CN114338809A - 访问控制方法、装置、电子设备和存储介质 - Google Patents
访问控制方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN114338809A CN114338809A CN202111622819.8A CN202111622819A CN114338809A CN 114338809 A CN114338809 A CN 114338809A CN 202111622819 A CN202111622819 A CN 202111622819A CN 114338809 A CN114338809 A CN 114338809A
- Authority
- CN
- China
- Prior art keywords
- terminal
- dns
- address
- domain name
- dns response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000004044 response Effects 0.000 claims abstract description 121
- 230000003068 static effect Effects 0.000 claims description 26
- 238000004891 communication Methods 0.000 claims description 16
- 238000013507 mapping Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000014616 translation Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种访问控制方法、装置、电子设备和存储介质,方法应用于网关,网关与交换机连接,终端通过交换机与网关连接,方法包括:接收终端发送的DNS请求;将DNS请求发送至公网DNS服务器,并接收公网DNS服务器返回的DNS应答;对DNS应答进行解析,确定DNS应答对应的域名;当确定DNS应答对应的域名为允许访问的域名时,根据预设的DNS改写规则,将DNS应答中域名对应的IP地址改写为第一IP地址,并将改写后的DNS应答发送给终端;当确定DNS应答对应的域名为禁止访问的域名时,将DNS应答发送给终端,用以实现对终端进行访问限制的同时,降低对网关性能的消耗,缓解终端访问出现延迟的问题。
Description
技术领域
本申请涉及网络通信领域,具体而言,涉及一种访问控制方法、装置、电子设备和存储介质。
背景技术
随着网络的发展,在目前常见的网络部署中,需要对终端可以访问的网站进行限制。例如,只允许研发员工的终端访问与技术相关的网站,不允许其访问其他非技术相关的网站。
现有的访问限制方法通常为在网关处采用深度包检测技术对数据流的业务类型进行识别,然而,这种访问限制方法需要较大的计算量,从而大量消耗网关的处理器资源,降低网关的转发速率,进而可能导致终端访问出现延迟。
发明内容
本申请实施例的目的在于提供一种访问控制方法、装置、电子设备和存储介质,用以实现对终端进行访问限制的同时,降低对网关性能的消耗,缓解终端访问出现延迟的问题。
第一方面,本申请提供一种访问控制方法,应用于网关,所述网关与交换机连接,终端通过所述交换机与所述网关连接,所述方法包括:接收所述终端发送的DNS请求;将所述DNS请求发送至公网DNS服务器,并接收所述公网DNS服务器返回的DNS应答;对所述DNS应答进行解析,确定所述DNS应答对应的域名;当确定所述DNS应答对应的域名为允许访问的域名时,根据预设的DNS改写规则,将所述DNS应答中域名对应的IP地址改写为第一IP地址,并将改写后的DNS应答发送给所述终端,以使所述终端生成的以所述第一IP地址作为目的IP地址的访问请求满足所述交换机的转发条件,进而实现所述终端对所述DNS应答对应的域名的网站进行访问;当确定所述DNS应答对应的域名为禁止访问的域名时,将所述DNS应答发送给所述终端,其中,所述终端根据所述DNS应答中域名对应的IP地址生成的访问请求无法满足所述交换机的转发条件,无法实现对所述DNS应答对应的域名的网站进行访问。
在本申请实施例中,当终端访问在允许范围内的网站时,网关对DNS应答中对应的IP地址进行改写,使得终端根据改写后的IP地址发起的访问请求能满足交换机的转发条件,进而实现终端访问在允许范围内的网站;当终端访问不在允许范围内的网站,网关不对DNS应答中对应的IP地址进行改写,终端根据未改写的IP地址发起的访问请求不能满足交换机的转发条件,进而使得终端无法访问不在允许范围内的网站。通过上述方法,只需要在网关处进行DNS改写即可实现对终端访问的控制,降低了对网关性能的消耗,进而有效缓解终端访问出现延迟的问题。
在可选的实施方式中,所述方法还包括:当接收到终端发送的所述访问请求时,将所述访问请求中的目的IP地址改写为所述DNS应答中域名对应的IP地址,并将改写后的所述访问请求发送给所述DNS应答中域名对应的服务器。
在可选的实施方式中,所述根据预设的DNS改写规则,将所述DNS应答中域名对应的IP地址改写为第一IP地址之后,所述方法还包括:保存所述DNS应答中域名对应的IP地址和所述第一IP地址的映射关系。
第二方面,本申请提供一种访问控制方法,应用于交换机,所述交换机与网关连接,终端通过所述交换机与所述网关连接,所述方法包括:当接收到所述终端发送的访问请求时,判断所述访问请求的目的IP地址是否满足转发条件;若满足所述转发条件时,将所述终端发送的访问请求转发至所述网关,以使所述终端访问所述目的IP地址对应的服务器;若不满足所述转发条件时,丢弃所述访问请求,以使所述终端无法访问所述目的IP地址对应的服务器。
在可选的实施方式中,所述交换机中保存有静态路由表且禁用默认路由,所述静态路由表中保存有网关对DNS应答改写后的IP地址,所述满足转发条件为:所述静态路由表中存在所述访问请求的目的IP地址。
在可选的实施方式中,所述方法还包括:判断当前时间是否为预设工作时间;若为是,禁用默认路由;若为否,启用所述默认路由。
第三方面,本申请提供一种访问控制装置,应用于网关,所述网关与交换机连接,终端通过所述交换机与所述网关连接,所述装置包括:通信模块,用于接收所述终端发送的DNS请求;将所述DNS请求发送至公网DNS服务器并接收所述公网DNS服务器返回的DNS应答;确定模块,用于对所述DNS应答进行解析,确定所述DNS应答对应的域名;改写模块,用于在确定所述DNS应答对应的域名为允许访问的域名时,根据预设的DNS改写规则,将所述DNS应答中域名对应的IP地址改写为第一IP地址;所述通信模块还用于将改写后的DNS应答发送给所述终端,以使所述终端生成的以所述第一IP地址作为目的IP地址的访问请求满足所述交换机的转发条件,进而实现所述终端对所述DNS应答对应的域名的网站进行访问;在确定所述DNS应答对应的域名为禁止访问的域名时,将所述DNS应答发送给所述终端,其中,所述终端根据所述DNS应答中域名对应的IP地址生成的访问请求无法满足所述交换机的转发条件,无法实现对所述DNS应答对应的域名的网站进行访问。
在可选的实施方式中,所述改写模块还用于在接收到终端发送的所述访问请求时,将所述访问请求中的目的IP地址改写为所述DNS应答中域名对应的IP地址,并将改写后的所述访问请求发送给所述DNS应答中域名对应的服务器。
在可选的实施方式中,所述装置还包括保存模块,用于保存所述DNS应答中域名对应的IP地址和所述第一IP地址的映射关系。
第四方面,本申请提供一种访问控制装置,应用于交换机,所述交换机与网关连接,终端通过所述交换机与所述网关连接,所述装置包括:判断模块,用于在接收到所述终端发送的访问请求时,判断所述访问请求的目的IP地址是否满足转发条件;转发模块,用于在判断模块的判断结果为满足所述转发条件时,将所述终端发送的访问请求转发至所述网关,以使所述终端访问所述目的IP地址对应的服务器;在判断模块的判断结果为满足所述转发条件时不满足所述转发条件时,丢弃所述访问请求,以使所述终端无法访问所述目的IP地址对应的服务器。
在可选的实施方式中,所述交换机中保存有静态路由表且禁用默认路由,所述静态路由表中保存有网关对DNS应答改写后的IP地址,所述满足转发条件为:所述静态路由表中存在所述访问请求的目的IP地址。
在可选的实施方式中,所述装置还包括调整模块,用于判断当前时间是否为预设工作时间;若为是,禁用默认路由;若为否,启用所述默认路由。
第五方面,本申请提供一种电子设备,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如前述实施方式任一项所述的方法。
第六方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被计算机读取并运行时,执行如前述实施方式中任一项所述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种应用于网关的访问控制方法的流程图;
图2为本申请实施例提供的一种应用于交换机的访问控制方法的流程图;
图3为本申请实施例提供的一种访问在允许范围内的网站的第一交互图;
图4为本申请实施例提供的一种访问在允许范围内的网站的第二交互图;
图5为本申请实施例提供的另一种应用于网关的访问控制方法的流程图;
图6为本申请实施例提供的另一种应用于交换机的访问控制方法的流程图;
图7为本申请实施例提供的一种访问不在允许范围内的网站的第一交互图;
图8为本申请实施例提供的一种访问不在允许范围内的网站的第二交互图;
图9为本申请实施例提供的一种应用于网关的访问控制装置的结构框图;
图10为本申请实施例提供的一种应用于交换机的访问控制装置的结构框图;
图11为本申请实施例的电子设备的结构示意图。
图标:900、1000-访问控制装置;901-通信模块;902-确定模块;903-改写模块;1001-判断模块;1002-转发模块;1100-电子设备;1101-处理器;1102-通信接口;1103-存储器;1104-总线。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
本申请提供一种访问控制方法、装置、电子设备和存储介质,用以实现对终端进行访问限制的同时,降低对网关性能的消耗,缓解终端访问出现延迟的问题。
本申请提供的访问控制方法,允许内网终端访问指定的某些外网网站(Internet网站),对于不在允许范围内的外网网站则不允许终端访问。为了方便说明,以下分别以终端访问允许访问的外网网站和终端访问不允许访问的外网网站这两种情况进行说明。
在终端访问允许访问的外网网站时,请参阅图1,图1为本申请实施例提供的一种应用于网关的访问控制方法的流程图,该访问控制方法可以包括如下步骤:
步骤101:接收终端发送的DNS请求。
步骤102:将DNS请求发送至公网DNS服务器,并接收公网DNS服务器返回的DNS应答。
步骤103:对DNS应答进行解析,确定DNS应答对应的域名。
步骤104:当确定DNS应答对应的域名为允许访问的域名时,根据预设的DNS改写规则,将DNS应答中域名对应的IP地址改写为第一IP地址,并将改写后的DNS应答发送给终端。
下面将结合示例对上述步骤进行说明。
步骤101:接收终端发送的DNS请求。
本申请实施例中,终端需要访问网站时,用户输入该网站的域名。终端根据该域名向域名服务器发起DNS请求,以确定该域名对应的IP地址。需要说明的是,域名服务器可以分为内网域名服务器和公网域名服务器(公网DNS服务器)。内网域名服务器用于管理内网的域名和IP地址的映射关系。公网域名服务器用于管理外网的域名和IP地址的映射关系。网关部署于内网出口,对内网和外网之间的设备的访问流量进行控制。
终端发送出DNS请求后,可以首先发送给内网域名服务器。若域名为一内网域名,则内网域名服务器根据预设的规则进行处理,本申请实施例是针对终端访问外网时进行访问控制,对终端访问内网的情况不做限定。
若域名为一外网域名,内网域名服务器无法确定对应的IP地址,则将该DNS请求发送给交换机,由交换机将该DNS请求转发给网关。
步骤102:将DNS请求发送至公网DNS服务器,并接收公网DNS服务器返回的DNS应答。
本申请实施例中,网关接收到终端发送的DNS请求后,将该DNS请求发送至公网DNS服务器。公网DNS服务器根据DNS请求中的域名确定该域名的IP地址,发送DNS应答,该DNS应答中包括DNS请求中的域名对应的IP地址。网关接收该DNS应答。
步骤103:对DNS应答进行解析,确定DNS应答对应的域名。
本申请实施例中,网关接收到终端发送的DNS应答后,对该DNS应答进行解析,确定该DNS应答对应的域名信息。
步骤104:当确定DNS应答对应的域名为允许访问的域名时,根据预设的DNS改写规则,将DNS应答中域名对应的IP地址改写为第一IP地址,并将改写后DNS应答发送给终端。
本申请实施例中,网关对DNS应答中对应的域名进行判断,确定域名是否为允许访问的域名。由于本申请实施例是对终端访问允许访问的外网网站的情况进行的介绍,DNS应答中对应的域名为允许访问的域名。网关中预设有DNS改写规则,根据DNS改写规则,将DNS应答中域名对应的IP地址改写为第一IP地址,将改写后的DNS应答发送给终端。
对于每个允许访问的域名,网关中对应配置有DNS改写规则,将允许访问的域名对应的IP地址改写为第一IP地址。需要说明的是,第一IP地址为一内网IP地址,该内网IP地址并不指向任何一个内网的设备,可以理解为一个虚拟的IP地址。举例来说,假设域名www.baidu.com为允许访问的域名,DNS改写规则可以为:
编号 | DNS域名 | 改写后的IP地址 |
1 | www.baidu.com | 10.101.1.100 |
该改写规则可以理解为,将域名www.baidu.com对应的IP地址(公网IP地址)改写为10.101.1.100。
进一步地,作为一种可选的实施方式,DNS改写规则可以为一对一转换。本申请实施例中,为每一个允许访问的域名预设一个内网地址。例如:
编号 | DNS域名 | 改写后的IP地址 |
1 | www.baidu.com | 10.101.1.100 |
2 | www.sina.com | 10.101.1.101 |
上述改写规则可以理解为,存在2条改写规则,分别对应编号1和编号2,编号1的改写规则为将域名www.baidu.com的IP地址改写为内网IP地址10.101.1.100,编号2的改写规则为将域名www.sina.com的IP地址改写为内网IP地址10.101.1.101。
作为另一种可选的实施方式,DNS改写规则可以为多对多转换。本申请实施例中,网关可以支持通配符域名,将多个域名匹配多个IP地址。例如:
编号 | DNS域名 | 改写后的IP地址 |
1 | *.baidu.com | 10.101.1.0/24 |
上述改写规则中,“*”可以代表多种不同的字段,例如“www”、“net”等。上述规则可以匹配多种不同的域名,例如,将域名www.baidu.com的IP地址改写为内网网段10.101.1.0/24中的一个IP地址,将域名net.baidu.com的IP地址改写为内网网段10.101.1.0/24中的另一个IP地址。
作为一种可选的实施方式,在步骤104之后,本申请提供的访问控制方法还包括如下内容:
保存DNS应答中域名对应的IP地址和第一IP地址的映射关系。
本申请实施例中,对DNS应答进行改写后,将保存DNS应答中域名对应的IP地址和第一IP地址的映射关系,即保存改写前和改写后的映射关系。保存该关系是为了在后续接收到终端发送的基于第一IP地址的访问请求时,根据保存的映射关系,进行目的地址转换(Destination Network Address Translation,DNAT)。
需要说明的是,经过上述步骤101-104,网关设备将终端发送的DNS请求转发给公网域名服务器,将公网域名服务器返回的DNS应答中的域名信息修改为第一IP地址,并将修改后的DNS应答发送给终端,以使终端生成的以第一IP地址作为目的IP地址的访问请求满足交换机的转发条件,进而实现终端对DNS应答对应的域名的网站进行访问。以下对终端根据DNS请求进行网站访问的过程进行介绍。
作为一种可选的实施方式,本申请提供的访问控制方法还包括如下内容,当接收终端发送的访问请求后,将访问访问请求中的目的IP地址改写为DNS应答中域名对应的IP地址,并将改写后的访问请求发送给DNS应答中域名对应的服务器。
本申请实施例中,若网关能接收到终端发送的访问请求,则说明终端发送的访问请求符合交换机的转发条件,进而说明该终端发送的访问请求对应的IP地址为经过网关改写后的DNS请求中的IP地址。因此,网关设备在接收到该访问请求后,将该访问请求的IP地址改写为DNS应答中域名对应的IP地址,并将访问请求发送给DNS应答中域名对应的服务器,从而实现终端对允许访问的外网网站的访问。
请参阅图2,图2为本申请实施例提供的一种应用于交换机的访问控制方法的流程图,该访问控制方法可以包括如下步骤:
步骤201:当接收到终端发送的访问请求时,判断访问请求的目的IP地址是否满足转发条件。
步骤202:若满足转发条件时,将终端发送的访问请求转发至网关,以使终端访问目的IP地址对应的服务器。
下面将结合示例对上述步骤进行说明。需要说明的是,本申请实施例还是在终端访问允许访问的外网网站的情况下进行的说明。
步骤201:当接收到当接收到终端发送的访问请求时,判断访问请求的目的IP地址是否满足转发条件。
本申请实施例中,终端接收到网关设备根据预设的改写规则改写后的DNS请求后,将改写后的第一IP地址作为目的地址,发送访问请求。交换机接收终端发送的访问请求,并判断访问请求的目的IP地址是否满足转发条件。
作为一种可选的实施方式,交换机中保存有静态路由表且禁用默认路由,所述静态路由表中保存有网关对DNS应答改写后的IP地址,满足转发条件为:静态路由表中存在访问请求的目的IP地址。本申请实施例中,交换机上禁用默认路由。当交换机上禁用默认路由时,交换机只会根据静态路由表进行转发。若接收到的报文的目的IP地址能在静态路由表中查询到,则根据静态路由表进行转发;若查询不到,则将该报文丢弃,不进行转发。交换机上的静态路由表中对应的目的IP地址为网关对DNS应答改写后的IP地址。因此,终端只有访问经过网关改写的DNS应答对应的域名时,访问请求才满足转发条件。
作为另一种可选的实施方式,交换机中可以预先保存有目的IP地址表,该目的IP地址表与网关设备改写后的IP地址对应,满足转发条件为:目的IP地址表中存在访问请求的目的IP地址。
步骤202:若满足转发条件时,将终端发送的访问请求转发至网关,以使终端访问目的IP地址对应的服务器。
由于本申请实施例对应的情况为终端访问允许访问的外网网站,终端发送的访问请求的目的IP地址满足转发条件。交换机将终端发送的访问请求转发至网关,网关接收到该访问请求后,将该访问请求发送至对应的外网服务器,实现终端访问目的IP地址对应的服务器。
作为一种可选的实施方式,本申请实施例提供的访问控制方法还可以包括如下内容:
判断当前时间是否为预设工作时间;若为是,禁用默认路由;若为否,启用所述默认路由。
本申请实施例中,管理员可以预先设定一工作时间,交换机判断当前时间是否为预设工作时间,若为预设工作时间,则禁用默认路由;若不为预设工作时间,则启动默认路由。
在本申请实施例中,交换机中保存有静态路由表,满足转发条件为静态路由表中存在访问请求的目的IP地址或存在默认路由。根据前述原理可知,在预设工作时间内,由于禁用了默认路由,终端只能访问允许访问的外网网站,无法访问不允许访问的外网网站。在非预设工作时间内,终端访问不允许访问的外网网站时,网关不会进行改写,静态路由表中存在访问请求的目的IP地址,但是由于启用了默认路由,交换机会按照默认路由将访问请求转发给网关,从而实现对不允许访问的外网网站进行访问。通过上述方式,可以实现在工作时间内对终端的访问进行限制,在非工作时间内解除对终端的访问进行限制。
以下以一个具体的实例,对终端访问允许访问的外网网站的整体流程继续介绍。
请一并参阅图3-4。本申请实施例中,交换机上禁用默认路由,仅为内网DNS服务器配置访问外网的路由,所以只有内网DNS服务器可以与公网DNS服务器交互,其他流量无法直接访问公网服务器。在其他实施例中,也可以不设置内网DNS服务器,交换机配置为允许转发DNS请求且禁用默认路由,从而使得交换机可以将终端发送的DNS请求转发至网关,进而实现终端可以访问公网DNS服务器,但是无法直接访问除公网DNS服务器以外的其他公网服务器。
假设终端要访问www.baidu.com(允许访问的外网网站,公网IP地址为200.1.1.200),终端首先向内网DNS服务器发送DNS请求。假设内网DNS服务器没保存该域名对应的IP地址,则将终端发送的DNS请求通过交换机转发网关,向公网DNS服务器请求对应的IP地址。网关接收到DNS请求后,根据默认路由将DNS请求转发到公网DNS服务器。公网DNS服务器处理并应答DNS请求,向网关发送DNS应答,内容为:www.baidu.com at 200.1.1.200(即www.baidu.com对应的公网IP地址为200.1.1.200)。网关对DNS应答进行解析,确定DNS应答对应的域名。由于该域名为允许访问的域名,则根据预设的DNS改写规则,将DNS应答改写为:www.baidu.com at 10.101.1.100。其中,10.101.1.100为内网的一IP地址。网关记录映射关系10.101.1.100和200.1.1.200。网关将DNS应答通过交换机、内网DNS服务器等设备一步一步转发,最终终端接收到该DNS应答。
终端根据该DNS应答,发送访问请求。访问请求可以看作一数据包,该数据包的源IP地址为终端的IP地址,192.168.1.10,目的IP地址为10.101.1.100。该访问请求到达交换机后,交换机上保存有静态路由表,静态路由表中为网关改写后的IP地址。因此,交换机可以根据静态路由表将该数据包转发给网关。网关接收到该数据包后,根据预先保存的映射关系,将10.101.1.100改写为200.1.1.200。与域名为www.baidu.com的服务器建立TCP会话,将该数据包发送给对应的外网服务器,从而实现终端对www.baidu.com的访问。后续www.baidu.com回复的数据包的处理与DNS应答的处理类似,为使说明书简洁,在此不做赘述。
在终端访问不许访问的外网网站时,请参阅图5,图5为本申请实施例提供的一种应用于网关的访问控制方法的流程图,该访问控制方法可以包括如下步骤:
步骤501:接收终端发送的DNS请求。
步骤502:将DNS请求发送至公网DNS服务器,并接收公网DNS服务器返回的DNS应答。
步骤503:对DNS应答进行解析,确定DNS应答对应的域名。
步骤504:当确定DNS应答对应的域名为禁止访问的域名时,将DNS应答发送给终端。
本申请实施例中,步骤501-503与前述实施例101-103相同,在此不做赘述。
步骤504:当确定DNS应答对应的域名为禁止访问的域名时,将DNS应答发送给终端。
本申请实施例中,当DNS应答对应的域名为禁止访问的域名时,不对该域名进行改写,直接将该域名发送给终端。
相应的,请参阅图6,图6为本申请实施例提供的一种应用于交换机的访问控制方法的流程图,该访问控制方法可以包括如下步骤:
步骤601:当接收到当接收到终端发送的访问请求时,判断访问请求的目的IP地址是否满足转发条件。
步骤602:若不满足转发条件时,丢弃访问请求。
本申请实施例中,步骤601与前述实施例201相同,在此不做赘述。
步骤602:若不满足转发条件时,丢弃访问请求。
本申请实施例中,终端发送的访问请求中的目的IP地址没有经过网关的改写,因此,不符合交换机的转发规则,交换机将该访问请求丢弃,从而实现终端无法访问不允许访问的网站。
以下以一个具体的实例,对终端访问不允许访问的外网网站的整体流程继续介绍。
请一并参阅图7-8。本申请实施例与前述图3-4对应的实施例中的场景相同。
假设终端要访问www.sina.com(不允许访问的外网网站,公网IP地址为200.200.200.200)。网关接收DNS应答前,与前述图3-4对应的实施例相同,在此不做赘述。网关接收到DNS应答后,由于该DNS应答对应的域名为不允许访问的外网网站,则不进行改写,直接将DNS应答www.baidu.com at 200.200.200.200发送给终端。
终端根据该DNS应答,发送访问请求,源IP地址为终端的IP地址,192.168.1.10,目的IP地址为200.200.200.200。该访问请求到达交换机后,由于该目的IP地址为外网IP地址,交换机根据静态路由表无法确定路由信息且交换机上没有配置默认理由,因此,交换机将该数据包直接丢弃。由于路由不同,终端无法与外网网站www.sina.com建立连接,访问失败。
综上所述,本申请提供的访问控制方法,当终端访问在允许范围内的网站时,网关对DNS应答中对应的IP地址进行改写,使得终端根据改写后的IP地址发起的访问请求能满足交换机的转发条件,进而实现终端访问在允许范围内的网站;当终端访问不在允许范围内的网站,网关不对DNS应答中对应的IP地址进行改写,终端根据未改写的IP地址发起的访问请求不能满足交换机的转发条件,进而不允许终端访问不在允许范围内的网站。通过上述方法,只需要在网关处进行DNS改写即可实现对终端访问的控制,降低了对网关性能的消耗,进而有效缓解终端访问出现延迟的问题。
基于同一发明构思,本申请实施例提供一种访问控制装置。请参阅图9,图9为本申请实施例提供的一种应用于网关的访问控制装置的结构框图,该访问控制装置900配置于网关,该访问控制装置900可以包括:
通信模块901,用于接收所述终端发送的DNS请求;将所述DNS请求发送至公网DNS服务器并接收所述公网DNS服务器返回的DNS应答;
确定模块902,用于对所述DNS应答进行解析,确定所述DNS应答对应的域名;
改写模块903,用于在确定所述DNS应答对应的域名为允许访问的域名时,根据预设的DNS改写规则,将所述DNS应答中域名对应的IP地址改写为第一IP地址;
所述通信模块901还用于将改写后的DNS应答发送给所述终端,以使所述终端生成的以所述第一IP地址作为目的IP地址的访问请求满足所述交换机的转发条件,进而实现所述终端对所述DNS应答对应的域名的网站进行访问;在确定所述DNS应答对应的域名为禁止访问的域名时,将所述DNS应答发送给所述终端,其中,所述终端根据所述DNS应答中域名对应的IP地址生成的访问请求无法满足所述交换机的转发条件,无法实现对所述DNS应答对应的域名的网站进行访问。
在可选的实施方式中,所述改写模块903还用于在接收到终端发送的所述访问请求时,将所述访问请求中的目的IP地址改写为所述DNS应答中域名对应的IP地址,并将改写后的所述访问请求发送给所述DNS应答中域名对应的服务器。
在可选的实施方式中,所述装置还包括保存模块,用于保存所述DNS应答中域名对应的IP地址和所述第一IP地址的映射关系。
此外,本申请实施例提供一种访问控制装置。请参阅图10,图10为本申请实施例提供的一种应用于交换机的访问控制装置的结构框图,该访问控制装置1000配置于交换机,该访问控制装置1000可以包括:
判断模块1001,用于在接收到所述终端发送的访问请求时,判断所述访问请求的目的IP地址是否满足转发条件;
转发模块1002,用于在判断模块1001的判断结果为满足所述转发条件时,将所述终端发送的访问请求转发至所述网关,以使所述终端访问所述目的IP地址对应的服务器;在判断模块1001的判断结果为满足所述转发条件时不满足所述转发条件时,丢弃所述访问请求,以使所述终端无法访问所述目的IP地址对应的服务器。
在可选的实施方式中,所述交换机中保存有静态路由表且禁用默认路由,所述静态路由表中保存有网关对DNS应答改写后的IP地址,所述满足转发条件为:所述静态路由表中存在所述访问请求的目的IP地址。
在可选的实施方式中,所述装置还包括调整模块,用于判断当前时间是否为预设工作时间;若为是,禁用默认路由;若为否,启用所述默认路由。
请参阅图11,图11为本申请实施例的电子设备1100的结构示意图,该电子设备1100包括:至少一个处理器1101,至少一个通信接口1102,至少一个存储器1103和至少一个总线1104。其中,总线1104用于实现这些组件直接的连接通信,通信接口1102用于与其他节点设备进行信令或数据的通信,存储器1103存储有处理器1101可执行的机器可读指令。当电子设备1100运行时,处理器1101与存储器1103之间通过总线1104通信,机器可读指令被处理器1101调用时执行如上述访问控制方法。
处理器1101可以是一种集成电路芯片,具有信号处理能力。上述处理器1101可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器1103可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
可以理解,图11所示的结构仅为示意,电子设备1100还可包括比图11中所示更多或者更少的组件,或者具有与图11所示不同的配置。图11中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中,电子设备1100可以是,但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备,还可以是虚拟机等虚拟设备。另外,电子设备1100也不一定是单台设备,还可以是多台设备的组合,例如服务器集群,等等。
此外,本申请实施例还提供一种计算机存储介质,该计算机存储介质上存储有计算机程序,该计算机程序被计算机运行时,执行如上述实施例中访问控制方法的步骤。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种访问控制方法,其特征在于,应用于网关,所述网关与交换机连接,终端通过所述交换机与所述网关连接,所述方法包括:
接收所述终端发送的DNS请求;
将所述DNS请求发送至公网DNS服务器,并接收所述公网DNS服务器返回的DNS应答;
对所述DNS应答进行解析,确定所述DNS应答对应的域名;
当确定所述DNS应答对应的域名为允许访问的域名时,根据预设的DNS改写规则,将所述DNS应答中域名对应的IP地址改写为第一IP地址,并将改写后的DNS应答发送给所述终端,以使所述终端生成的以所述第一IP地址作为目的IP地址的访问请求满足所述交换机的转发条件,进而实现所述终端对所述DNS应答对应的域名的网站进行访问;
当确定所述DNS应答对应的域名为禁止访问的域名时,将所述DNS应答发送给所述终端,其中,所述终端根据所述DNS应答中域名对应的IP地址生成的访问请求无法满足所述交换机的转发条件,无法实现对所述DNS应答对应的域名的网站进行访问。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当接收到终端发送的所述访问请求时,将所述访问请求中的目的IP地址改写为所述DNS应答中域名对应的IP地址,并将改写后的所述访问请求发送给所述DNS应答中域名对应的服务器。
3.根据权利要求1所述的方法,其特征在于,所述根据预设的DNS改写规则,将所述DNS应答中域名对应的IP地址改写为第一IP地址之后,所述方法还包括:
保存所述DNS应答中域名对应的IP地址和所述第一IP地址的映射关系。
4.一种访问控制方法,其特征在于,应用于交换机,所述交换机与网关连接,终端通过所述交换机与所述网关连接,所述方法包括:
当接收到所述终端发送的访问请求时,判断所述访问请求的目的IP地址是否满足转发条件;
若满足所述转发条件时,将所述终端发送的访问请求转发至所述网关,以使所述终端访问所述目的IP地址对应的服务器;
若不满足所述转发条件时,丢弃所述访问请求,以使所述终端无法访问所述目的IP地址对应的服务器。
5.根据权利要求4所述的方法,其特征在于,所述交换机中保存有静态路由表且禁用默认路由,所述静态路由表中保存有网关对DNS应答改写后的IP地址,所述满足转发条件为:所述静态路由表中存在所述访问请求的目的IP地址。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
判断当前时间是否为预设工作时间;
若为是,禁用默认路由;
若为否,启用所述默认路由。
7.一种访问控制装置,其特征在于,应用于网关,所述网关与交换机连接,终端通过所述交换机与所述网关连接,所述装置包括:
通信模块,用于接收所述终端发送的DNS请求;将所述DNS请求发送至公网DNS服务器并接收所述公网DNS服务器返回的DNS应答;
确定模块,用于对所述DNS应答进行解析,确定所述DNS应答对应的域名;
改写模块,用于在确定所述DNS应答对应的域名为允许访问的域名时,根据预设的DNS改写规则,将所述DNS应答中域名对应的IP地址改写为第一IP地址;
所述通信模块还用于将改写后的DNS应答发送给所述终端,以使所述终端生成的以所述第一IP地址作为目的IP地址的访问请求满足所述交换机的转发条件,进而实现所述终端对所述DNS应答对应的域名的网站进行访问;在确定所述DNS应答对应的域名为禁止访问的域名时,将所述DNS应答发送给所述终端,其中,所述终端根据所述DNS应答中域名对应的IP地址生成的访问请求无法满足所述交换机的转发条件,无法实现对所述DNS应答对应的域名的网站进行访问。
8.一种访问控制装置,其特征在于,应用于交换机,所述交换机与网关连接,终端通过所述交换机与所述网关连接,所述装置包括:
判断模块,用于在接收到所述终端发送的访问请求时,判断所述访问请求的目的IP地址是否满足转发条件;
转发模块,用于在判断模块的判断结果为满足所述转发条件时,将所述终端发送的访问请求转发至所述网关,以使所述终端访问所述目的IP地址对应的服务器;在判断模块的判断结果为满足所述转发条件时不满足所述转发条件时,丢弃所述访问请求,以使所述终端无法访问所述目的IP地址对应的服务器。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-3或如权利要求4-6任一项所述的方法。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序指令,所述计算机程序指令被计算机读取并运行时,执行如权利要求1-3或如权利要求4-6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111622819.8A CN114338809B (zh) | 2021-12-28 | 2021-12-28 | 访问控制方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111622819.8A CN114338809B (zh) | 2021-12-28 | 2021-12-28 | 访问控制方法、装置、电子设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114338809A true CN114338809A (zh) | 2022-04-12 |
CN114338809B CN114338809B (zh) | 2024-06-25 |
Family
ID=81015391
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111622819.8A Active CN114338809B (zh) | 2021-12-28 | 2021-12-28 | 访问控制方法、装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338809B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114945045A (zh) * | 2022-05-18 | 2022-08-26 | 深圳渊联技术有限公司 | 网络服务响应方法、装置、网络设备和存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605097A (zh) * | 2009-07-22 | 2009-12-16 | 赛尔网络有限公司 | IPv6/IPv4地址分级访问权限控制方法和访问控制网关 |
CN104509066A (zh) * | 2014-06-05 | 2015-04-08 | 胡汉强 | 一种访问网络的方法及网络设备、管理服务器 |
US20150358279A1 (en) * | 2012-03-21 | 2015-12-10 | Raytheon Bbn Technologies Corp. | Destination address rewriting to block peer-to-peer communications |
CN107094153A (zh) * | 2017-06-06 | 2017-08-25 | 青岛海信移动通信技术股份有限公司 | 终端访问网站的方法及系统、终端 |
CN108616490A (zh) * | 2016-12-13 | 2018-10-02 | 腾讯科技(深圳)有限公司 | 一种网络访问控制方法、装置及系统 |
WO2020035046A1 (zh) * | 2018-08-16 | 2020-02-20 | 新华三技术有限公司 | 访问认证方法、装置及认证设备 |
-
2021
- 2021-12-28 CN CN202111622819.8A patent/CN114338809B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605097A (zh) * | 2009-07-22 | 2009-12-16 | 赛尔网络有限公司 | IPv6/IPv4地址分级访问权限控制方法和访问控制网关 |
US20150358279A1 (en) * | 2012-03-21 | 2015-12-10 | Raytheon Bbn Technologies Corp. | Destination address rewriting to block peer-to-peer communications |
CN104509066A (zh) * | 2014-06-05 | 2015-04-08 | 胡汉强 | 一种访问网络的方法及网络设备、管理服务器 |
CN108616490A (zh) * | 2016-12-13 | 2018-10-02 | 腾讯科技(深圳)有限公司 | 一种网络访问控制方法、装置及系统 |
CN107094153A (zh) * | 2017-06-06 | 2017-08-25 | 青岛海信移动通信技术股份有限公司 | 终端访问网站的方法及系统、终端 |
WO2020035046A1 (zh) * | 2018-08-16 | 2020-02-20 | 新华三技术有限公司 | 访问认证方法、装置及认证设备 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114945045A (zh) * | 2022-05-18 | 2022-08-26 | 深圳渊联技术有限公司 | 网络服务响应方法、装置、网络设备和存储介质 |
CN114945045B (zh) * | 2022-05-18 | 2023-09-26 | 深圳渊联技术有限公司 | 网络服务响应方法、装置、网络设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114338809B (zh) | 2024-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108616490B (zh) | 一种网络访问控制方法、装置及系统 | |
CN107528862B (zh) | 域名解析的方法及装置 | |
US8073936B2 (en) | Providing support for responding to location protocol queries within a network node | |
US9319378B2 (en) | Methods, systems, and computer readable media for using a diameter routing agent (DRA) to obtain mappings between mobile subscriber identification information and dynamically assigned internet protocol (IP) addresses and for making the mappings accessible to applications | |
US11218437B2 (en) | Method for network traffic forwarding, request sending, and communication acceleration, forwarding server and node server | |
CN114095430B (zh) | 一种访问报文的处理方法、系统及工作节点 | |
US10182033B1 (en) | Integration of service scaling and service discovery systems | |
CN110012118B (zh) | 一种提供网络地址转换nat服务的方法及控制器 | |
CN108429739B (zh) | 一种识别蜜罐的方法、系统及终端设备 | |
CN112235408A (zh) | 网络系统、反向代理方法及反向代理服务器 | |
WO2017177437A1 (zh) | 一种域名解析方法、装置及系统 | |
WO2023050933A1 (zh) | 确定失陷主机的方法及装置 | |
CN113141405A (zh) | 服务访问方法、中间件系统、电子设备和存储介质 | |
CN112825524B (zh) | 网络服务节点的确定方法、装置和系统 | |
CN109413224B (zh) | 报文转发方法和装置 | |
CN115190062A (zh) | 业务处理方法及装置、电子设备和计算机可读存储介质 | |
US20150370906A1 (en) | System and method for mapping identifier with locator using bloom filter | |
CN114338809B (zh) | 访问控制方法、装置、电子设备和存储介质 | |
US11122131B1 (en) | Edge cloud resource location using enhanced DNS service | |
US10229459B1 (en) | Method and apparatus for routing in transaction management systems | |
CN112398796B (zh) | 一种信息处理方法、装置、设备及计算机可读存储介质 | |
CN107666444B (zh) | 一种数据流量路由的方法和系统 | |
US10333966B2 (en) | Quarantining an internet protocol address | |
US20240244080A1 (en) | Method and apparatus for determining compromised host | |
CN115460270B (zh) | 一种5g upf违规业务阻断方法及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |