CN115378909A - 域名访问控制方法、装置、服务器、电子设备及存储介质 - Google Patents
域名访问控制方法、装置、服务器、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115378909A CN115378909A CN202211299468.6A CN202211299468A CN115378909A CN 115378909 A CN115378909 A CN 115378909A CN 202211299468 A CN202211299468 A CN 202211299468A CN 115378909 A CN115378909 A CN 115378909A
- Authority
- CN
- China
- Prior art keywords
- domain name
- information
- access control
- target
- control module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
本发明提供的域名访问控制方法、装置、服务器、电子设备及存储介质,属于服务器技术领域,包括:获取目标IP信息,目标IP信息是基于对目标域名的解析得到的;利用目标IP信息,对访问控制模块进行参数更新;利用访问控制模块进行域名访问控制。本发明提供的域名访问控制方法、装置、服务器、电子设备及存储介质,通过将域名解析和域名访问控制进行异步处理,在尽量不影响设备对报文的处理速度的基础上,利用安全访问模块实现对域名访问的直接快速控制。
Description
技术领域
本发明涉及服务器技术领域,尤其涉及域名访问控制方法、装置、服务器、电子设备及存储介质。
背景技术
在网络安全和数据安全领域,为了防止访问恶意域名导致感染计算机病毒,或者防止内部资料泄露,通常会限制计算机域名的访问。
当前安全设备对于流量的访问控制主要基于传输控制协议(TransmissionControl Protocol,TCP)\网际互连协议(Internet Protocol,IP)协议栈的2、3、4层实现,也就是基于五元组及媒体存取控制地址(Media Access Control Address,MAC地址)进行访问控制。
然而,上述方法会影响报文的处理速度,无法直接快速的对域名进行访问控制。
发明内容
本发明提供的域名访问控制方法、装置、服务器、电子设备及存储介质,用以解决现有技术中影响报文的处理速度,无法直接快速的对域名进行访问控制的缺陷,实现在尽量不影响设备对报文的处理速度的基础上,利用安全访问模块实现对域名访问的直接快速控制。
本发明提供一种域名访问控制方法,包括:
获取目标IP信息,所述目标IP信息是基于对目标域名的解析得到的;
利用所述目标IP信息,对访问控制模块进行参数更新;
利用所述访问控制模块进行域名访问控制。
根据本发明提供的一种域名访问控制方法,所述访问控制模块包括获取单元、提取单元和对比单元;
所述获取单元,用于获取报文流量;
所述提取单元,用于提取所述报文流量的报文IP信息;
所述对比单元,用于将所述报文IP信息与地址库进行参数比对,在根据所述报文IP信息,确定所述报文流量为非授权访问的情况下,对所述报文流量进行阻断处理;所述地址库是基于对所述访问控制模块进行参数更新后确定的;
在根据所述报文IP信息,确定所述报文流量为授权访问的情况下,对所述报文流量放行;
所述授权访问为所述地址库中存储的IP信息对应的域名的访问。
根据本发明提供的一种域名访问控制方法,所述利用所述目标IP信息,对访问控制模块进行参数更新,包括:
利用所述目标IP信息,对所述地址库中所述目标域名的IP地址进行替换,以对所述访问控制模块的参数进行更新。
根据本发明提供的一种域名访问控制方法,在所述获取目标IP信息之前,还包括:
步骤1,对所述目标域名进行解析,获取IP信息;
步骤2,在本地域名缓存中对所述IP信息进行比对,在确定所述目标域名的域名IP发生变化的情况下,将所述IP信息确定为所述目标IP信息;
在所述目标域名的域名IP未发生变化的情况下,执行步骤3;
所述步骤3,对所述目标域名进行解析,获取新的IP信息;
步骤4,迭代执行所述步骤1至所述步骤3,直至根据获取的新的IP信息,确定所述目标域名的域名IP发生变化,将所述新的IP信息确定为所述目标IP信息。
根据本发明提供的一种域名访问控制方法,所述对所述目标域名进行解析,获取IP信息,包括:
读取本地域名缓存;
在所述本地域名缓存中对所述目标域名进行查询;
若未命中,则启动对所述目标域名的解析线程,以获取所述IP信息;
若命中,则在所述本地域名缓存中确定所述目标域名的IP信息;
基于所述IP信息,对所述目标域名的访问对象进行配置。
根据本发明提供的一种域名访问控制方法,在本地域名缓存中对所述IP信息进行比对之后,还包括:
在确定所述目标域名的域名IP发生变化的情况下,将所述目标IP信息存储至域名数据库;
基于所述目标IP信息,对所述域名数据库进行主备同步。
本发明还提供一种域名访问控制装置,包括:
获取模块,用于获取目标IP信息,所述目标IP信息是基于对目标域名的解析得到的;
更新模块,用于利用所述目标IP信息,对访问控制模块进行参数更新;
控制模块,用于利用所述访问控制模块进行域名访问控制。
本发明还提供一种域名服务器,所述域名服务器中设置有上述任一种所述的访问控制模块;还包括存储器及存储在所述存储器上并可在所述访问控制模块上运行的程序或指令,所述程序或指令被所述访问控制模块执行时,所述访问控制模块对每个报文执行以下步骤:
截取报文流量;
提取所述报文流量的IP地址;
将所述IP地址与地址库进行参数比对,在确定所述IP地址为管控地址的情况下,对所述报文流量进行阻断处理,以实现对域名的访问控制;所述地址库是基于对所述访问控制模块进行参数更新后确定的。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述域名访问控制方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述域名访问控制方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述域名访问控制方法。
本发明提供的域名访问控制方法、装置、服务器、电子设备及存储介质,通过将域名解析和域名访问控制进行异步处理,在尽量不影响设备对报文的处理速度的基础上,利用安全访问模块实现对域名访问的直接快速控制。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的域名访问控制方法的流程示意图之一;
图2是本发明提供的域名访问控制方法的流程示意图之二;
图3是本发明提供的域名解析方法的流程示意图;
图4是本发明提供的域名访问控制装置的结构示意图;
图5是本发明提供的电子设备的结构示意图。
附图标记:
域名DB:域名数据库;HA同步:主备同步;ID:身份标识号;Name:名称;Host[]:Host名称;DP:数据平面(data plane)。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
直接基于IP地址进行域名访问控制,需要人工获取域名IP,而域名IP地址的获取过程繁琐,且由于域名的IP经常变化,导致需要频繁的进行配置,可操作性较低,易用性较差。
此外,直接基于域名进行域名访问控制,在流量中提取域名并进行匹配,无法对用户直接用IP进行访问的方式进行控制。
本发明提供了一种域名服务器对域名访问控制的方法。根据用户需求配置需要进行访问控制的域名,后台可以自动将域名转换为IP地址,并将IP地址与域名关联,此后即可直接对该IP地址进行访问控制,从而间接对该域名进行访问控制,提高了产品的访问控制能力及易用性。
下面结合图1至图5描述本发明的实施例所提供的域名访问控制方法、装置、服务器、电子设备及存储介质。
本发明实施例提供的域名访问控制方法,执行主体可以为电子设备或者电子设备中能够实现该域名访问控制方法的软件或功能模块或功能实体,本发明实施例中电子设备包括但不限于域名服务器。需要说明的是,上述执行主体并不构成对本发明的限制。
图1是本发明提供的域名访问控制方法的流程示意图之一,如图1所示,包括但不限于以下步骤:
首先,在步骤S1中,获取目标IP信息,所述目标IP信息是基于对目标域名的解析得到的。
目标域名为任一授权访问的域名,即允许访问的域名,而不允许访问的域名为非授权访问的域名;IP信息可以包括IP地址。
由于每个域名对应的IP信息是变化的,需要每隔预设时长对授权的域名所对应的IP信息进行实时的更新,以保证IP信息的准确性。因此,可以先对目标域名进行解析,然后对解析的得到的IP信息进一步判断。预设时长可以根据用户的实际需求和授权访问的域名的数量灵活设定。
在域名服务器确定目标域名对应的IP信息发生变化的情况下,将解析得到的IP信息作为目标IP信息。
进一步地,在步骤S2中,利用所述目标IP信息,对访问控制模块进行参数更新。
访问控制模块可以是一种网关设备,其中存储有每个授权的域名对应的IP地址。
利用该目标IP信息,对该域名对应的原有IP地址进行更新替换,并在对所有的授权域名完成步骤S1-S2的操作后,完成本轮对访问控制模块的参数更新。
进一步地,在步骤S3中,利用所述访问控制模块进行域名访问控制。
访问控制模块用于对报文处理过程中的流量进行阻断或放行,进而实现对域名访问的控制。
利用参数更新后的访问控制模块,截取每个报文在处理过程中的报文流量,并提取报文流量中的IP地址,将报文流量中的IP地址与访问控制模块中存储的IP信息进行比对,在确定访问控制模块中存在与报文流量中的IP地址一致的IP信息的情况下,可以确定该报文为授权域名的访问,对该报文处理的流量放行。
在确定访问控制模块中不存在与报文流量中的IP地址一致的IP信息的情况下,可以确定该报文为非授权域名的访问,阻断该报文的流量,进而实现域名得到访问控制。
本发明提供的域名访问控制方法,通过将域名解析和域名访问控制进行异步处理,在尽量不影响设备对报文的处理速度的基础上,利用安全访问模块实现对域名访问的直接快速控制。
可选地,在所述获取目标IP信息之前,还包括:
步骤1,对所述目标域名进行解析,获取IP信息;
步骤2,在本地域名缓存中对所述IP信息进行比对,在确定所述目标域名的域名IP发生变化的情况下,将所述IP信息确定为所述目标IP信息;
在所述目标域名的域名IP未发生变化的情况下,执行步骤3;
所述步骤3,对所述目标域名进行解析,获取新的IP信息;
步骤4,迭代执行所述步骤1至所述步骤3,直至根据获取的新的IP信息,确定所述目标域名的域名IP发生变化,将所述新的IP信息确定为所述目标IP信息。
本地域名缓存中存储着多个域名和每个域名对应的至少一个域名IP。
具体地,步骤1,对授权的目标域名进行解析,获取目标域名的IP信息;
步骤2,在本地域名缓存中查询目标域名对应的IP信息,若查询到的IP信息与解析得到的IP信息不一致,则确定目标域名的域名IP发生了变化,可以将解析得到的IP信息作为目标IP信息;若查询到的IP信息与解析得到的IP信息一致,则目标域名的域名IP未发生变化,执行步骤3;
步骤3,按照预设频率对目标域名进行解析,获取新的IP信息;
步骤4,迭代执行步骤1至步骤3,直至根据获取的新的IP信息,确定所述目标域名的域名IP发生变化,确定新的IP信息为目标IP信息。
根据本发明提供的域名访问控制方法,通过域名的解析结果,在本地域名缓存中判断域名是否发生变化,进而利用变化的IP信息对访问控制模块进行参数更新,能够有效减少域名重复向域名服务器解析所带来的网络开销。
可选地,所述对所述目标域名进行解析,获取IP信息,包括:
读取本地域名缓存;
在所述本地域名缓存中对所述目标域名进行查询;
若未命中,则启动对所述目标域名的解析线程,以获取所述IP信息;
若命中,则在所述本地域名缓存中确定所述目标域名的IP信息;
基于所述IP信息,对所述目标域名的访问对象进行配置。
在本地域名缓存中查询到目标域名对应的IP信息,则称为命中;在本地域名缓存中未查询到目标域名对应的IP信息,则称为未命中。
读取域名服务器的本地域名缓存,在本地域名缓存中查询目标域名,若本地域名缓存中没有查询到目标域名对应的IP信息,则目标域名可能是新添加的授权的域名,需要启动对目标域名的解析线程,以获取目标域名的IP信息。
在本地域名缓存中查询目标域名,若本地域名缓存中查询到目标域名对应的IP信息,则通过IP信息,确定目标域名的访问对象,并对访问对象进行网络配置、端口通信、防火墙配置以及安全组配置等。
此外,还需启动对目标域名的解析线程,并将解析得到的IP信息与查询的IP信息进行比对,若二者不一致,则利用解析得到的IP信息替换本地域名缓存中目标域名原有的IP信息,完成对本地域名缓存的更新,并将解析得到的IP信息作为目标IP信息。
根据本发明提供的域名访问控制方法,通过异步的方式将域名解析为IP信息,并利用IP信息对访问对象进行配置,能够在线上已经大量部署设备的情况下,快速的完成域名访问对象的配置部署,还可以利用本地域名缓存减少设备完全启动时间。
可选地,在本地域名缓存中对所述IP信息进行比对之后,还包括:
在确定所述目标域名的域名IP发生变化的情况下,将所述目标IP信息存储至域名数据库;
基于所述目标IP信息,对所述域名数据库进行主备同步。
在确定目标域名的域名IP发生变化的情况下,将目标IP信息存储至域名数据库(Date Base,DB),若域名DB为高可用性(High Available,HA)环境,则通过HA通道将目标IP信息同步至其它节点,实现主备同步。
根据本发明提供的域名访问控制方法,通过将新的IP信息存入本地数据库,能够在下次设备启动及部署其它设备,减少设备启动时间及网络开销。
可选地,所述利用所述目标IP信息,对访问控制模块进行参数更新,包括:
利用所述目标IP信息,对所述地址库中所述目标域名的IP地址进行替换,以对所述访问控制模块的参数进行更新。
访问控制模块的地址库中存储有授权的域名,以及授权的域名对应的IP地址。访问控制模块仅对地址库中存储的IP地址对应的域名访问放行。
在访问控制模块的地址库中,利用目标IP信息对目标域名对应的原有IP地址进行更新替换,完成对访问控制模块的参数更新。
根据本发明提供的域名访问控制方法,通过直接将域名IP信息发送到访问控制模块,完成对访问控制模块的参数更新,以实时控制域名的访问,提高了拦截的准确性。
可选地,所述访问控制模块包括获取单元、提取单元和对比单元;
所述获取单元,用于获取报文流量;
所述提取单元,用于提取所述报文流量的报文IP信息;
所述对比单元,用于将所述报文IP信息与地址库进行参数比对,在根据所述报文IP信息,确定所述报文流量为非授权访问的情况下,对所述报文流量进行阻断处理;所述地址库是基于对所述访问控制模块进行参数更新后确定的;
在根据所述报文IP信息,确定所述报文流量为授权访问的情况下,对所述报文流量放行;
所述授权访问为所述地址库中存储的IP信息对应的域名的访问。
报文流量中带有IP地址。
授权访问为授权域名在访问时产生的报文,非授权访问为未授权访问域名在访问时产生的报文。
访问控制模块先利用获取单元在报文处理过程中截取报文流量,并将报文流量发送至提取单元,由提取单元从报文流量中提取对应的IP地址,并将该IP地址发送至对比单元,对比单元将报文流量中的IP地址与地址库中的IP信息进行比对,在确定地址库中不存在与报文流量中的IP地址一致的IP信息的情况下,可以确定该报文为非授权域名的访问,阻断该报文的流量。
对比单元将报文流量中的IP地址与地址库中的IP信息进行比对,在确定地址库中存在与报文流量中的IP地址一致的IP信息的情况下,可以确定该报文为授权域名的访问,对该报文处理的流量放行,进而实现域名得到访问控制。
根据本发明提供的域名访问控制方法,通过将域名解析、域名访问控制进行异步处理,实现对域名基于IP地址的访问进行控制,对报文的处理速度影响较小。
图2是本发明提供的域名访问控制方法的流程示意图之二,如图2所示,包括:
获取对目标域名的解析得到的IP信息;
在本地域名缓存中查询目标域名对应的IP信息,若查询到的IP信息与解析得到的IP信息一致,则目标域名的域名IP未发生变化,则将目标域名返回至域名解析节点;
若查询到的IP信息与解析得到的IP信息不一致,则确定目标域名的域名IP发生了变化,可以将解析得到的IP信息作为目标IP信息,利用目标IP信息对访问控制模块和本地域名缓存进行参数更新;
利用更新后的访问控制模块截取每个报文在处理过程中的报文流量,并提取报文流量中的IP地址,将报文流量中的IP地址与访问控制模块中存储的IP信息进行比对,在确定访问控制模块中存在与报文流量中的IP地址一致的IP信息的情况下,可以确定该报文为授权域名的访问,对该报文处理的流量放行;在确定访问控制模块中不存在与报文流量中的IP地址一致的IP信息的情况下,可以确定该报文为非授权域名的访问,阻断该报文的流量,进而实现域名得到访问控制。
此外,还将目标IP信息存储至域名DB,若域名DB为高可用性(High Available,HA)环境,则通过HA通道将目标IP信息同步至其它节点,实现主备同步。
图3是本发明提供的域名解析方法的流程示意图,如图3所示,包括:
首先,DB系统启动,初始化本地域名缓存。
对于目标域名,查询本地域名缓存,判定是否命中;
若命中,一方面,配置域名对象;另一方面,对地址对象表中的地址、域名链表进行增删改,查询地址或域名对象链表。地址对象链表中包括地址对象的身份标识号(IdentityDocument,ID)、名称(Name)和Host名称,域名对象链表中包括域名对象的ID、Name和Host名称。其中,Host名称即为域名。
其中,地址对象链表和域名对象链表互为对应,在其中一个更新之后,另一个也对应更新。
在根据地址对象链表,对域名对象链表进行更新后,遍历域名对象链表,以确定全量域名,全量域名进入全量解析队列;
若未命中,则增量域名进入增量解析队列,DB数据库进行HA同步,也会增量域名进入增量解析队列,在增量解析队列解析完成之后,启动解析线程。
接着,在启动解析线程之后,判断是否全量更新:将更新开关切换为开、定时更新以及手动更新;全量域名进入全量解析队列;
全量解析队列或增量解析队列出队,对目标域名进行解析,得到域名IP,并将得到域名IP存入至本地域名缓存,并在预设时长后,对目标域名进行再次解析,得到新的域名IP,将新的域名IP与存入本地缓存的目标域名的域名IP进行比较,判断域名IP是否发生改变;
在域名IP发生变化的情况下,更新本地域名缓存和BD数据库,并进行HA同步;
对域名对象链表进行遍历,以更新域名对象链表中的IP信息,并将域名IP下发到数据平面(data plane,DP),实现对目标域名解析的域名IP的输出;
域名对象链表中的IP信息更新完成后,查询地址或域名对象链表,以进行域名IP回显。
下面对本发明提供的域名访问控制装置进行描述,下文描述的域名访问控制装置与上文描述的域名访问控制方法可相互对应参照。
图4是本发明提供的域名访问控制装置的结构示意图,如图4所示,包括:
获取模块401,用于获取目标IP信息,所述目标IP信息是基于对目标域名的解析得到的;
更新模块402,用于利用所述目标IP信息,对访问控制模块进行参数更新;
控制模块403,用于利用所述访问控制模块进行域名访问控制。
首先,获取模块401获取目标IP信息,所述目标IP信息是基于对目标域名的解析得到的。
目标域名为任一授权访问的域名,即允许访问的域名;IP信息可以包括IP地址。
由于每个域名对应的IP信息是变化的,需要每隔预设时长对授权的域名所对应的IP信息进行实时的更新,以保证IP信息的准确性。因此,可以先对目标域名进行解析,然后对解析的得到的IP信息进一步判断。预设时长可以根据用户的实际需求和授权访问的域名的数量灵活设定。
在域名服务器确定目标域名对应的IP信息发生变化的情况下,将解析得到的IP信息作为目标IP信息。
进一步地,更新模块402利用所述目标IP信息,对访问控制模块进行参数更新。
访问控制模块可以是一种网关设备,其中存储有每个授权的域名对应的IP地址。
利用该目标IP信息,对该域名对应的原有IP地址进行更新替换,并在对所有的授权域名完成步骤S1-S2的操作后,完成本轮对访问控制模块的参数更新。
进一步地,控制模块403利用所述访问控制模块进行域名访问控制。
访问控制模块用于对报文处理过程中的流量进行阻断或放行,进而实现对域名访问的控制。
利用参数更新后的访问控制模块,截取每个报文在处理过程中的报文流量,并提取报文流量中的IP地址,将报文流量中的IP地址与访问控制模块中存储的IP信息进行比对,在确定访问控制模块中存在与报文流量中的IP地址一致的IP信息的情况下,可以确定该报文为授权域名的访问,对该报文处理的流量放行。
在确定访问控制模块中不存在与报文流量中的IP地址一致的IP信息的情况下,可以确定该报文为非授权域名的访问,阻断该报文的流量,进而实现域名得到访问控制。
本发明提供的域名访问控制装置,通过将域名解析和域名访问控制进行异步处理,在尽量不影响设备对报文的处理速度的基础上,利用安全访问模块实现对域名访问的直接快速控制。
本发明还提供一种域名服务器,所述域名服务器中设置有如上述任一实施例所述的访问控制模块;还包括存储器及存储在所述存储器上并可在所述访问控制模块上运行的程序或指令,所述程序或指令被所述访问控制模块执行时,所述访问控制模块对每个报文执行以下步骤:
截取报文流量;
提取所述报文流量的IP地址;
将所述IP地址与地址库进行参数比对,在确定所述IP地址为管控地址的情况下,对所述报文流量进行阻断处理,以实现对域名的访问控制;所述地址库是基于对所述访问控制模块进行参数更新后确定的。
首先,域名服务器获取目标IP信息,所述目标IP信息是基于对目标域名的解析得到的。
目标域名为任一授权访问的域名,即允许访问的域名;IP信息可以包括IP地址。
由于每个域名对应的IP信息是变化的,需要每隔预设时长对授权的域名所对应的IP信息进行实时的更新,以保证IP信息的准确性。因此,可以先对目标域名进行解析,然后对解析的得到的IP信息进一步判断。预设时长可以根据用户的实际需求和授权访问的域名的数量灵活设定。
在域名服务器确定目标域名对应的IP信息发生变化的情况下,将解析得到的IP信息作为目标IP信息。
进一步地,域名服务器利用所述目标IP信息,对访问控制模块进行参数更新。
访问控制模块可以是一种网关设备,其中存储有每个授权的域名对应的IP地址。
利用该目标IP信息,对该域名对应的原有IP地址进行更新替换,并在对所有的授权域名完成步骤S1-S2的操作后,完成本轮对访问控制模块的参数更新。
进一步地,域名服务器利用所述访问控制模块进行域名访问控制。
访问控制模块用于对报文处理过程中的流量进行阻断或放行,进而实现对域名访问的控制。
访问控制模块先利用获取单元在报文处理过程中截取报文流量,并将报文流量发送至提取单元,由提取单元从报文流量中提取对应的IP地址,并将该IP地址发送至对比单元,对比单元将报文流量中的IP地址与地址库中的IP信息进行比对,在确定地址库中不存在与报文流量中的IP地址一致的IP信息的情况下,可以确定该报文为非授权域名的访问,阻断该报文的流量。
对比单元将报文流量中的IP地址与地址库中的IP信息进行比对,在确定地址库中存在与报文流量中的IP地址一致的IP信息的情况下,可以确定该报文为授权域名的访问,对该报文处理的流量放行,进而实现域名得到访问控制。
本发明提供的域名服务器,通过将域名解析和域名访问控制进行异步处理,在尽量不影响设备对报文的处理速度的基础上,利用安全访问模块实现对域名访问的直接快速控制。
图5是本发明提供的电子设备的结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行域名访问控制方法,该方法包括:获取目标IP信息,所述目标IP信息是基于对目标域名的解析得到的;利用所述目标IP信息,对访问控制模块进行参数更新;利用所述访问控制模块进行域名访问控制。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的域名访问控制方法,该方法包括:获取目标IP信息,所述目标IP信息是基于对目标域名的解析得到的;利用所述目标IP信息,对访问控制模块进行参数更新;利用所述访问控制模块进行域名访问控制。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的域名访问控制方法,该方法包括:获取目标IP信息,所述目标IP信息是基于对目标域名的解析得到的;利用所述目标IP信息,对访问控制模块进行参数更新;利用所述访问控制模块进行域名访问控制。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种域名访问控制方法,其特征在于,包括:
获取目标IP信息,所述目标IP信息是基于对目标域名的解析得到的;
利用所述目标IP信息,对访问控制模块进行参数更新;
利用所述访问控制模块进行域名访问控制。
2.根据权利要求1所述的域名访问控制方法,其特征在于,所述访问控制模块包括获取单元、提取单元和对比单元;
所述获取单元,用于获取报文流量;
所述提取单元,用于提取所述报文流量的报文IP信息;
所述对比单元,用于将所述报文IP信息与地址库进行参数比对,在根据所述报文IP信息,确定所述报文流量为非授权访问的情况下,对所述报文流量进行阻断处理;所述地址库是基于对所述访问控制模块进行参数更新后确定的;
在根据所述报文IP信息,确定所述报文流量为授权访问的情况下,对所述报文流量放行;
所述授权访问为所述地址库中存储的IP信息对应的域名的访问。
3.根据权利要求2所述的域名访问控制方法,其特征在于,所述利用所述目标IP信息,对访问控制模块进行参数更新,包括:
利用所述目标IP信息,对所述地址库中所述目标域名的IP地址进行替换,以对所述访问控制模块的参数进行更新。
4.根据权利要求1-3中任一项所述的域名访问控制方法,其特征在于,在所述获取目标IP信息之前,还包括:
步骤1,对所述目标域名进行解析,获取IP信息;
步骤2,在本地域名缓存中对所述IP信息进行比对,在确定所述目标域名的域名IP发生变化的情况下,将所述IP信息确定为所述目标IP信息;
在所述目标域名的域名IP未发生变化的情况下,执行步骤3;
所述步骤3,对所述目标域名进行解析,获取新的IP信息;
步骤4,迭代执行所述步骤1至所述步骤3,直至根据获取的新的IP信息,确定所述目标域名的域名IP发生变化,将所述新的IP信息确定为所述目标IP信息。
5.根据权利要求4所述的域名访问控制方法,其特征在于,所述对所述目标域名进行解析,获取IP信息,包括:
读取本地域名缓存;
在所述本地域名缓存中对所述目标域名进行查询;
若未命中,则启动对所述目标域名的解析线程,以获取所述IP信息;
若命中,则在所述本地域名缓存中确定所述目标域名的IP信息;
基于所述IP信息,对所述目标域名的访问对象进行配置。
6.根据权利要求2所述的域名访问控制方法,其特征在于,在本地域名缓存中对所述IP信息进行比对之后,还包括:
在确定所述目标域名的域名IP发生变化的情况下,将所述目标IP信息存储至域名数据库;
基于所述目标IP信息,对所述域名数据库进行主备同步。
7.一种域名访问控制装置,其特征在于,包括:
获取模块,用于获取目标IP信息,所述目标IP信息是基于对目标域名的解析得到的;
更新模块,用于利用所述目标IP信息,对访问控制模块进行参数更新;
控制模块,用于利用所述访问控制模块进行域名访问控制。
8.一种域名服务器,其特征在于,所述域名服务器中设置有如权利要求1-6任一项所述的访问控制模块;还包括存储器及存储在所述存储器上并可在所述访问控制模块上运行的程序或指令,所述程序或指令被所述访问控制模块执行时,所述访问控制模块对每个报文执行以下步骤:
截取报文流量;
提取所述报文流量的IP地址;
将所述IP地址与地址库进行参数比对,在确定所述IP地址为管控地址的情况下,对所述报文流量进行阻断处理,以实现对域名的访问控制;所述地址库是基于对所述访问控制模块进行参数更新后确定的。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-6任一项所述域名访问控制方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6任一项所述域名访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211299468.6A CN115378909B (zh) | 2022-10-24 | 2022-10-24 | 域名访问控制方法、装置、服务器、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211299468.6A CN115378909B (zh) | 2022-10-24 | 2022-10-24 | 域名访问控制方法、装置、服务器、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115378909A true CN115378909A (zh) | 2022-11-22 |
| CN115378909B CN115378909B (zh) | 2023-01-17 |
Family
ID=84073442
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211299468.6A Active CN115378909B (zh) | 2022-10-24 | 2022-10-24 | 域名访问控制方法、装置、服务器、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115378909B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120084423A1 (en) * | 2010-10-04 | 2012-04-05 | Openwave Systems Inc. | Method and system for domain based dynamic traffic steering |
| CN107979655A (zh) * | 2017-09-29 | 2018-05-01 | 新华三技术有限公司 | 访问控制方法、接入控制装置和接入设备 |
| CN114124888A (zh) * | 2020-08-25 | 2022-03-01 | 中国移动通信有限公司研究院 | 一种域名解析方法及装置 |
| CN114466054A (zh) * | 2022-01-12 | 2022-05-10 | 深圳市联洲国际技术有限公司 | 数据处理方法、装置、设备,及计算机可读存储介质 |
-
2022
- 2022-10-24 CN CN202211299468.6A patent/CN115378909B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120084423A1 (en) * | 2010-10-04 | 2012-04-05 | Openwave Systems Inc. | Method and system for domain based dynamic traffic steering |
| CN107979655A (zh) * | 2017-09-29 | 2018-05-01 | 新华三技术有限公司 | 访问控制方法、接入控制装置和接入设备 |
| CN114124888A (zh) * | 2020-08-25 | 2022-03-01 | 中国移动通信有限公司研究院 | 一种域名解析方法及装置 |
| CN114466054A (zh) * | 2022-01-12 | 2022-05-10 | 深圳市联洲国际技术有限公司 | 数据处理方法、装置、设备,及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115378909B (zh) | 2023-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10929538B2 (en) | Network security protection method and apparatus | |
| CN109981344B (zh) | 扫描方法、装置及网络转发设备 | |
| EP4027604A1 (en) | Security vulnerability defense method and device | |
| US11108738B2 (en) | Communication apparatus and communication system | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| CN112187740B (zh) | 一种网络接入控制方法、装置、电子设备及存储介质 | |
| CN106775981B (zh) | 一种进程处理方法、装置及计算机可读介质 | |
| CN111935167A (zh) | 用于工控的违规外联检测方法、装置、设备及存储介质 | |
| CN109688094B (zh) | 基于网络安全的可疑ip配置方法、装置、设备及存储介质 | |
| CN107294910B (zh) | 一种登录方法和服务器 | |
| AU2021373128A9 (en) | Information processing method, device, apparatus and system, medium, and program | |
| CN113923008B (zh) | 一种恶意网站拦截方法、装置、设备及存储介质 | |
| CN115378909B (zh) | 域名访问控制方法、装置、服务器、电子设备及存储介质 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN113220572A (zh) | 一种数据测试方法、装置及存储介质 | |
| CN111191232B (zh) | 病毒查杀的方法、装置和存储介质 | |
| CN113612864B (zh) | 一种生成IPv6地址的方法、系统、设备及介质 | |
| CN110417615B (zh) | 校验开关控制方法、装置、设备及计算机可读存储介质 | |
| CN112291199B (zh) | 一种报文处理方法、装置、电子设备及存储介质 | |
| CN113343221A (zh) | 一种终端预警方法和装置 | |
| CN115277136B (zh) | 漏洞扫描方法、系统、计算机设备及介质 | |
| CN111723372B (zh) | 一种病毒查杀方法、装置及计算机可读存储介质 | |
| CN113938382B (zh) | 基于pacemaker的集群管理方法、系统及存储介质 | |
| CN116015876B (zh) | 访问控制方法、装置、电子设备及存储介质 | |
| CN111654556B (zh) | Snat设备翻译前后的流量对应关系匹配方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |