CN114614999B - 一种网络访问方法、装置、设备和存储介质 - Google Patents
一种网络访问方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN114614999B CN114614999B CN202011396381.1A CN202011396381A CN114614999B CN 114614999 B CN114614999 B CN 114614999B CN 202011396381 A CN202011396381 A CN 202011396381A CN 114614999 B CN114614999 B CN 114614999B
- Authority
- CN
- China
- Prior art keywords
- network
- request packet
- access
- request
- control server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
Abstract
本发明实施例公开了一种网络访问方法、装置、终端设备和存储介质。该网络访问方法,包括:拦截网络协议为UDP且目的端口为域名服务器的网络请求包,网络请求包来自内网中的终端设备,内网包括局域网并连接到外网,局域网通过内部网关连接到外部网关,内网中还设置有接入控制服务器,接入控制服务器与外部网关以及内部网关连接;基于网络请求包分别得到外网访问请求包和内网访问请求包;将外网访问请求包和内网访问请求包分别发往接入控制服务器和内部网关;根据接入控制服务器或内部网关的网络请求回复完成网络请求。通过将网络请求包分别发送到内网和外网,在校园专网实现对外网和内网的透明代理和无感访问。
Description
技术领域
本发明实施例涉及网络技术领域,尤其涉及网络访问方法、装置、设备和存储介质。
背景技术
在常规的网络访问过程中,大体可以划分为三类网络请求,TCP(TransmissionControl Protocol,传输控制协议)、UDP(User Datagram Protocol,用户数据报协议)和DNS(Domain Name System,域名系统)。其中DNS用于域名到IP 地址的转换,当使用浏览器访问一个域名时,需要先发送DNS解析请求到DNS服务器,DNS服务器返回域名对应的IP地址,浏览器最后再向该IP请求具体内容。
发明人在布置于局域网(例如校园网)的终端设备(例如电子白板)中实现网络访问时,因为DNS服务器的代理限制,对外网和内网的访问需要专网认证,对用户使用过程造成干扰。
发明内容
本发明提供了一种网络访问方法、装置、设备和存储介质,以解决现有技术在终端设备对外网和内网的访问需要专网认证的技术问题。
第一方面,本发明实施例提供了一种网络访问方法,包括:
拦截网络协议为UDP且目的端口为域名服务器的网络请求包,网络请求包来自内网中的终端设备,内网包括至少一个局域网,内网通过外部网关连接到外网,局域网通过内部网关连接到外部网关,内网中还设置有用于实现DNS代理的接入控制服务器,接入控制服务器与外部网关以及内部网关连接;
将网络请求包注入接入控制服务器对应DNS代理信息得到外网访问请求包,将网络请求包注入原始套接字链接得到内网访问请求包;
将外网访问请求包和内网访问请求包分别发往接入控制服务器和内部网关;
根据接入控制服务器或内部网关的网络请求回复完成网络请求。
第二方面,本发明实施例还提供了一种网络访问装置,包括:
请求拦截单元,用于拦截网络协议为UDP且目的端口为域名服务器的网络请求包,网络请求包来自内网中的终端设备,内网包括至少一个局域网,内网通过外部网关连接到外网,局域网通过内部网关连接到外部网关,内网中还设置有用于实现DNS代理的接入控制服务器,接入控制服务器与外部网关以及内部网关连接;
请求注入单元,用于将网络请求包注入接入控制服务器对应DNS代理信息得到外网访问请求包,将网络请求包注入原始套接字链接得到内网访问请求包;
请求发送单元,用于将外网访问请求包和内网访问请求包分别发往接入控制服务器和内部网关;
请求响应单元,用于根据接入控制服务器或内部网关的网络请求回复完成网络请求。
第三方面,本发明实施例还提供了一种终端设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面的网络访问方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面的网络访问方法。
上述网络访问方法、装置、终端设备和存储介质,拦截网络协议为UDP且目的端口为域名服务器的网络请求包,网络请求包来自内网中的终端设备,内网包括至少一个局域网,内网通过外部网关连接到外网,局域网通过内部网关连接到外部网关,内网中还设置有用于实现DNS代理的接入控制服务器,接入控制服务器与外部网关以及内部网关连接;将网络请求包注入接入控制服务器对应DNS代理信息得到外网访问请求包,将网络请求包注入原始套接字链接得到内网访问请求包;将外网访问请求包和内网访问请求包分别发往接入控制服务器和内部网关;根据接入控制服务器或内部网关的网络请求回复完成网络请求。通过将网络请求包分别发送到内网和外网,在校园专网实现对外网和内网的透明代理和无感访问。
附图说明
图1为本发明实施例一提供的一种网络访问方法的流程图;
图2为本发明实施例一提供的网络构示意图;
图3为本发明实施例一提供的一种网络访问方法的数据传输示意图;
图4为本发明实施例二提供的一种网络访问装置的结构示意图;
图5为本发明实施例三提供的一种终端设备的结构示意图。
实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
需要注意的是,由于篇幅所限,本申请说明书没有穷举所有可选的实施方式,本领域技术人员在阅读本申请说明书后,应该能够想到,只要技术特征不互相矛盾,那么技术特征的任意组合均可以构成可选的实施方式。
例如,在实施例一的一个实施方式中,记载了一个技术特征:通过内核态拦截网络请求包,在实施例一的另一个实施方式中,记载了另一个技术特征:DNS代理信息预先已经写入用户态。由于以上两个技术特征不互相矛盾,本领域技术人员在阅读本申请说明书后,应该能够想到,同时具有这两个特征的实施方式也是一种可选的实施方式。
另外需要注意的是,本方案的实施形态也不是实施例一中记载的所有技术特征的集合,其中某些技术特征的描述是为了方案的优化实现,实施例一中记载的若干技术特征的组合如果可以实现本方案的设计初衷,其即可作为一种未独立的实施方式,当然也可以作为一种具体的产品形态。
下面对各实施例进行详细说明。
实施例一
图1为本发明实施例一提供的一种网络访问方法的流程图。实施例中提供的网络访问方法可以由用于网络访问的各种操作设备执行,该操作设备可以通过软件和/或硬件的方式实现,该操作设备可以是两个或多个物理实体构成,也可以是一个物理实体构成。
具体的,参考图1,该网络访问方法具体包括:
步骤S101:拦截网络协议为UDP且目的端口为域名服务器的网络请求包。
具体而言,网络请求包来自内网中的终端设备,内网包括至少一个局域网,内网通过外部网关连接到外网,局域网通过内部网关连接到外部网关,内网中还设置有用于实现DNS代理的接入控制服务器,接入控制服务器与外部网关以及内部网关连接。
在本方案所针对对的内网网络架构中,设置接入控制服务器,内网通过外部网关连接到外网,接入控制服务器连接到外部网关。该内网可能由一个或多个局域网组成,每个局域网均通过内部网关连接到外部网关,接入控制服务器同时也接入到内部网关。在本方案中,接入控制服务器可以理解为设置于内网的边缘服务器,接入控制服务器设置为不需要认证即可访问外网。
在具体实现方式中,主要以基于WFP(Windows Filtering Platform, Windows过滤平台)的终端设备描述实现本方案网络访问的过程。WFP是windows推出的用于TCP/IP协议栈五层各层里面对数据包进行交互操作的基础框架,该框架提供了一系列的API用于实现交互目的。在WFP内核框架中,一般包括用户态、内核态和硬件层,其中在内核态可以访问内存的所有数据,包括外围设备,例如硬盘,网卡,也可以从一个程序切换到另一个程序。在用户态只能受限的访问内存,且不允许访问外围设备,占用CPU的能力被剥夺,CPU资源可以被其他程序获取。
在实际进行网络访问时,基于网络访问请求生成的网络请求包在用户态生成,并被内核态拦截到,由内核态基于拦截到的网络请求包进行信息反馈以实现后续访问。在具体拦截过程中,主要针对网络协议为UDP且目的端口为域名服务器的网络请求包进行拦截。在网络技术中,端口包括逻辑端口和物理端口两种类型,端口通过端口号来标记,其中域名服务器的端口号为53,也就是说,内核态要拦截网络协议为UDP,且目的端口为53的所有网络请求包。在现有的访问处理中,该网络请求包要直接发送到DNS服务器,在本方案中,拦截到网络请求包之后,需要先将网络请求包插入待处理请求队列,即对每个网络访问请求暂缓处理。
步骤S102:将网络请求包注入接入控制服务器对应DNS代理信息得到外网访问请求包,将网络请求包注入原始套接字链接得到内网访问请求包。
在暂缓处理过程中,主要是基于一个网络请求包生成两个衍生的网络请求包,通过两个衍生的网络请求包以实现对不同网络的访问。具体而言,在内核态拦截到网络请求包之后,还需要向终端设备的用户态发送请求通知,用户态接收到请求通知之后,向内核态返回DNS代理信息作为对请求通知的响应,DNS代理信息对应于接入控制服务器(AC,AccessController),内核态将网络请求包注入到该DNS代理信息得到外网访问请求包,一般来说,DNS代理信息包括需要发往的IP和端口,DNS代理信息预先写入用户态或由用户态检测内网中的接入控制服务器发现获得;内核态另外将网络请求包注入原始套接字链接得到内网访问请求包,注入到原始套接字链接主要用于将网络请求包发送到内网中的原始目的地址。
步骤S103:将外网访问请求包和内网访问请求包分别发往接入控制服务器和内部网关。
将步骤S102中得到的外网访问请求包和内网访问请求包分别发送到接入控制服务器和内部网关,对应将该访问请求向外网和内网分别发起。具体的单个访问过程是现有通用技术,在此不做重复说明。
步骤S104:根据接入控制服务器或内部网关的网络请求回复完成网络请求。
在本方案,用户发起的一个访问请求实质会有两个访问操作,因此在具体响应访问请求时会对应两个访问操作的成功与否做对应的处理,即若接收到接入控制服务器的DNS成功回复,则根据接入控制服务器的回复完成网络请求;若接收到内部网关的DNS成功回复,则根据内部网关的回复完成网络请求。更具体的,如果先收到的是成功回复,则根据该回复完成访问请求;如果先收到的是失败回复,该失败回复要忽略,等待第二个回复,如果第二个回复成功,则根据回复完成访问请求,如果第二个也回复失败,则确认这一次访问请求失败,输出对应的访问请求失败的提示。
参考图2,其是基于本方案中的内网网络架构的一种具体实现,其中的内网包括一个局域网,该局域网中示出了终端设备51(IP:192.168.0.125,内部网关:192.168.0.1)和终端设备52(IP:192.168.0.199,内部网关:192.168.0.1),该局域网通过内部网关40连接到外部网关20,局域网内同时还设置有接入控制服务器30与内部网关40以及外部网关20相连,整个局域网通过外部网关20与外网10进行数据传输。在本方案中,内部网关40记录有内网内的域名地址映射表,即内部网关40同时也具备有针对内网内部的DNS解析功能,所以终端设备51和终端设备52同时还将内部网关的地址记录为内网DNS服务器的地址,另外还记录有接入控制服务器30的DNS代理信息。在终端设备51发起访问时,因为终端设备51不能明确该访问请求针对是内网还是外网10,生成的网络请求包并不是直接向一个目标发出,而是将该网络请求包进行两次注入并分别发送到内部网关40和接入控制服务器30,二者分别基于网络请求包向内网和外网10发起访问并最多有一个成功回复,基于成功回复实现访问请求。在该访问过程中,终端设备51无须认证即可上网,实现了无感透明的用户访问过程。
具体完成一次访问的详细过程可以参考图3,用户在内网的终端设备的交互界面发起一次访问请求,该访问请求可能是向内网,也可能是向外网。该访问请求于终端设备的用户态被检测到并生成对应的访问请求包,该网络请求包基于用户态的系统DNS服务生成并被默认为内网访问请求包,其被内核态拦截到添加到内核任务队列。在处理该内核任务时,内核态不是直接将该网络请求包向外发送,而是先将访问请求包暂时保存,例如添加到DNS请求队列,然后向位于用户态的代理服务请求接入控制服务器对应的DNS代理信息,在获得用户态反馈的DNS代理信息之后,将该DNS代理信息注入到之前暂时保存的访问请求包,得到外网访问请求包。内核态将最初默认的内网访问请求包和后续生成的外网访问请求包分别通过物理网卡发送到内部网关和接入控制服务器,只要访问请求本身输入的域名和网络没有问题,如前所述,必然会有一个有效的反馈,对于用户而言,无需设定后台的网络参数,单次发送即可实现对外网或内网的无感访问。
上述,拦截网络协议为UDP且目的端口为域名服务器的网络请求包,网络请求包来自内网中的终端设备,内网包括至少一个局域网,内网通过外部网关连接到外网,局域网通过内部网关连接到外部网关,内网中还设置有用于实现DNS代理的接入控制服务器,接入控制服务器与外部网关以及内部网关连接;将网络请求包注入接入控制服务器对应DNS代理信息得到外网访问请求包,将网络请求包注入原始套接字链接得到内网访问请求包;将外网访问请求包和内网访问请求包分别发往接入控制服务器和内部网关;根据接入控制服务器或内部网关的网络请求回复完成网络请求。通过将网络请求包分别发送到内网和外网,在校园专网实现对外网和内网的透明代理和无感访问。
实施例二
图4为本发明实施例二提供的一种网络访问装置的结构示意图。参考图4,该网络访问装置包括:请求拦截单元201、请求注入单元202、请求发送单元203和请求响应单元204。
其中,请求拦截单元201,用于拦截网络协议为UDP且目的端口为域名服务器的网络请求包,网络请求包来自内网中的终端设备,内网包括至少一个局域网,内网通过外部网关连接到外网,局域网通过内部网关连接到外部网关,内网中还设置有用于实现DNS代理的接入控制服务器,接入控制服务器与外部网关以及内部网关连接;请求注入单元202,用于将网络请求包注入接入控制服务器对应DNS代理信息得到外网访问请求包,将网络请求包注入原始套接字链接得到内网访问请求包;请求发送单元203,用于将外网访问请求包和内网访问请求包分别发往接入控制服务器和内部网关;请求响应单元204,用于根据接入控制服务器或内部网关的网络请求回复完成网络请求。
在上述实施例的基础上,请求拦截单元201,具体用于:
通过终端设备的内核态拦截网络协议为UDP且目的端口为域名服务器的网络请求包;
该网络访问装置,还包括:
队列更新单元,用于将网络请求包插入待处理请求队列;
请求注入单元202,包括:
信息获取模块,用于通过终端设备的内核态向终端设备的用户态发送请求通知,并由内核态接收用户态响应于请求通知返回的DNS代理信息;
第一注入模块,用于在内核态将网络请求包注入接入控制服务器对应DNS代理信息得到外网访问请求包;
第二注入模块,用于在内核态将网络请求包注入原始套接字链接得到内网访问请求包。
在上述实施例的基础上,DNS代理信息预先写入用户态或由用户态检测发现。
在上述实施例的基础上,请求响应单元204,包括:
第一响应模块,用于若接收到接入控制服务器的DNS成功回复,则根据接入控制服务器的回复完成网络请求;
第二响应模块,用于若接收到内部网关的DNS成功回复,则根据内部网关的回复完成网络请求。
本发明实施例提供的网络访问装置包含在网络访问设备中,且可用于执行上述实施例一中提供的任一网络访问方法,具备相应的功能和有益效果。
实施例三
图5为本发明实施例三提供的一种终端设备的结构示意图,该终端设备是前文所述网络访问设备的一种具体的硬件呈现方案。如图5所示,该终端设备包括处理器310、存储器320、输入装置330、输出装置340以及通信装置350;终端设备中处理器310的数量可以是一个或多个,图5中以一个处理器310为例;终端设备中的处理器310、存储器320、输入装置330、输出装置340以及通信装置350可以通过总线或其他方式连接,图5中以通过总线连接为例。
存储器320作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的网络访问方法对应的程序指令/模块(例如,网络访问装置中的请求拦截单元201、请求注入单元202、请求发送单元203和请求响应单元204)。处理器310通过运行存储在存储器320中的软件程序、指令以及模块,从而执行终端设备的各种功能应用以及数据处理,即实现上述的网络访问方法。
存储器320可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端设备的使用所创建的数据等。此外,存储器320可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器320可进一步包括相对于处理器310远程设置的存储器,这些远程存储器可以通过网络连接至终端设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置330可用于接收输入的数字或字符信息,以及产生与终端设备的用户设置以及功能控制有关的键信号输入。输出装置340可包括显示屏等显示设备。
上述终端设备包含网络访问装置,可以用于执行任意网络访问方法,具备相应的功能和有益效果。
实施例四
本发明实施例还提供一种包含计算机可执行指令的存储介质,计算机可执行指令在由计算机处理器执行时用于执行本申请任意实施例中提供的网络访问方法中的相关操作,且具备相应的功能和有益效果。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。
因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD) 或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种网络访问方法,其特征在于,包括:
终端设备拦截网络协议为UDP且目的端口为域名服务器的网络请求包,所述网络请求包来自内网中的终端设备,所述内网包括至少一个局域网,所述内网通过外部网关连接到外网,所述局域网通过内部网关连接到所述外部网关,所述内网中还设置有用于实现DNS代理的接入控制服务器,所述接入控制服务器与所述外部网关以及内部网关连接;
将所述网络请求包注入所述接入控制服务器对应DNS代理信息得到外网访问请求包,将所述网络请求包注入原始套接字链接得到内网访问请求包;
将所述外网访问请求包和内网访问请求包分别发往接入控制服务器和内部网关;
根据所述接入控制服务器或内部网关的网络请求回复完成网络请求。
2.根据权利要求1所述的网络访问方法,其特征在于,所述终端设备拦截网络协议为UDP且目的端口为域名服务器的网络请求包,具体为:
通过所述终端设备的内核态拦截网络协议为UDP且目的端口为域名服务器的网络请求包;
所述拦截网络协议为UDP且目的端口为域名服务器的网络请求包之后,还包括:
将所述网络请求包插入待处理请求队列;
所述将所述网络请求包注入所述接入控制服务器对应DNS代理信息得到外网访问请求包,将所述网络请求包注入原始套接字链接得到内网访问请求包,包括:
通过所述终端设备的内核态向所述终端设备的用户态发送请求通知,并由所述内核态接收所述用户态响应于所述请求通知返回的DNS代理信息;
在所述内核态将所述网络请求包注入所述接入控制服务器对应DNS代理信息得到外网访问请求包;
在所述内核态将所述网络请求包注入原始套接字链接得到内网访问请求包。
3.根据权利要求2所述的网络访问方法,其特征在于,所述DNS代理信息预先写入所述用户态或由所述用户态检测发现。
4.根据权利要求1所述的网络访问方法,其特征在于,所述根据所述接入控制服务器或内部网关的网络请求回复完成网络请求,包括:
若接收到所述接入控制服务器的DNS成功回复,则根据所述接入控制服务器的回复完成网络请求;
若接收到所述内部网关的DNS成功回复,则根据所述内部网关的回复完成网络请求。
5.一种网络访问装置,其特征在于,包括:
请求拦截单元,用于终端设备拦截网络协议为UDP且目的端口为域名服务器的网络请求包,所述网络请求包来自内网中的终端设备,所述内网包括至少一个局域网,所述内网通过外部网关连接到外网,所述局域网通过内部网关连接到所述外部网关,所述内网中还设置有用于实现DNS代理的接入控制服务器,所述接入控制服务器与所述外部网关以及内部网关连接;
请求注入单元,用于将所述网络请求包注入所述接入控制服务器对应DNS代理信息得到外网访问请求包,将所述网络请求包注入原始套接字链接得到内网访问请求包;
请求发送单元,用于将所述外网访问请求包和内网访问请求包分别发往接入控制服务器和内部网关;
请求响应单元,用于根据所述接入控制服务器或内部网关的网络请求回复完成网络请求。
6.根据权利要求5所述的网络访问装置,其特征在于,所述请求拦截单元,具体用于:
通过所述终端设备的内核态拦截网络协议为UDP且目的端口为域名服务器的网络请求包;
所述装置,还包括:
队列更新单元,用于将所述网络请求包插入待处理请求队列;
所述请求注入单元,包括:
信息获取模块,用于通过所述终端设备的内核态向所述终端设备的用户态发送请求通知,并由所述内核态接收所述用户态响应于所述请求通知返回的DNS代理信息;
第一注入模块,用于在所述内核态将所述网络请求包注入所述接入控制服务器对应DNS代理信息得到外网访问请求包;
第二注入模块,用于在所述内核态将所述网络请求包注入原始套接字链接得到内网访问请求包。
7.根据权利要求6所述的网络访问装置,其特征在于,所述DNS代理信息预先写入所述用户态或由所述用户态检测发现。
8.根据权利要求5所述的网络访问装置,其特征在于,所述请求响应单元,包括:
第一响应模块,用于若接收到所述接入控制服务器的DNS成功回复,则根据所述接入控制服务器的回复完成网络请求;
第二响应模块,用于若接收到所述内部网关的DNS成功回复,则根据所述内部网关的回复完成网络请求。
9.一种终端设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4任一所述的网络访问方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4任一所述的网络访问方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011396381.1A CN114614999B (zh) | 2020-12-03 | 2020-12-03 | 一种网络访问方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011396381.1A CN114614999B (zh) | 2020-12-03 | 2020-12-03 | 一种网络访问方法、装置、设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114614999A CN114614999A (zh) | 2022-06-10 |
CN114614999B true CN114614999B (zh) | 2023-09-26 |
Family
ID=81856568
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011396381.1A Active CN114614999B (zh) | 2020-12-03 | 2020-12-03 | 一种网络访问方法、装置、设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114614999B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100068628A (ko) * | 2008-12-15 | 2010-06-24 | 엘지전자 주식회사 | 네트워크 전환 기능이 구비된 컴퓨터와 네트워크 전환 방법 |
CN102170380A (zh) * | 2010-02-25 | 2011-08-31 | 杭州华三通信技术有限公司 | 内网访问外网的方法和设备 |
CN102685259A (zh) * | 2011-03-09 | 2012-09-19 | 中国移动通信集团公司 | 对dns解析请求进行解析的方法、系统和智能dns |
CN107995321A (zh) * | 2017-11-17 | 2018-05-04 | 杭州迪普科技股份有限公司 | 一种vpn客户端代理dns的方法及装置 |
CN110572394A (zh) * | 2019-09-09 | 2019-12-13 | 北京风信科技有限公司 | 访问控制方法及装置 |
-
2020
- 2020-12-03 CN CN202011396381.1A patent/CN114614999B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100068628A (ko) * | 2008-12-15 | 2010-06-24 | 엘지전자 주식회사 | 네트워크 전환 기능이 구비된 컴퓨터와 네트워크 전환 방법 |
CN102170380A (zh) * | 2010-02-25 | 2011-08-31 | 杭州华三通信技术有限公司 | 内网访问外网的方法和设备 |
CN102685259A (zh) * | 2011-03-09 | 2012-09-19 | 中国移动通信集团公司 | 对dns解析请求进行解析的方法、系统和智能dns |
CN107995321A (zh) * | 2017-11-17 | 2018-05-04 | 杭州迪普科技股份有限公司 | 一种vpn客户端代理dns的方法及装置 |
CN110572394A (zh) * | 2019-09-09 | 2019-12-13 | 北京风信科技有限公司 | 访问控制方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN114614999A (zh) | 2022-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102204143B1 (ko) | 터널 기반 접속성 관리 방법 및 그를 위한 장치 및 시스템 | |
JP6782307B2 (ja) | ホストされたアプリケーションへの動的アクセス | |
JP6594449B2 (ja) | モバイルプラットフォーム用のマイクロvpnトンネリング | |
KR102379721B1 (ko) | Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
US10708226B2 (en) | Domain name resolution | |
US20180139238A1 (en) | Anonymous Containers | |
EP3850817B1 (en) | Systems and methods for integrated service discovery for network applications | |
JP7023377B2 (ja) | 仮想アプリケーションの即時起動 | |
WO2017054526A1 (zh) | 一种arp条目生成方法和装置 | |
US8701180B2 (en) | Securing communications between different network zones | |
US20180146008A1 (en) | Implementing Decoys in Network Endpoints | |
CN113596184A (zh) | 混合云系统、网闸、网络访问方法及存储介质 | |
CN103840994A (zh) | 一种用户端通过 vpn 访问内网的系统及方法 | |
US10936470B2 (en) | Systems and methods for performance bug and grievance reports for SaaS applications | |
US10623469B2 (en) | Methods and apparatuses for information transmission | |
CN107135242B (zh) | Mongodb集群访问方法、装置及系统 | |
US10499311B2 (en) | Method and apparatus for implementing network sharing | |
US20210119871A1 (en) | Proxy configuration for multiple networks | |
EP3376740B1 (en) | Method and apparatus for acquiring ip address | |
CN110929202A (zh) | 页面请求失败处理方法、装置及计算机设备 | |
JP2021535521A (ja) | 仮想デスクトップでのローカルマップアカウント | |
WO2018076675A1 (zh) | 一种网络接入方法、路由设备和终端和计算机存储介质 | |
CN114465791B (zh) | 网管设备中白名单的建立方法、装置、存储介质及处理器 | |
CN114257651A (zh) | 请求响应方法、装置、网络设备及计算机可读存储介质 | |
JP2022506847A (ja) | 仮想デスクトップのための自動キーボードマッピング |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |