确保内网设备与外网服务之间通信的安全性,往往需要在内网设备于外网服务之间建立有网络安全设备,当用户通过内网设备向外网服务发起访问时,将访问流量导流至网络安全设备,并由网络安全设备作为内网设备的代理设备,与外网服务发起通信,进而再将外网服务传入的流量转发给内网设备,以此进一步实现对于流量的安全监控。
当前内网设备与外网的服务设备之间通信时普遍的数据通信场景如图1所示,用户通过内网设备向服务设备发起访问时,首先向第一域名服务器(DNS,Domain NameServer)发送包含有服务域名的域名解析请求,并得到由第一域名服务器反馈的网络安全设备的通信地址,进而根据通信地址向网络安全设备发起携带有该服务域名的访问请求,以供网络安全设备通过第二域名服务器获取与该服务域名对应服务设备的通信地址,并根据该通信地址将访问请求转发至服务设备,进而将服务设备传入的流量转发至内网设备,以此达到内网设备与服务设备通信的效果。当前实现内网设备与服务设备之间通信的场景中,需要根据服务设备中服务域名的增加,分别更新第一域名服务器与第二域名服务器中服务域名与通信地址的对应关系,由于操作相对繁琐,因此需要产生较大的时间开销,并且难以确保更新的准确性,进而难以保证内网设备与服务设备之间数据通信过程的整体可靠性。
由此可见,提供一种数据通信方法,以相对确保内网设备与服务设备之间基于网络安全设备通信的场景中,内网设备与服务设备之间数据通信过程的整体可靠性,是本领域技术人员需要解决的问题。
发明内容
本申请的目的是提供一种数据通信方法、装置、设备及存储介质,以相对确保内网设备与服务设备之间基于网络安全设备通信的场景中,内网设备与服务设备之间数据通信过程的整体可靠性。
为解决上述技术问题,本申请提供一种数据通信方法,应用于网络安全设备,包括:
获取内网设备发起的域名访问请求;
在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址;
将本地地址发送至内网设备;
接收内网设备基于本地地址传入的服务访问流量,并将服务访问流量转发至服务设备地址对应的目标服务设备。
优选地,在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址之前,方法还包括:
判断域名解析规则中是否存在与域名访问请求中的域名信息对应的服务设备地址;
若存在与域名信息对应的服务设备地址,则执行在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址的步骤。
优选地,若不存在与域名信息对应的服务设备地址,方法还包括:
将域名访问请求转发至域名服务器,并接收由域名服务器传入的服务设备地址;
将服务设备地址转发至内网设备,以供内网设备将服务访问流量发送至服务设备地址对应的目标服务设备。
优选地,获取内网设备发起的域名访问请求,包括:
获取内网设备通过交换机设备传入的域名访问请求。
优选地,在将服务访问流量转发至服务设备地址对应的目标服务设备之后,方法还包括:
接收目标服务设备响应服务访问流量后传入服务响应流量;
将服务响应流量转发至内网设备。
优选地,在将服务响应流量转发至内网设备之前,方法还包括:
判断服务响应流量是否满足流量安全标准;
若满足流量安全标准,则执行将服务响应流量转发至内网设备的步骤;
否则,生成服务响应流量对应的异常信息。
优选地,在将服务访问流量转发至服务设备地址对应的目标服务设备之前,方法还包括:
判断服务访问流量对应的访问行为是否属于授权访问行为;
若属于授权访问行为,则执行将服务访问流量转发至服务设备地址对应的目标服务设备的步骤;
否则,向内网设备发送访问异常提示。
此外,本申请还提供一种数据通信装置,应用于网络安全设备,包括:
请求获取模块,用于获取内网设备发起的域名访问请求;
地址解析模块,用于在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址;
地址发送模块,用于将本地地址发送至内网设备;
流量转发模块,用于接收内网设备基于本地地址传入的服务访问流量,并将服务访问流量转发至服务设备地址对应的目标服务设备。
优选地,装置还包括:
解析判断模块,用于判断域名解析规则中是否存在与域名访问请求中的域名信息对应的服务设备地址,如果是,则调用地址解析模块。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的数据通信方法的步骤。
此外,本申请还提供一种安全设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的数据通信方法的步骤。
本申请所提供的数据通信方法,应用于网络安全设备,首先获取内网设备发起的域名访问请求,进而在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址,并将本地地址发送至内网设备,进而接收由内网设备根据本地地址传入的服务访问流量,并将该服务访问流量转发至服务设备地址对应的目标服务设备。由于本方法中,网络安全设备接收内网设备发起的域名访问请求,进而根据域名访问请求中的域名信息在本地域名解析规则中获取到对应的服务设备地址,并向内网设备发起本地地址,以此进一步接收内网设备基于本地地址传入的服务访问流量,并基于服务设备地址将服务访问流量转发至相应的目标服务设备,进而在内网设备与目标服务设备之间进行数据通信的过程中,无需通过多个域名服务器进行域名的解析,因此无需根据服务设备中服务域名的增加分别更新多个域名服务器中的域名信息与通信地址之间的对应关系,进一步保证了在内网设备与服务设备之间基于网络安全设备通信的场景中,内网设备与服务设备之间数据通信过程的整体可靠性。此外,本申请还提供一种数据通信装置、设备及存储介质,有益效果同上所述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为内网设备与外网的服务设备之间的数据通信场景示意图;
图2为本申请实施例公开的一种数据通信方法的流程图;
图3为本申请实施例公开的一种具体的数据通信方法的流程图;
图4为本申请实施例公开的一种内网设备与外网的服务设备之间的数据通信场景示意图;
图5为本申请实施例公开的一种数据通信装置的结构示意图;
图6为本申请实施例公开的网络安全设备的硬件组成结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
当前内网设备与外网的服务设备之间通信时普遍的数据通信场景如图1所示,用户通过内网设备向服务设备发起访问时,首先向第一域名服务器(DNS,Domain NameServer)发送包含有服务域名的域名解析请求,并得到由第一域名服务器反馈的网络安全设备的通信地址,进而根据通信地址向网络安全设备发起携带有该服务域名的访问请求,以供网络安全设备通过第二域名服务器获取与该服务域名对应服务设备的通信地址,并根据该通信地址将访问请求转发至服务设备,进而将服务设备传入的流量转发至内网设备,以此达到内网设备与服务设备通信的效果。当前实现内网设备与服务设备之间通信的场景中,需要根据服务设备中服务域名的增加,分别更新第一域名服务器与第二域名服务器中服务域名与通信地址的对应关系,由于操作相对繁琐,因此需要产生较大的时间开销,并且难以确保更新的准确性,进而难以保证内网设备与服务设备之间数据通信过程的整体可靠性。
为此,本申请的核心是提供一种数据通信方法,以相对确保内网设备与服务设备之间基于网络安全设备通信的场景中,内网设备与服务设备之间数据通信过程的整体可靠性
请参见图2所示,本申请实施例公开了一种数据通信方法,应用于网络安全设备,包括:
步骤S10:获取内网设备发起的域名访问请求。
需要说明的是,本实施例的执行主体为网络安全设备,网络安全设备的类型包括但不限于防火墙设备,路由器以及线路密码机等用于对数据进行过滤、加密以及安全审计等操作的设备。
在本步骤中,网络安全设备获取由内网设备发起的域名访问请求,其中,内网设备指的是在特定的局域网中运行,并受用户控制的用于与服务设备中的网络服务进行访问的设备,并对服务设备中运行的网络服务进行访问的设备,其中,服务设备指的是运行有网络服务程序的服务器设备。网络安全设备获取的域名访问请求,可以是由内网设备直接基于网络安全设备的设备地址传入的域名访问请求,也可以是由交换机设备拦截并传入的由内网设备发起的具有特定目的地址的域名访问请求。
步骤S11:在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址。
在获取到内网设备发起的域名访问请求之后,网络安全设备进一步在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址。也就是说,本实施例中的域名访问请求中包含有域名信息,该域名信息应为内网设备所要访问网络服务对应的域名信息。另外,可以理解的是,本步骤中的域名解析规则记录有域名信息与服务设备地址之间的对应关系,进而能够根据域名访问请求中的域名信息在域名解析规则中获取到对应的服务设备地址。本步骤中的服务设备地址指的是提供网络服务的服务设备具有的通信地址,如IP(Internet Protocol,互联网协议)地址。
需要强调的是,本步骤在于网络安全设备中预先存储有域名解析规则,网络安全设备能够取代域名服务器,进行域名信息至服务设备地址之间的解析。
步骤S12:将本地地址发送至内网设备。
本步骤将本地地址发送至内网设备,目的是使内网设备将向与域名信息对应的服务设备发送的服务访问流量,基于本地地址发送至网络安全设备,以此达到向网络安全设备引流的目的。需要说明的是,此处的本地地址指的是网络安全设备进行网络通信时所使用的通信地址。
另外需要说明的是,由于在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址的步骤,与将本地地址发送至内网设备的步骤之间没有关联性,因此步骤S12与步骤S11之间的执行顺序不固定,也可同时执行。
步骤S13:接收内网设备基于本地地址传入的服务访问流量,并将服务访问流量转发至服务设备地址对应的目标服务设备。
在将本地地址发送至内网设备之后,网络安全设备进一步接收内网设备基于本地地址传入的服务访问流量,并将服务访问流量转发至服务设备地址对应的目标服务设备,以此实现对内网设备与目标服务设备之间数据的代理转发。
本申请所提供的数据通信方法,应用于网络安全设备,首先获取内网设备发起的域名访问请求,进而在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址,并将本地地址发送至内网设备,进而接收由内网设备根据本地地址传入的服务访问流量,并将该服务访问流量转发至服务设备地址对应的目标服务设备。由于本方法中,网络安全设备接收内网设备发起的域名访问请求,进而根据域名访问请求中的域名信息在本地域名解析规则中获取到对应的服务设备地址,并向内网设备发起本地地址,以此进一步接收内网设备基于本地地址传入的服务访问流量,并基于服务设备地址将服务访问流量转发至相应的目标服务设备,进而在内网设备与目标服务设备之间进行数据通信的过程中,无需通过多个域名服务器进行域名的解析,因此无需根据服务设备中服务域名的增加分别更新多个域名服务器中的域名信息与通信地址之间的对应关系,进一步保证了在内网设备与服务设备之间基于网络安全设备通信的场景中,内网设备与服务设备之间数据通信过程的整体可靠性。
在上述实施例的基础上,作为一种优选的实施方式,获取内网设备发起的域名访问请求,包括:
获取内网设备通过交换机设备传入的域名访问请求。
需要说明的是,本实施方式中获取的域名访问请求,具体是由内网设备通过交换机设备传入的域名访问请求。本实施方式中,交换机设备在收到内网设备传入的域名访问请求后,将域名访问请求的目的地址设置为网络安全设备的设备地址,以此达到将域名访问请求引流至网络安全设备的目的。本实施方式能够提高网络安全设备获取内网设备发起的域名访问请求的可靠性。
在上述实施例的基础上,作为一种优选的实施方式,在将服务访问流量转发至服务设备地址对应的目标服务设备之后,方法还包括:
接收目标服务设备响应服务访问流量后传入服务响应流量;
将服务响应流量转发至内网设备。
需要说明的是,由于内网设备并不能够获悉目标服务设备真实的服务设备地址,因此网络安全设备接收内网设备基于本地地址传入的服务访问流量,并将服务访问流量转发至服务设备地址对应的目标服务设备之后,可能存在目标服务设备中的网络服务生产服务响应流量的情况,为了能够进一步确保内网设备能够正常根据服务访问流量得到相应的服务响应流量,本实施方式在将服务访问流量转发至服务设备地址对应的目标服务设备之后,进一步接收目标服务设备响应服务访问流量后传入服务响应流量,并将服务响应流量转发至内网设备,以此相对确保内网设备与目标服务设备之间的数据往来,进一步保证了数据通信的可靠性。
更进一步的,作为一种优选的实施方式,在将服务响应流量转发至内网设备之前,方法还包括:
判断服务响应流量是否满足流量安全标准;
若满足流量安全标准,则执行将服务响应流量转发至内网设备的步骤;
否则,生成服务响应流量对应的异常信息。
需要说明的是,考虑到目标服务设备中的网络服务在响应内网设备生成的服务访问流量之后,可能会生成存在安全风险的服务响应流量,进而可能造成内网设备中数据的丢失或损坏,或是控制内网设备执行恶意操作,因此为了避免内网设备的通信安全性,本实施方式在将服务响应流量转发至内网设备之前,首先判断服务响应流量是否满足流量安全标准,进而当服务响应流量满足流量安全标准时,执行将服务响应流量转发至内网设备的步骤,否则,生成服务响应流量对应的异常信息,以此记录服务响应流量的异常行为。本实施方式进一步确保了内网设备所获取到的服务响应流量的可靠性,进一步确保了内网设备在数据通信时的安全性。
请参见图3所示,本申请实施例公开了一种数据通信方法,应用于网络安全设备,包括:
步骤S20:获取内网设备发起的域名访问请求;
步骤S21:判断域名解析规则中是否存在与域名访问请求中的域名信息对应的服务设备地址,若是,则执行步骤S22至步骤S24,否则,执行步骤S25至步骤S26。
步骤S22:在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址。
步骤S23:将本地地址发送至内网设备。
步骤S24:接收内网设备基于本地地址传入的服务访问流量,并将服务访问流量转发至服务设备地址对应的目标服务设备。
步骤S25:将域名访问请求转发至域名服务器,并接收由域名服务器传入的服务设备地址。
步骤S26:将服务设备地址转发至内网设备,以供内网设备将服务访问流量发送至服务设备地址对应的目标服务设备。
需要说明的是,本实施例的重点在于网络安全设备获取到内网设备发起的域名访问请求之后,进一步判断本地域名解析规则中是否存在与域名访问请求中的域名信息对应的服务设备地址,如果本地域名解析规则中存在与域名访问请求中的域名信息对应的服务设备地址,则说明网络安全设备需要在内网设备与服务设备地址对应的目标设备之间进行数据的代理转发,因此进一步在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址,并进一步执行后续的将本地地址发送至内网设备,以及接收内网设备基于本地地址传入的服务访问流量,并将服务访问流量转发至服务设备地址对应的目标服务设备的步骤。
如果本地域名解析规则中不存在与域名访问请求中的域名信息对应的服务设备地址,则说明网络安全设备不需要在内网设备与服务设备地址对应的目标设备之间进行数据的代理转发,在此情况下,网络安全设备需要将域名访问请求转发至域名服务器,并接收由域名服务器传入的服务设备地址,并将该服务设备地址转发至内网设备,以供内网设备将服务访问流量发送至服务设备地址对应的目标服务设备。
本实施例中,网络安全设备中的域名解析规则能够对特定域名的解析,并且不对特定域名以外的其它域名进行解析,进一步确保了网络安全设备在内网设备与不同网络服务的目标设备之间进行数据的代理转发的灵活性。
在上述一系列实施例的基础上,作为一种优选的实施方式,在将服务访问流量转发至服务设备地址对应的目标服务设备之前,方法还包括:
判断服务访问流量对应的访问行为是否属于授权访问行为;
若属于授权访问行为,则执行将服务访问流量转发至服务设备地址对应的目标服务设备的步骤;
否则,向内网设备发送访问异常提示。
需要说明的是,考虑到在一些场景中,往往需要确保内网设备仅能够与目标服务设备发起特定的访问操作,为了确保内网设备对目标服务设备中的网络服务进行数据通信的可控性,本实施方式在将服务访问流量转发至服务设备地址对应的目标服务设备之前,先对服务访问流量对应的访问行为是否属于授权访问行为进行判断,其中,授权访问行为中预设有内网设备对目标服务设备能够执行的全部访问操作,进而当服务访问流量对应的访问行为属于授权访问行为,则执行将服务访问流量转发至服务设备地址对应的目标服务设备的步骤,否则,向内网设备发送访问异常提示。本实施方式能够进一步提高确保网络安全设备对内网设备与目标服务设备中的网络服务进行数据通信的可控性。
如图4所示的,是本申请实施例公开的一种内网设备与外网的服务设备之间的数据通信场景示意图。
根据图4所示的,网络安全设备首先获取内网设备发起的域名访问请求(1),进而判断域名解析规则中是否存在与域名访问请求中的域名信息对应的服务设备地址,若是,则在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址,并将本地地址发送至内网设备(2),进而接收内网设备基于本地地址传入的服务访问流量(3),并将服务访问流量转发至服务设备地址对应的目标服务设备(4)。否则,将域名访问请求转发至域名服务器(5),并接收由域名服务器传入的服务设备地址(6),进而将服务设备地址转发至内网设备(7),以供内网设备将服务访问流量发送至服务设备地址对应的目标服务设备(8)。
请参见图5所示,本申请实施例公开了一种数据通信装置,应用于网络安全设备,包括:
请求获取模块10,用于获取内网设备发起的域名访问请求;
地址解析模块11,用于在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址;
地址发送模块12,用于将本地地址发送至内网设备;
流量转发模块13,用于接收内网设备基于本地地址传入的服务访问流量,并将服务访问流量转发至服务设备地址对应的目标服务设备。
在前述实施例的基础上,本申请实施例对数据通信装置进行进一步的说明和优化。具体的:
在一种具体实施方式中,装置还包括:
解析判断模块,用于判断域名解析规则中是否存在与域名访问请求中的域名信息对应的服务设备地址,如果是,则调用地址解析模块,否则,依次调用转发解析模块以及服务地址转发模块;
转发解析模块,用于将域名访问请求转发至域名服务器,并接收由域名服务器传入的服务设备地址;
服务地址转发模块,用于将服务设备地址转发至内网设备,以供内网设备将服务访问流量发送至服务设备地址对应的目标服务设备。
在一种具体实施方式中,请求获取模块10,包括:
交换机获取模块,用于获取内网设备通过交换机设备传入的域名访问请求。
在一种具体实施方式中,装置还包括:
响应流量接收模块,用于接收目标服务设备响应服务访问流量后传入服务响应流量;
响应流量转发模块,用于将服务响应流量转发至内网设备。
在一种具体实施方式中,装置还包括:
安全标准判断模块,用于判断服务响应流量是否满足流量安全标准,如果是,则调用响应流量转发模块,否则,调用异常信息生成模块;
异常信息生成模块,用于生成服务响应流量对应的异常信息。
在一种具体实施方式中,装置还包括:
行为判断模块,用于判断服务访问流量对应的访问行为是否属于授权访问行为,如果是,则调用流量转发模块13,否则,调用异常提示模块;
异常提示模块,用于向内网设备发送访问异常提示。
本申请所提供的数据通信装置,应用于网络安全设备,首先获取内网设备发起的域名访问请求,进而在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址,并将本地地址发送至内网设备,进而接收由内网设备根据本地地址传入的服务访问流量,并将该服务访问流量转发至服务设备地址对应的目标服务设备。由于本装置中,网络安全设备接收内网设备发起的域名访问请求,进而根据域名访问请求中的域名信息在本地域名解析规则中获取到对应的服务设备地址,并向内网设备发起本地地址,以此进一步接收内网设备基于本地地址传入的服务访问流量,并基于服务设备地址将服务访问流量转发至相应的目标服务设备,进而在内网设备与目标服务设备之间进行数据通信的过程中,无需通过多个域名服务器进行域名的解析,因此无需根据服务设备中服务域名的增加分别更新多个域名服务器中的域名信息与通信地址之间的对应关系,进一步保证了在内网设备与服务设备之间基于网络安全设备通信的场景中,内网设备与服务设备之间数据通信过程的整体可靠性。
基于上述程序模块的硬件实现,且为了实现本申请实施例的数据通信方法,本申请实施例还提供了一种网络安全设备,图6为本申请实施例网络安全设备的硬件组成结构示意图,如图6所示,网络安全设备包括:
通信接口100,能够与其它设备比如网络设备等进行信息交互;
处理器200,与通信接口100连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的数据通信方法。而计算机程序存储在存储器300上。
当然,实际应用时,网络安全设备中的各个组件通过总线系统400耦合在一起。可理解,总线系统400用于实现这些组件之间的连接通信。总线系统400除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图6中将各种总线都标为总线系统400。
本申请实施例中的存储器300用于存储各种类型的数据以支持网络安全设备的操作。这些数据的示例包括:用于在网络安全设备上操作的任何计算机程序。
可以理解,存储器300可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,ErasableProgrammable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-OnlyMemory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus RandomAccess Memory)。本申请实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的数据通信方法可以应用于处理器200中,或者由处理器200实现。处理器200可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述数据通信方法的各步骤可以通过处理器200中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器200可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器200可以实现或者执行本申请实施例中的公开的各数据通信方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的数据通信方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器300,处理器200读取存储器300中的程序,结合其硬件完成前述数据通信方法的步骤。
处理器200执行程序时实现本申请实施例的各个数据通信方法中的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器300,上述计算机程序可由处理器200执行,以完成前述数据通信方法的步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、终端和数据通信方法,可以通过其它的方式实现。以上所描述的设备实施例仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述数据通信方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述数据通信方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台网络安全设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例的数据通信方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的网络安全设备,首先获取内网设备发起的域名访问请求,进而在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址,并将本地地址发送至内网设备,进而接收由内网设备根据本地地址传入的服务访问流量,并将该服务访问流量转发至服务设备地址对应的目标服务设备。由于网络安全设备接收内网设备发起的域名访问请求,进而根据域名访问请求中的域名信息在本地域名解析规则中获取到对应的服务设备地址,并向内网设备发起本地地址,以此进一步接收内网设备基于本地地址传入的服务访问流量,并基于服务设备地址将服务访问流量转发至相应的目标服务设备,进而在内网设备与目标服务设备之间进行数据通信的过程中,无需通过多个域名服务器进行域名的解析,因此无需根据服务设备中服务域名的增加分别更新多个域名服务器中的域名信息与通信地址之间的对应关系,进一步保证了在内网设备与服务设备之间基于网络安全设备通信的场景中,内网设备与服务设备之间数据通信过程的整体可靠性。
此外,本申请实施例还公开了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的数据通信方法的步骤。
本申请所提供的计算机可读存储介质,应用于网络安全设备,首先获取内网设备发起的域名访问请求,进而在域名解析规则中获取与域名访问请求中的域名信息对应的服务设备地址,并将本地地址发送至内网设备,进而接收由内网设备根据本地地址传入的服务访问流量,并将该服务访问流量转发至服务设备地址对应的目标服务设备。由于本计算机可读存储介质中,网络安全设备接收内网设备发起的域名访问请求,进而根据域名访问请求中的域名信息在本地域名解析规则中获取到对应的服务设备地址,并向内网设备发起本地地址,以此进一步接收内网设备基于本地地址传入的服务访问流量,并基于服务设备地址将服务访问流量转发至相应的目标服务设备,进而在内网设备与目标服务设备之间进行数据通信的过程中,无需通过多个域名服务器进行域名的解析,因此无需根据服务设备中服务域名的增加分别更新多个域名服务器中的域名信息与通信地址之间的对应关系,进一步保证了在内网设备与服务设备之间基于网络安全设备通信的场景中,内网设备与服务设备之间数据通信过程的整体可靠性。
以上对本申请所提供的一种数据通信方法、装置、设备及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种数据通信方法,其特征在于,应用于网络安全设备,包括:
获取内网设备发起的域名访问请求;
在域名解析规则中获取与所述域名访问请求中的域名信息对应的服务设备地址;
将本地地址发送至所述内网设备;
接收所述内网设备基于所述本地地址传入的服务访问流量,并将所述服务访问流量转发至所述服务设备地址对应的目标服务设备。
2.根据权利要求1所述的数据通信方法,其特征在于,所述在域名解析规则中获取与所述域名访问请求中的域名信息对应的服务设备地址之前,所述方法还包括:
判断所述域名解析规则中是否存在与所述域名访问请求中的域名信息对应的所述服务设备地址;
若存在与所述域名信息对应的所述服务设备地址,则执行所述在域名解析规则中获取与所述域名访问请求中的域名信息对应的服务设备地址的步骤。
3.根据权利要求2所述的数据通信方法,其特征在于,若不存在与所述域名信息对应的所述服务设备地址,所述方法还包括:
将所述域名访问请求转发至域名服务器,并接收由所述域名服务器传入的所述服务设备地址;
将所述服务设备地址转发至所述内网设备,以供所述内网设备将所述服务访问流量发送至所述服务设备地址对应的目标服务设备。
4.根据权利要求1所述的数据通信方法,其特征在于,所述获取内网设备发起的域名访问请求,包括:
获取内网设备通过交换机设备传入的所述域名访问请求。
5.根据权利要求1所述的数据通信方法,其特征在于,在所述将所述服务访问流量转发至所述服务设备地址对应的目标服务设备之后,所述方法还包括:
接收所述目标服务设备响应所述服务访问流量后传入服务响应流量;
将所述服务响应流量转发至所述内网设备。
6.根据权利要求5所述的数据通信方法,其特征在于,在所述将所述服务响应流量转发至所述内网设备之前,所述方法还包括:
判断所述服务响应流量是否满足流量安全标准;
若满足所述流量安全标准,则执行所述将所述服务响应流量转发至所述内网设备的步骤;
否则,生成所述服务响应流量对应的异常信息。
7.根据权利要求1至6任意一项所述的数据通信方法,其特征在于,在所述将所述服务访问流量转发至所述服务设备地址对应的目标服务设备之前,所述方法还包括:
判断所述服务访问流量对应的访问行为是否属于授权访问行为;
若属于所述授权访问行为,则执行所述将所述服务访问流量转发至所述服务设备地址对应的目标服务设备的步骤;
否则,向所述内网设备发送访问异常提示。
8.一种数据通信装置,其特征在于,应用于网络安全设备,包括:
请求获取模块,用于获取内网设备发起的域名访问请求;
地址解析模块,用于在域名解析规则中获取与所述域名访问请求中的域名信息对应的服务设备地址;
地址发送模块,用于将本地地址发送至所述内网设备;
流量转发模块,用于接收所述内网设备基于所述本地地址传入的服务访问流量,并将所述服务访问流量转发至所述服务设备地址对应的目标服务设备。
9.根据权利要求8所述的数据通信装置,其特征在于,所述装置还包括:
解析判断模块,用于判断所述域名解析规则中是否存在与所述域名访问请求中的域名信息对应的所述服务设备地址,如果是,则调用所述地址解析模块。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的数据通信方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010705638.0A CN111885217B (zh) | 2020-07-21 | 2020-07-21 | 一种数据通信方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010705638.0A CN111885217B (zh) | 2020-07-21 | 2020-07-21 | 一种数据通信方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111885217A true CN111885217A (zh) | 2020-11-03 |
| CN111885217B CN111885217B (zh) | 2023-11-07 |
Family
ID=73155657
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010705638.0A Active CN111885217B (zh) | 2020-07-21 | 2020-07-21 | 一种数据通信方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111885217B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244570A (zh) * | 2021-11-18 | 2022-03-25 | 广东电网有限责任公司 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
| CN114760298A (zh) * | 2022-03-18 | 2022-07-15 | 中国人寿保险股份有限公司 | 服务请求响应方法、装置、电子设备及存储介质 |
| CN115118701A (zh) * | 2022-06-29 | 2022-09-27 | 北京奇艺世纪科技有限公司 | 数据传输方法、装置、系统、设备及存储介质 |
| CN116155859A (zh) * | 2023-02-15 | 2023-05-23 | 中国工商银行股份有限公司 | 网络访问方法、装置、计算机设备和存储介质 |
| CN114760298B (zh) * | 2022-03-18 | 2024-05-28 | 中国人寿保险股份有限公司 | 服务请求响应方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973834A (zh) * | 2014-05-12 | 2014-08-06 | 重庆邮电大学 | 一种基于家庭网关的dns域名解析加速方法及装置 |
| CN108306999A (zh) * | 2018-01-29 | 2018-07-20 | 新华三信息安全技术有限公司 | 一种域名解析方法及装置 |
| CN108886540A (zh) * | 2018-06-13 | 2018-11-23 | 深圳前海达闼云端智能科技有限公司 | 域名解析方法、装置及计算机可读存储介质 |
| CN110808897A (zh) * | 2019-11-06 | 2020-02-18 | 深信服科技股份有限公司 | 代理访问方法、用户设备、存储介质、装置及系统 |
| CN110830458A (zh) * | 2019-10-25 | 2020-02-21 | 云深互联(北京)科技有限公司 | 域名访问方法、系统和设备 |
| CN110933156A (zh) * | 2019-11-26 | 2020-03-27 | 杭州迪普科技股份有限公司 | 一种域名解析的方法及装置 |
-
2020
- 2020-07-21 CN CN202010705638.0A patent/CN111885217B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973834A (zh) * | 2014-05-12 | 2014-08-06 | 重庆邮电大学 | 一种基于家庭网关的dns域名解析加速方法及装置 |
| CN108306999A (zh) * | 2018-01-29 | 2018-07-20 | 新华三信息安全技术有限公司 | 一种域名解析方法及装置 |
| CN108886540A (zh) * | 2018-06-13 | 2018-11-23 | 深圳前海达闼云端智能科技有限公司 | 域名解析方法、装置及计算机可读存储介质 |
| WO2019237288A1 (zh) * | 2018-06-13 | 2019-12-19 | 深圳前海达闼云端智能科技有限公司 | 域名解析方法、装置及计算机可读存储介质 |
| CN110830458A (zh) * | 2019-10-25 | 2020-02-21 | 云深互联(北京)科技有限公司 | 域名访问方法、系统和设备 |
| CN110808897A (zh) * | 2019-11-06 | 2020-02-18 | 深信服科技股份有限公司 | 代理访问方法、用户设备、存储介质、装置及系统 |
| CN110933156A (zh) * | 2019-11-26 | 2020-03-27 | 杭州迪普科技股份有限公司 | 一种域名解析的方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244570A (zh) * | 2021-11-18 | 2022-03-25 | 广东电网有限责任公司 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
| CN114244570B (zh) * | 2021-11-18 | 2023-12-22 | 广东电网有限责任公司 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
| CN114760298A (zh) * | 2022-03-18 | 2022-07-15 | 中国人寿保险股份有限公司 | 服务请求响应方法、装置、电子设备及存储介质 |
| CN114760298B (zh) * | 2022-03-18 | 2024-05-28 | 中国人寿保险股份有限公司 | 服务请求响应方法、装置、电子设备及存储介质 |
| CN115118701A (zh) * | 2022-06-29 | 2022-09-27 | 北京奇艺世纪科技有限公司 | 数据传输方法、装置、系统、设备及存储介质 |
| CN115118701B (zh) * | 2022-06-29 | 2024-04-12 | 北京奇艺世纪科技有限公司 | 数据传输方法、装置、系统、设备及存储介质 |
| CN116155859A (zh) * | 2023-02-15 | 2023-05-23 | 中国工商银行股份有限公司 | 网络访问方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111885217B (zh) | 2023-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111885217A (zh) | 一种数据通信方法、装置、设备及存储介质 | |
| CN112887444A (zh) | 一种vpn网络的请求处理方法、客户端设备及系统 | |
| KR20200095352A (ko) | 원격 포워드 프록시에 대한 로컬 인터셉션 트래픽 | |
| CN108063714B (zh) | 一种网络请求的处理方法及装置 | |
| US8601568B2 (en) | Communication system for authenticating or relaying network access, relaying apparatus, authentication apparatus, and communication method | |
| CN107135249B (zh) | 数据下载方法及装置 | |
| US20220245256A1 (en) | System and Method for Attributing User Behavior from Multiple Technical Telemetry Sources | |
| US10205757B2 (en) | Communications methods, apparatus and systems for correlating registrations, service requests and calls | |
| CN105491045A (zh) | 一种免认证接入控制方法、装置、设备和系统 | |
| CN112738095A (zh) | 一种检测非法外联的方法、装置、系统、存储介质及设备 | |
| CN107294910B (zh) | 一种登录方法和服务器 | |
| CN107995321A (zh) | 一种vpn客户端代理dns的方法及装置 | |
| CN109561172B (zh) | 一种dns透明代理方法、装置、设备及存储介质 | |
| CN114095415A (zh) | 路由确定方法、装置、网关设备和存储介质 | |
| CN113923008A (zh) | 一种恶意网站拦截方法、装置、设备及存储介质 | |
| CN113873041B (zh) | 报文传输方法、装置、网络设备及计算机可读存储介质 | |
| CN114553771B (zh) | 用于虚拟路由器加载的方法及相关设备 | |
| US8055746B2 (en) | Method and system for improved management of a communication network by extending the simple network management protocol | |
| CN112822305B (zh) | 处理dns查询请求的方法、装置、路由器及存储介质 | |
| CN110830477B (zh) | 一种业务的识别方法、装置、网关、系统及存储介质 | |
| US11146582B2 (en) | Information processing apparatus, recording medium recording network monitoring program, and network monitoring method | |
| CN114615248A (zh) | 一种远程操作控制方法、装置、电子设备及存储介质 | |
| US20170289099A1 (en) | Method and Device for Managing Internet Protocol Version 6 Address, and Terminal | |
| US10313254B1 (en) | Network management interface for a network element with network-wide information | |
| CN114978643B (zh) | 一种通信方法、网络设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |