CN116436894A - 域名策略配置方法、域名策略匹配方法及相关装置 - Google Patents

域名策略配置方法、域名策略匹配方法及相关装置 Download PDF

Info

Publication number
CN116436894A
CN116436894A CN202310491833.1A CN202310491833A CN116436894A CN 116436894 A CN116436894 A CN 116436894A CN 202310491833 A CN202310491833 A CN 202310491833A CN 116436894 A CN116436894 A CN 116436894A
Authority
CN
China
Prior art keywords
domain name
policy
attribute information
target
matching table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310491833.1A
Other languages
English (en)
Inventor
李辉
李红光
孙宝良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN202310491833.1A priority Critical patent/CN116436894A/zh
Publication of CN116436894A publication Critical patent/CN116436894A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种域名策略配置方法、域名策略匹配方法及相关装置,涉及信息安全的技术领域。域名策略配置方法,包括:获取目标访问请求中的目的属性信息,其中,所述目的属性信息是与域名相关的属性信息;基于所述目的属性信息,在预设的动态策略条件匹配表中更新所述目的属性信息与目标域名策略的对应关系,得到更新后的动态策略条件匹配表;所述动态策略条件匹配表用于表征域名策略与属性信息之间的对应关系。通过从访问目标域名的目标访问请求中获取目标域名对应的目的属性信息,从而可以根据该目的属性信息以及所对应的目标域名对动态策略条件匹配表进行更新,无需与外部服务器进行通信。

Description

域名策略配置方法、域名策略匹配方法及相关装置
技术领域
本申请涉及信息安全的技术领域,具体而言,涉及一种域名策略配置方法、域名策略匹配方法及相关装置。
背景技术
为了保证网络信息安全,防火墙设备被越来越多地应用于网络信息安全的保护中。防火墙设备中需要配置大量的策略,例如路由策略、安全策略、QoS(Quality ofService,服务质量)等。防火墙设备依靠这些策略实现数据引流、流量控制、业务通信质量控制等功能。
目前,通常在策略中配置域名,将配置的域名作为是否命中该策略的条件,以实现基于域名的流量调度处理,以及将某些网站的访问调度到特定的线路、针对某域名访问的安全管控等功能。
如图1所示,现有的在策略中配置域名的方式是通过防火墙设备的控制层配置策略;然后控制层通过与外部服务器进行通信,以获取与待配置策略对应的属性信息;之后控制层基于获取到的属性信息构建策略匹配表;最后防火墙设备的数据转发层利用该域名策略匹配表对用户发起的访问请求进行匹配,若匹配成功,则阻断用户发起的访问请求。
但是,当属性信息变化时,防火墙设备的控制层需要重新与外部服务器进行通信,获取变化后的属性信息,并基于变化后的属性信息再次构建策略匹配表,从而导致匹配用户发起的访问请求的效率降低。并且,控制层再次构建策略匹配表后,还需要将该重新构建的策略匹配表下发给数据转发层,导致数据转发层转发数据的动作被打断,在接收该重新构建的策略匹配表后才能重新转发数据,从而影响防火墙设备的性能。
发明内容
本申请提供一种域名策略配置方法、域名策略匹配方法及相关装置,以解决现有技术中,在属性信息出现变化时,防火墙设备的控制层需要重新构建策略匹配表,从而导致匹配用户发起的访问请求的效率降低,并在将该重新构建的策略匹配表下发给数据转发层时,会打断数据转发层转发数据的动作,进而影响防火墙设备的性能的问题。
第一方面,本申请提供一种域名策略配置方法,包括:获取目标访问请求中的目的属性信息,其中,所述目的属性信息是与域名相关的属性信息;基于所述目的属性信息,在预设的动态策略条件匹配表中更新目的属性信息与目标域名策略的对应关系,得到更新后的动态策略条件匹配表;其中,所述动态策略条件匹配表用于表征域名策略与属性信息之间的对应关系。
本申请实施例中,通过从访问目标域名的目标访问请求中获取目标域名对应的目的属性信息,从而可以根据该目的属性信息以及所对应的目标域名对动态策略条件匹配表进行更新,无需与外部服务器进行通信。并且,该过程可以仅需要防火墙设备的转发层参与,转发层转发数据的动作不会被打断,使得不会对防火墙设备的性能产生较大影响。
结合上述第一方面提供的技术方案,在一些可能的实施方式中,若所述动态策略条件匹配表中已具有所述目标域名对应的所述目的属性信息,所述基于所述目的属性信息,在预设的动态策略条件匹配表中更新所述目的属性信息与目标域名策略的对应关系,包括:更新所述动态策略条件匹配表中所述目标域名对应的所述目的属性信息的有效时间。
本申请实施例中,当动态策略条件匹配表中已具有目标域名对应的目的属性信息的情况下,通过更新动态策略条件匹配表中目标域名对应的目的属性信息的有效时间,可以便于确定目标域名对应的属性信息的变化。
结合上述第一方面提供的技术方案,在一些可能的实施方式中,若所述动态策略条件匹配表中不具有所述目标域名对应的所述目的属性信息,所述基于所述目的属性信息,在预设的动态策略条件匹配表中更新所述目的属性信息与目标域名策略的对应关系,包括:在所述动态策略条件匹配表中,新增所述目标域名对应的所述目的属性信息。
本申请实施例中,当动态策略条件匹配表中不具有目标域名对应的目的属性信息的情况下,在动态策略条件匹配表中,新增目标域名对应的目的属性信息,进而可以完善目标域名对应的属性信息,防止在后续基于该动态策略条件匹配表确定域名策略时,出现遗漏的情况,提高本方案的精确度。
结合上述第一方面提供的技术方案,在一些可能的实施方式中,所述基于所述目的属性信息,在预设的动态策略条件匹配表中更新所述目的属性信息与目标域名策略的对应关系,包括:基于所述目的属性信息更新预设的域名配置信息,所述域名配置信息包括目标域名对应的所有属性信息;基于更新后的所述域名配置信息,得到动态策略匹配表。
本申请实施例中,通过设置域名配置信息,进而可以通过修改域名配置信息来间接修改动态策略匹配表,提高了本方案的灵活性。
结合上述第一方面提供的技术方案,在一些可能的实施方式中,所述基于所述目的属性信息更新预设的域名配置信息,包括:若所述域名配置信息中包括所述目的属性信息和所述目标域名的对应关系,更新所述域名配置信息中所述目的属性信息和所述目标域名的对应关系的有效时间;若所述域名配置信息中不包括所述目的属性信息和所述目标域名的对应关系,在所述域名配置信息中,新增所述目的属性信息和所述目标域名的对应关系。
结合上述第一方面提供的技术方案,在一些可能的实施方式中,所述获取目标访问请求中的目的属性信息,包括:解析所述目标访问请求,得到解析结果;从所述解析结果中提取所述目的属性信息。
结合上述第一方面提供的技术方案,在一些可能的实施方式中,所述动态策略条件匹配表存储于数据转发层的内存中。
结合上述第一方面提供的技术方案,在一些可能的实施方式中,所述动态策略条件匹配表中包括域名与属性信息的对应关系,且本地预设有域名与域名策略的对应关系;所述基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的属性信息,包括:基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的属性信息。
结合上述第一方面提供的技术方案,在一些可能的实施方式中,所述动态策略条件匹配表包括域名策略与属性信息的对应关系,所述基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的属性信息,包括:基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的域名策略与属性信息的对应关系。
结合上述第一方面提供的技术方案,在一些可能的实施方式中,所述动态策略条件匹配表包括域名、属性信息、域名策略之间的对应关系,在预设的动态策略条件匹配表中更新所述目标域名对应的属性信息,包括:基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的域名策略与属性信息的对应关系,以及更新所述目标域名对应的属性信息。
结合上述第一方面提供的技术方案,在一些可能的实施方式中,所述目的属性信息包括IP(Internet Protocol,网际互连协议)地址。
第二方面,本申请提供一种域名策略匹配方法,包括:所述方法用于域名系统,所述域名系统中存储有:动态策略条件匹配表和静态策略条件匹配表,所述动态策略条件匹配表中的域名策略采用如上述第一方面和/或结合上述第一方面任一种实施方式提供的方法得到,所述静态策略条件匹配表中的域名策略为预先在控制层配置得到的,所述静态策略条件匹配表包括域名策略和属性信息的对应关系,所述方法包括:获取访问请求中的目的属性信息;将所述目的属性信息与动态策略条件匹配表进行匹配,得到第一域名策略;将所述目的属性信息与静态策略条件匹配表进行匹配,得到第二域名策略;基于所述第一域名策略和所述第二域名策略,确定目标域名策略。
结合上述第二方面提供的技术方案,在一些可能的实施方式中,所述目的属性信息包括多类属性信息;将所述目的属性信息与动态策略条件匹配表进行匹配,得到第一域名策略,包括:将每类所述目的属性信息与所述动态策略条件匹配表分别进行匹配;若所述目的属性信息中的至少一类属性信息与所述动态策略条件匹配表中的任一域名策略对应的属性信息匹配,则确定该域名策略为所述第一域名策略;将所述目的属性信息与静态策略条件匹配表进行匹配,得到第二域名策略,包括:将每类所述目的属性信息与所述静态策略条件匹配表分别进行匹配;若所述目的属性信息中的至少一类属性信息与所述静态策略条件匹配表中的任一域名策略对应的属性信息匹配,则确定该域名策略为所述第二域名策略。
结合上述第二方面提供的技术方案,在一些可能的实施方式中,若所述动态策略条件匹配表和所述静态策略条件匹配表中具有相同的域名策略,基于所述第一域名策略和所述第二域名策略,确定目标域名策略,包括:针对任一域名策略:若该域名策略同时被确定为所述第一域名策略和所述第二域名策略,且所述目的属性信息中的每一类属性信息为与所述第一域名策略和所述第二域名策略中的至少之一相匹配的属性信息,则确定该域名策略为所述目标域名策略;若该域名策略同时被确定为所述第一域名策略和所述第二域名策略,且所述目的属性信息中的每一类属性信息不为与所述第一域名策略和所述第二域名策略中的至少之一相匹配的属性信息,则确定该域名策略不为所述目标域名策略。
结合上述第二方面提供的技术方案,在一些可能的实施方式中,基于所述第一域名策略和所述第二域名策略,确定目标域名策略,包括:针对任一域名策略:若该域名策略仅被确定为所述第一域名策略,或仅被确定为所述第二域名策略,且所述目的属性信息中的每一类属性信息均为与所述第一域名策略或所述第二域名策略相匹配的属性信息,则确定该域名策略为所述目标域名策略;若该域名策略仅被确定为所述第一域名策略,或仅被确定为所述第二域名策略,且所述目的属性信息中的至少一类属性信息不为与所述第一域名策略或所述第二域名策略相匹配的属性信息,则确定该域名策略不为所述目标域名策略。
结合上述第二方面提供的技术方案,在一些可能的实施方式中,基于所述第一域名策略和第二域名策略,确定目标域名策略,包括:基于预设的域名策略优先级,将所述第一域名策略、第二域名策略中优先级最高的域名策略作为所述目标域名策略。
结合上述第二方面提供的技术方案,在一些可能的实施方式中,所述目的属性信息包括IP地址。
第三方面,本申请提供一种获取目标用户发送的访问请求中的目的属性信息;针对任一条域名策略,若该域名策略对应的属性信息集合中包括所述目的属性信息,则确定该域名策略为目标域名策略;其中,所述该域名策略对应的属性信息集合为预设的静态策略条件匹配表和预设的动态策略条件匹配表中该域名策略对应的属性信息的总和,所述动态策略条件匹配表为基于如权利要求1-11任一项所述的方法得到的动态策略条件匹配表,所述静态策略条件匹配表包括域名策略和属性信息的对应关系。
本申请实施例中,动态策略条件匹配表可以根据访问请求进行更新,进而使得第二匹配结果更加精确,提高得到的访问请求对应的目标域名策略的准确性。
结合上述第三方面提供的技术方案,在一些可能的实施方式中,所述目的属性信息包括多类属性信息,每一条域名策略中的每一类属性信息对应有一个属性信息集合;所述针对任一条域名策略,若该域名策略对应的属性信息集合中包括所述目的属性信息,则确定该域名策略为目标域名策略,包括:针对任一条域名策略中的每一类属性信息,若该类属性信息对应的属性信息集合中包括所述目的属性信息中的该类属性信息,则确定该域名策略为目标域名策略。
结合上述第三方面提供的技术方案,在一些可能的实施方式中,其特征在于,所述目的属性信息包括IP地址。
结合上述第三方面提供的技术方案,在一些可能的实施方式中,若所述IP地址包括目标目的IP地址;所述属性信息集合包括目的IP地址集合;所述目的IP地址集合为所述静态策略条件匹配表和所述动态策略条件匹配表中该域名策略对应的目的IP地址的总和;所述若该域名策略对应的属性信息集合中包括所述目的属性信息,则确定该域名策略为目标域名策略,包括:若该域名策略对应的目的IP地址集合中包括所述目标目的IP地址,则确定该域名策略为所述目标域名策略。
结合上述第三方面提供的技术方案,在一些可能的实施方式中,若所述IP地址包括目标目的IP地址和目标源IP地址;所述属性信息集合包括目的IP地址集合和源IP地址集合;所述目的IP地址集合为预设的静态策略条件匹配表和预设的动态策略条件匹配表中该域名策略对应的目的IP地址的总和;所述源IP地址集合为所述静态策略条件匹配表和所述动态策略条件匹配表中该域名策略对应的源IP地址的总和;所述若该域名策略对应的属性信息集合中包括所述目的属性信息,则确定该域名策略为目标域名策略,包括:若该域名策略对应的目的IP地址集合中包括所述目标目的IP地址,且该域名策略对应的源IP地址集合中包括所述目标源IP地址,则确定该域名策略为所述目标域名策略。
结合上述第三方面提供的技术方案,在一些可能的实施方式中,若所述目标域名策略为多个,基于各所述目标域名策略预设的优先级,确定优先级最高的目标域名策略为最终的目标域名策略。
第四方面,本申请提供一种域名策略配置装置,包括:获取模块、处理模块,获取模块用于获取目标访问请求中的目的属性信息,其中,所述目的属性信息是与域名相关的属性信息;处理模块用于基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目的属性信息与目标域名策略的对应关系,得到更新后的动态策略条件匹配表;其中,所述动态策略条件匹配表用于表征域名策略与属性信息之间的对应关系。
第五方面,本申请提供一种域名策略匹配装置,包括:获取模块、第一匹配模块、第二匹配模块、处理模块,获取模块用于获取访问请求中的属性信息;第一匹配模块用于将所述属性信息与动态策略条件匹配表进行匹配,得到第一域名策略,所述动态策略条件匹配表中的域名策略采用上述第一方面和/或结合上述第一方面任一可能的实施方式得到;第二匹配模块用于将所述属性信息与静态策略条件匹配表进行匹配,得到第二域名策略,所述静态策略条件匹配表中的域名策略为预先在控制层配置得到的,所述静态策略条件匹配表包括域名策略和属性信息的对应关系;处理模块用于基于所述第一域名策略和第二域名策略,确定目标域名策略。
第六方面,本申请提供一种域名策略匹配装置,包括:获取模块、处理模块,获取模块用于获取目标用户发送的访问请求中的目的属性信息;处理模块用于针对任一条域名策略,若该域名策略对应的属性信息集合中包括所述目的属性信息,则确定该域名策略为目标域名策略;其中,所述该域名策略对应的属性信息集合为预设的静态策略条件匹配表和预设的动态策略条件匹配表中该域名策略对应的属性信息的总和,所述动态策略条件匹配表为基于上述第一方面和/或结合上述第一方面任一项可能的实施方式提供的技术方案得到的动态策略条件匹配表。
第七方面,本申请实施例提供一种电子设备,包括处理器以及与所述处理器连接的存储器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述电子设备执行第一方面和/或结合第一方面任一实施例所述的方法,或者,使得所述电子设备执行第二方面和/或结合第二方面任一实施例所述的方法,或者,使得所述电子设备执行第三方面和/或结合第三方面任一实施例所述的方法。
第八方面,本申请实施例提供一种存储介质,所述存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行第一方面和/或结合第一方面任一实施例所述的方法,或者,使得所述计算机执行第二方面和/或结合第二方面任一实施例所述的方法,或者,使得所述电子设备执行第三方面和/或结合第三方面任一实施例所述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为现有技术中防火墙设备与不同设备连接的结构示意图;
图2为本申请实施例示出的第一种域名策略配置方法的流程示意图;
图3为本申请实施例示出的第二种域名策略配置方法的流程示意图;
图4为本申请实施例示出的一种域名策略匹配方法的流程示意图;
图5为本申请实施例示出的一种域名策略匹配方法的流程示意图;
图6为本申请实施例示出的一种域名策略配置装置的结构框图;
图7为本申请实施例示出的一种域名策略匹配装置的结构框图;
图8为本申请实施例示出的一种域名策略匹配装置的结构框图;
图9为本申请实施例示出的一种电子设备的结构框图。
具体实施方式
术语“第一”、“第二”等仅用于区分描述,并不表示排列序号,也不能理解为指示或暗示相对重要性。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
再者,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
下面将结合附图对本申请的技术方案进行详细地描述。
请参阅图2,图2为本申请实施例示出的一种域名策略配置方法的流程示意图,下面将结合图2对其包含的步骤进行说明。
S100:获取目标访问请求中的目的属性信息,其中,目的属性信息是与域名相关的属性信息。
属性信息为与域名相关联的信息,例如,属性信息可以是IP地址等,只要能基于属性信息确定域名策略即可。
当目的属性信息包括目标IP地址时,目标域名为域名策略对应的域名,例如,当域名策略为对域名A进行流量管控时,目标域名即为域名A。相应的,目标访问请求为访问域名A的访问请求,目的IP地址为域名A对应的IP地址。
获取目标访问请求中的目的属性信息的具体方式可以是:首先解析目标访问请求,得到解析结果,然后从解析结果中提取目的属性信息。
例如,当目的属性信息包括目的IP地址时,获取目标访问请求中的目的IP地址,的具体方式可以是:首先解析目标访问请求,得到解析结果,然后从解析结果中提取目的IP地址。
可以理解,目标访问请求中的目的IP地址可以是通过发送该目标访问请求的客户端获得的,具体而言可以是该客户端与DNS服务器进行通信,从而从DNS服务器中获取到目标域名对应的目的IP地址,进而生成携带有目的IP地址的目标访问请求并发送给被访问设备。
还可以理解,本申请实施例所提供的方法可以通过安装有防火墙的设备(即防火墙设备)实施,通过防火墙拦截该携带有目的IP地址的目标访问请求,从而执行本申请实施例的方案。
其中,对访问请求进行解析的方式已为本领域技术人员所熟知,为简要描述,此处不再赘述。
S200:基于目的属性信息,在预设的动态策略条件匹配表中更新目的属性信息与目标域名策略的对应关系,得到更新后的动态策略条件匹配表。
其中,动态策略条件匹配表用于表征属性信息、域名策略之间的对应关系。域名策略为管理员配置的用于进行数据引流、流量控制、业务通信质量控制等功能的策略,且该策略与域名相关,或者该策略的命中条件包括域名。
可选的,动态策略条件匹配表还可以用于表征域名、属性信息、域名策略之间的对应关系。
动态策略条件匹配表可以有以下几种实现方式。
第一种实施方式,动态策略条件匹配表中包括域名与属性信息的对应关系,且本地预设有域名与域名策略的对应关系。
此时,基于目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新目标域名对应的属性信息的具体过程可以是:基于目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新目标域名对应的属性信息。
可选的,当属性信息包括IP地址的情况下,动态策略条件匹配表可以包括域名和IP地址的对应关系。由于电子设备中会存储有域名策略与域名之间的对应关系,因此,在动态策略条件匹配表包括域名和IP地址的对应关系的情况下,即可基于动态策略条件匹配表,确定访问请求中包括的目标IP地址对应的目标域名。进而根据域名和域名策略的对应关系,确定目标IP地址对应的目标域名策略。
其中,域名和域名策略的对应关系包括:域名策略对应的目的域名(访问请求需要访问的域名),和/或,域名策略对应的源域名(发送访问请求的设备的域名)。
为了便于理解,动态策略条件匹配表可以如表1所示:
表1
Figure BDA0004211694710000101
如表1所示,动态策略条件匹配表中包括域名1、域名2…域名x各自对应的IP地址集合。动态策略条件匹配表的具体实现方式不限于表1所示的方式。
第二种实施方式,动态策略条件匹配表包括域名策略与属性信息的对应关系。
此时,基于目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新目标域名对应的属性信息的具体方式可以是:基于目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新目标域名对应的域名策略与属性信息的对应关系。
可选的,当属性信息包括目的IP地址和源IP地址的情况下,动态策略条件匹配表可以包括IP地址和域名策略的对应关系。此时,可以基于动态策略条件匹配表,确定访问请求中包括的目标IP地址对应的目标域名策略。
其中,IP地址和域名策略的对应关系包括:域名策略对应的目的IP地址(访问请求需要访问的IP地址),和/或,域名策略对应的源IP地址(发送访问请求的设备的IP地址)。
为了便于理解,动态策略条件匹配表可以如表2所示:
表2
Figure BDA0004211694710000102
如表2所示,动态策略条件匹配表中包括域名策略1、域名策略2…域名策略n各自对应的目的IP地址集合、源IP地址集合。动态策略条件匹配表的具体实现方式不限于表2所示的方式。
第三种实施方式,动态策略条件匹配表包括域名、属性信息、域名策略之间的对应关系。
此时在预设的动态策略条件匹配表中更新目标域名对应的属性信息的具体方式可以是:基于目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新目标域名对应的域名策略与属性信息的对应关系,以及更新目标域名对应的属性信息。
可选的,当属性信息包括目的IP地址和源IP地址的情况下,动态策略条件匹配表可以包括IP地址、域名、域名策略的对应关系。此时,可以基于动态策略条件匹配表,确定访问请求中包括的目标IP地址对应的目标域名策略。
为了便于理解,动态策略条件匹配表可以如表3所示:
表3
Figure BDA0004211694710000111
如表3所示,动态策略条件匹配表中包括域名策略1、域名策略2…域名策略n各自对应的目的IP地址、源IP地址、目的域名和源域名。动态策略条件匹配表的具体实现方式不限于表3所示的方式。
具体的,动态策略条件匹配表包括至少一个域名策略的目的地址的命中条件,例如,当域名策略A的命中条件为访问请求的域名为域名A;域名策略B的命中条件为访问请求的域名为域名B。此时,动态策略条件匹配表中包括域名A与IP地址的对应关系,以及域名B与IP地址的对应关系。当访问请求的目的IP地址与域名A对应时,该访问请求命中域名策略A;当访问请求的目的IP地址与域名B对应时,该访问请求命中域名策略B。
一种实施方式下,在得到目的属性信息时,可以直接基于该目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新目标域名与目的属性信息的对应关系。
若动态策略条件匹配表中已具有目标域名对应的目的属性信息,基于目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新目标域名对应的属性信息的具体过程可以是:更新动态策略条件匹配表中目标域名对应的目的属性信息的有效时间。
以目的属性信息包括目的域名为例,在更新动态策略条件匹配表中目标域名与IP地址的对应关系时,若动态策略条件匹配表中已具有目的IP地址和目标域名的对应关系,则在预设的动态策略条件匹配表中更新目标域名的对应关系的具体方式是:更新动态策略条件匹配表中目的IP地址和目标域名的对应关系的有效时间。
为了便于理解,以动态策略条件匹配表中包括域名A与IP地址1、IP地址2的对应关系为例,当目标访问请求对应的目的IP地址为IP地址1时,由于动态策略条件匹配表中已经存在域名A与IP地址1的对应关系,因此,将动态策略条件匹配表中域名A与IP地址1对应关系的有效时间更新为当前时间,或者,将动态策略条件匹配表中域名A与IP地址1对应关系的有效时间更新为接收到该目标访问请求的时间。此处举例仅为便于理解,不应作为对本申请的限制。
若动态策略条件匹配表中不具有目标域名对应的目的属性信息,基于目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新目标域名对应的属性信息的具体过程可以是:在动态策略条件匹配表中,新增目标域名对应的目的属性信息。
以目的属性信息包括目的域名为例,在更新动态策略条件匹配表中目标域名与IP地址的对应关系时,若动态策略条件匹配表中不具有目的IP地址和目标域名的对应关系,则在预设的动态策略条件匹配表中更新目标域名的对应关系的具体方式是:在动态策略条件匹配表中,新增目的IP地址和目标域名的对应关系。
为了便于理解,以动态策略条件匹配表中包括域名A与IP地址1、IP地址2的对应关系为例,当目标访问请求对应的目的IP地址为IP地址3时,由于动态策略条件匹配表中不存在域名A与IP地址3的对应关系,因此,在动态策略条件匹配表中,新增域名A与IP地址3的对应关系。更新后的动态策略条件匹配表中包括域名A与IP地址1、IP地址2、IP地址3的对应关系。此处举例仅为便于理解,不应作为对本申请的限制。
一种实施方式下,在得到目的属性信息后,可以先基于目的属性信息更新预设的域名配置信息,域名配置信息包括目标域名对应的所有属性信息;然后基于更新后的域名配置信息,得到动态策略匹配表。
以目的属性信息包括目的域名为例,在得到目的IP地址时,可以先基于该目的IP地址及其对应的目的IP地址更新域名配置信息,之后基于域名配置信息对动态策略条件匹配表进行更新。
基于目的IP地址及其对应的目的IP地址更新动态策略条件匹配表的具体方式可以是:首先基于目的IP地址更新预设的域名配置信息,域名配置信息包括目标域名对应的所有IP地址;之后基于更新后的域名配置信息,得到动态策略匹配表。
其中,域名配置信息中可以仅包括一个域名与IP地址的对应关系;或者,也可以包括多个域名与IP地址之间的对应关系,此处不对其进行限制。
可以理解的是,当域名配置信息中仅包括一个域名与IP地址的对应关系时,域名配置信息中可以仅存储与目标域名对应的IP地址。此时,域名配置信息中存在的所有IP地址均与目标域名对应。
可选的,若域名配置信息中包括目的属性信息和目标域名的对应关系,更新域名配置信息中目的属性信息和目标域名的对应关系的有效时间。
以目的属性信息包括目的域名为例,若域名配置信息中包括目的IP地址和目标域名的对应关系,基于目的IP地址更新预设的域名配置信息的方式可以是:更新域名配置信息中目的IP地址和目标域名的对应关系的有效时间。
为了便于理解,以域名配置信息中包括域名A与IP地址1、IP地址2的对应关系为例,当目标访问请求对应的目的IP地址为IP地址1时,由于域名配置信息中已经存在域名A与IP地址1的对应关系,因此,将域名配置信息中域名A与IP地址1对应关系的有效时间更新为当前时间,或者,将域名配置信息中域名A与IP地址1对应关系的有效时间更新为接收到该目标访问请求的时间。此处举例仅为便于理解,不应作为对本申请的限制。
可选的,若域名配置信息中不包括目的属性信息和目标域名的对应关系,在域名配置信息中,新增目的属性信息和目标域名的对应关系。
以目的属性信息包括目的域名为例,若域名配置信息中不包括目的IP地址和目标域名的对应关系,基于目的IP地址及其对应的目的IP地址更新预设的域名配置信息的方式可以是:在域名配置信息中,新增目的IP地址和目标域名的对应关系。
为了便于理解,以域名配置信息中包括域名A与IP地址1、IP地址2的对应关系为例,当目标访问请求对应的目的IP地址为IP地址3时,由于域名配置信息中不存在域名A与IP地址3的对应关系,因此,在域名配置信息中,新增域名A与IP地址3的对应关系。更新后的域名配置信息中包括域名A与IP地址1、IP地址2、IP地址3的对应关系。此处举例仅为便于理解,不应作为对本申请的限制。
当域名配置信息中仅包括一个域名与IP地址的对应关系时,基于更新后的域名配置信息,得到动态策略匹配表的具体方式可以是:基于域名配置信息中包括的目标域名与所有IP地址的对应关系,得到动态策略匹配表。此时得到的动态策略匹配表中包括目标域名与其对应的所有IP地址的对应关系。
当域名配置信息中包括多个域名与IP地址之间的对应关系时,基于更新后的域名配置信息,得到动态策略匹配表的具体方式可以是:从域名配置信息中确定出目标域名与IP地址的对应关系,然后基于目标域名与IP地址的对应关系,得到动态策略匹配表。其中,目标域名根据域名策略确定,例如,域名策略为对域名A进行流量管控时,目标域名即为域名A。此时,从域名配置信息中确定出域名A与IP地址的对应关系。此处举例仅为便于理解,不应作为对本申请的限制。
为了进一步理解上述的域名策略配置方法,请参阅图3。需要注意的是,图3仅为本申请提供的域名策略配置方法的一种具体实现方式,不应将其作为对本申请的限制。
如图3所示,首先解析目标访问请求,得到解析结果。然后从解析结果中提取目的IP地址。之后判断域名记录信息中是否存在目标域名与该目的IP地址的对应关系,其中,目标域名为目标访问请求对应的域名。
在域名记录信息中包括目的IP地址和目标域名的对应关系,更新域名配置信息中目的IP地址和目标域名的对应关系的有效时间。
在域名配置信息中不包括目的IP地址和目标域名的对应关系,在域名配置信息中,新增目的IP地址和目标域名的对应关系。
最后基于更新后的域名配置信息得到动态策略匹配表。
图3所示的域名策略配置方法的各个步骤的具体实现方式及原理在前文已叙述清楚,为简要描述,此处不再赘述。
在根据上述的域名策略配置方法配置完成动态策略匹配表后,可以基于该动态策略条件匹配表和策略条件匹配表确定接收到的访问请求是否命中域名策略。其中,策略条件匹配表为基于现有技术得到的策略条件匹配表,但在得到该域名策略条件匹配表后,即使该域名策略条件匹配表对应的目标域名的IP地址出现变化,也无需与DNS服务器进行通信,以再次构建该域名策略条件匹配表。而是通过动态策略条件匹配表体现该目标域名的IP地址的变化,进而实现在保证访问请求对应的目标域名策略的准确性的情况下,转发层转发数据的动作不会被打断,使得不会对防火墙设备的性能产生较大影响。
请参阅图4,图4为本申请实施例示出的一种域名策略匹配方法的流程示意图,该域名策略匹配方法应用于域名系统,该域名系统中存储有动态策略条件匹配表和静态策略条件匹配表。动态策略条件匹配表中的域名策略采用前述的域名策略配置方法得到的动态策略条件匹配表,静态策略条件匹配表中的域名策略为预先在控制层配置得到的,静态策略条件匹配表包括域名策略和属性信息的对应关系,下面将结合图4对其包含的步骤进行说明。
S300:获取访问请求中的属性信息。
获取访问请求中的属性信息的具体方式已为本领域技术人员所熟知,为简要描述,此处不再赘述。
S400:将属性信息与动态策略条件匹配表进行匹配,得到第一域名策略。
将属性信息与动态策略条件匹配表进行匹配,得到第一域名策略可以有以下两种实施方式。
第一种实施方式,将属性信息与动态策略条件匹配表进行匹配,将属性信息与动态策略条件匹配表中的所有匹配条件均匹配成功的域名策略作为第一域名策略。
可选的,当目的属性信息包括多类属性信息;将所述目的属性信息与动态策略条件匹配表进行匹配,得到第一域名策略的具体过程可以是:将每类目的属性信息与动态策略条件匹配表分别进行匹配;若所述目的属性信息中的至少一类属性信息与所述动态策略条件匹配表中的任一域名策略对应的属性信息匹配,则确定该域名策略为所述第一域名策略;
例如,当属性信息包括源IP地址、目的IP地址和安全域时,针对动态策略条件匹配表中的每一条域名策略,在属性信息包括的源IP地址与该域名策略对应的源IP地址匹配,且属性信息包括的目的IP地址与该域名策略对应的目的IP地址匹配,属性信息包括的安全域满足该域名策略对应的安全域条件时,将该域名策略作为第一域名策略。
第二种实施方式,将属性信息与动态策略条件匹配表进行匹配,将属性信息与动态策略条件匹配表中的部分匹配条件均匹配成功的域名策略作为第一域名策略。
可选的,当目的属性信息包括多类属性信息;将目的属性信息与动态策略条件匹配表进行匹配,得到第一域名策略的具体过程可以是:若目的属性信息的每一类属性信息与动态策略条件匹配表中该域名策略的对应每一类属性信息一一对应匹配,确定该域名策略为第一域名策略。
其中,目的属性信息可以包括源IP地址、目的IP地址。还可以包括安全域。
例如,当属性信息包括源IP地址、目的IP地址和安全域时,针对动态策略条件匹配表中的每一条域名策略,只要属性信息满足属性信息包括的源IP地址与该域名策略对应的源IP地址匹配、属性信息包括的目的IP地址与该域名策略对应的目的IP地址匹配、属性信息包括的安全域满足该域名策略对应的安全域条件中的至少一个条件,即可将该域名策略作为第一域名策略。
S500:将属性信息与静态策略条件匹配表进行匹配,得到第二域名策略。
将属性信息与静态策略条件匹配表进行匹配,得到第二域名策略可以有以下两种实施方式。
第一种实施方式,将属性信息与静态策略条件匹配表进行匹配,将属性信息与静态策略条件匹配表中的所有匹配条件均匹配成功的域名策略作为第二域名策略。
可选的,当目的属性信息包括多类属性信息;将所述目的属性信息与静态策略条件匹配表进行匹配,得到第二域名策略的具体过程可以是:将每类目的属性信息与静态策略条件匹配表分别进行匹配;若目的属性信息的每一类属性信息与静态策略条件匹配表中该域名策略的对应每一类属性信息一一对应匹配,确定该域名策略为目标域名策略。
第二种实施方式,将属性信息与静态策略条件匹配表进行匹配,将属性信息与静态策略条件匹配表中的部分匹配条件均匹配成功的域名策略作为第二域名策略。
可选的,当目的属性信息包括多类属性信息;将目的属性信息与静态策略条件匹配表进行匹配,得到第二域名策略的具体过程可以是:若目的属性信息中的至少一类属性信息与静态策略条件匹配表中的任一域名策略对应的属性信息匹配,则确定该域名策略为第二域名策略。
将属性信息与静态策略条件匹配表进行匹配的具体原理及实现方式,与前述的将属性信息与动态策略条件匹配表进行匹配的具体原理及实现方式一致,为简要描述,此处不再赘述。
S600:基于第一域名策略和第二域名策略,确定目标域名策略。
当将属性信息与动态策略条件匹配表中的所有匹配条件均匹配成功的域名策略作为第一域名策略,且将属性信息与静态策略条件匹配表中的所有匹配条件均匹配成功的域名策略作为第二域名策略的情况下,基于预设的域名策略优先级,将第一域名策略、第二域名策略中优先级最高的域名策略作为目标域名策略。或者,从第一域名策略、第二域名策略中随机确定一个域名策略作为目标域名策略。
当将属性信息与动态策略条件匹配表中的部分匹配条件均匹配成功的域名策略作为第一域名策略,且将属性信息与静态策略条件匹配表中的部分匹配条件均匹配成功的域名策略作为第二域名策略的情况下,且第一域名策略和第二域名策略包括相同的域名策略,针对任一域名策略:若该域名策略同时被确定为所述第一域名策略和所述第二域名策略,且所述目的属性信息中的每一类属性信息为与所述第一域名策略和所述第二域名策略中的至少之一相匹配的属性信息,则确定该域名策略为所述目标域名策略;若该域名策略同时被确定为所述第一域名策略和所述第二域名策略,且所述目的属性信息中的每一类属性信息不为与所述第一域名策略和所述第二域名策略中的至少之一相匹配的属性信息,则确定该域名策略不为所述目标域名策略。
例如,当目的属性信息包括目的IP地址和源IP地址的情况下,以静态策略条件匹配表中与域名策略1对应的目的IP地址包括:IP地址1、IP地址2,与域名策略1对应的源IP地址包括:IP地址3、IP地址4;动态策略条件匹配表中与域名策略1对应的目的IP地址包括:IP地址5、IP地址6,与域名策略1对应的源IP地址包括:IP地址7、IP地址8,为例进行说明。
若目的属性信息中的目的IP地址为IP地址1,源IP地址为IP地址7,那么该目的属性信息的目的IP地址与静态策略条件匹配表中的策略1匹配,因此策略1为第二域名策略。由于目的属性信息中的源IP地址为IP地址7,与动态策略条件匹配表中的策略1匹配,因此,策略1为第一域名策略。由于目的属性信息的源IP地址与动态策略条件匹配表相匹配,目的属性信息的目的IP地址与静态策略条件匹配表相匹配,也即,目的属性信息中的每一类属性信息(目的IP地址、源IP地址)为与策略1在静态策略条件匹配表或动态策略条件匹配表中匹配,因此,策略1为目标域名策略。此处举例仅为便于理解,属性信息并不限定为上述的源IP和目的IP,不应将其作为对本申请的限制。
一种实施方式下,针对任一域名策略,若该域名策略仅被确定为所述第一域名策略,或仅被确定为所述第二域名策略,且所述目的属性信息中的每一类属性信息均为与所述第一域名策略或所述第二域名策略相匹配的属性信息,则确定该域名策略为所述目标域名策略。若该域名策略仅被确定为第一域名策略,或仅被确定为第二域名策略,且目的属性信息中的至少一类属性信息不为与第一域名策略或第二域名策略相匹配的属性信息,则确定该域名策略不为目标域名策略。
例如,当目的属性信息包括目的IP地址和源IP地址的情况下,以静态策略条件匹配表中与域名策略1对应的目的IP地址包括:IP地址1、IP地址2,与域名策略1对应的源IP地址包括:IP地址3、IP地址4;动态策略条件匹配表中与域名策略1对应的目的IP地址包括:IP地址5、IP地址6,与域名策略1对应的源IP地址包括:IP地址7、IP地址8,为例进行说明。
此时,若目的属性信息中的目的IP地址为IP地址1,源IP地址为IP地址3,则可以确认该目的属性信息与静态策略条件匹配表中的域名策略1匹配,因此确认该域名策略1为目标域名策略。若目的属性信息中的源IP地址为IP地址1目的IP地址为IP地址9,那么域名策略1不为目标域名策略。
同理,若目的属性信息中的目的IP地址为IP地址5,源IP地址为IP地址8,则可以确认该目的属性信息与动态策略条件匹配表中的域名策略1匹配,因此确认该域名策略1为目标域名策略。若目的属性信息中的源IP地址为IP地址8,目的IP地址为IP地址9,那么域名策略1不为目标域名策略。此处举例仅为便于理解,不应将其作为对本申请的限制。
当目标域名策略包括多个的情况下,可以基于预设的策略优先级,从多个目标域名策略中确定出优先级最高的木域名策略作为最终的目标域名策略。
请参阅图5,图5为本申请实施例示出的一种域名策略匹配方法的流程示意图,下面将结合图5对其包含的步骤进行说明。
S700:获取目标用户发送的访问请求中的目的属性信息。
其中,属性信息为与域名相关联的信息,例如,属性信息可以包括IP地址,除IP地址外,属性信息还可以包括安全域等信息,属性信息包括的信息类型可以根据实际需求设置,此处不对其进行限制。
其中,属性信息包括的IP地址可以包括目的IP地址和/或源IP地址。
获取访问请求中的属性信息的具体方式已为本领域技术人员所熟知,为简要描述,此处不再赘述。
S800:针对任一条域名策略,若该域名策略对应的属性信息集合中包括目的属性信息,则确定该域名策略为目标域名策略。
其中,该域名策略对应的属性信息集合为预设的静态策略条件匹配表和预设的动态策略条件匹配表中该域名策略对应的属性信息的总和。
例如,当属性信息包括IP地址的情况下,该域名策略对应的属性信息集合包括IP地址集合,IP地址集合为预设的静态策略条件匹配表和预设的动态策略条件匹配表中该域名策略对应的IP地址的总和。
当目的属性信息包括多类属性信息,每一条域名策略中的每一类属性信息对应有一个属性信息集合;针对任一条域名策略,若该域名策略对应的属性信息集合中包括目的属性信息,则确定该域名策略为目标域名策略的具体方式可以是:针对任一条域名策略中的每一类属性信息,若该类属性信息对应的属性信息集合中包括目的属性信息中的该类属性信息,则确定该域名策略为目标域名策略。
静态策略条件匹配表为根据现有技术得到的策略条件匹配表,该静态策略条件匹配表包括域名策略和属性信息的对应关系。
可选的,当属性信息包括IP地址的情况下,静态策略条件匹配表可以包括域名策略与IP地址的对应关系,例如可以包括域名策略与目的IP地址的对应关系,和/或,域名策略与源IP地址的对应关系。策略条件匹配表还可以包括域名策略对应的安全域命中条件等。为了便于理解,请参阅表4:
表4
Figure BDA0004211694710000191
如表4所示,策略条件匹配表中包括域名策略1、域名策略2…域名策略n各自的匹配条件,若域名策略1对应的目标域名为域名A,则IP地址1为域名A对应的IP地址。源IP地址为发送访问请求的客户端的IP地址。此处举例仅为便于理解,不应作为对本申请的限制。
动态策略条件匹配表为动态策略条件匹配表,动态策略条件匹配表的具体实现方式在前文已叙述清楚,为简要描述,此处未提及的内容,可参考前述的域名策略配置方法实施例中的相关内容。
可选的,当属性信息包括IP地址,目的属性信息包括目的IP地址的情况下,属性信息集合包括目的IP地址集合;目的IP地址集合为静态策略条件匹配表和动态策略条件匹配表中该域名策略对应的目的IP地址的总和,针对任一条域名策略,若该域名策略对应的IP地址集合中包括目标IP地址,则确定该域名策略为目标域名策略的具体过程可以是:若该域名策略对应的目的IP地址集合中包括目标目的IP地址,则确定该域名策略为所述目标域名策略。
为了便于理解,以静态策略条件匹配表中与域名策略1对应的目的IP地址包括:IP地址1、IP地址2,动态策略条件匹配表中与域名策略1对应的目的IP地址包括:IP地址3、IP地址4为例进行说明。此时,目的IP地址集合包括:IP地址1、IP地址2、IP地址3、IP地址4。
若目标IP地址为IP地址3,可以确定域名策略1为目标域名策略。若目标IP地址为IP地址5,由于目的IP地址集合不包括IP地址5,因此,域名策略1不为目标域名策略。
其中,确定该域名策略对应的目的IP地址集合中包括目标目的IP地址的方式可以是:获取该域名策略在静态策略条件匹配表和动态策略条件匹配表中对应的所有目的IP地址,得到目的IP地址集合,然后判断目的IP地址集合中是否包括该目标目的IP地址。
或者,确定该域名策略对应的目的IP地址集合中包括目标目的IP地址的方式也可以是:判断该域名策略在静态策略条件匹配表中对应的所有目的IP地址是否包括目标目的IP地址,得到第一判断结果;判断该域名策略在动态策略条件匹配表中对应的所有目的IP地址是否包括目标目的IP地址,得到第二判断结果。当第一判断结果和第二判断结果中存在至少一个表征包括目标目的IP地址时,确定该域名策略对应的目的IP地址集合中包括目标目的IP地址。
可选的,当目标IP地址包括源IP地址的情况下,IP地址集合包括源IP地址集合;源IP地址集合为静态策略条件匹配表和动态策略条件匹配表中该域名策略对应的源IP地址的总和,针对任一条域名策略,若该域名策略对应的IP地址集合中包括目标IP地址,则确定该域名策略为目标域名策略的具体过程可以是:若该域名策略对应的源IP地址集合中包括目标源IP地址,则确定该域名策略为所述目标域名策略。
为了便于理解,以静态策略条件匹配表中与域名策略1对应的源IP地址包括:IP地址1、IP地址2,动态策略条件匹配表中与域名策略1对应的源IP地址包括:IP地址3、IP地址4为例进行说明。此时,源IP地址集合包括:IP地址1、IP地址2、IP地址3、IP地址4。
若目标IP地址为IP地址3,可以确定域名策略1为目标域名策略。若目标IP地址为IP地址5,由于源IP地址集合不包括IP地址5,因此,域名策略1不为目标域名策略。
其中,确定该域名策略对应的源IP地址集合中包括目标源IP地址的方式可以是:获取该域名策略在静态策略条件匹配表和动态策略条件匹配表中对应的所有源IP地址,得到源IP地址集合,然后判断源IP地址集合中是否包括该目标源IP地址。
或者,确定该域名策略对应的源IP地址集合中包括目标源IP地址的方式也可以是:判断该域名策略在静态策略条件匹配表中对应的所有源IP地址是否包括目标源IP地址,得到第三判断结果;判断该域名策略在动态策略条件匹配表中对应的所有源IP地址是否包括目标源IP地址,得到第四判断结果。当第三判断结果和第四判断结果中存在至少一个表征包括目标源IP地址时,确定该域名策略对应的源IP地址集合中包括目标源IP地址。
可选的,当目标IP地址包括目的IP地址和源IP地址的情况下,IP地址集合包括目的IP地址集合和源IP地址集合;目的IP地址集合为静态策略条件匹配表和动态策略条件匹配表中该域名策略对应的目的IP地址的总和;源IP地址集合为静态策略条件匹配表和动态策略条件匹配表中该域名策略对应的源IP地址的总和;若该域名策略对应的IP地址集合中包括目标IP地址,则确定该域名策略为目标域名策略,的具体过程可以是:若该域名策略对应的目的IP地址集合中包括目标目的IP地址,且该域名策略对应的源IP地址集合中包括目标源IP地址,则确定该域名策略为目标域名策略。
其中,确定该域名策略对应的目的IP地址集合中包括目标目的IP地址,以及确定该域名策略对应的源IP地址集合中包括目标源IP地址的方式与前文记载的一致,为简要描述,此处不再赘述。
可选的,当属性信息包括目标IP地址和目标安全域时,域名策略匹配方法还包括:针对任一域名策略,将目标安全域与所述静态策略条件匹配表中该域名策略对应的安全域命中条件进行匹配。此时,若该域名策略对应的IP地址集合中包括目标IP地址,且该域名策略对应的安全域命中条件和目标安全域匹配,则确定该域名策略为目标域名策略。
其中,确定该域名策略对应的IP地址集合中包括目标IP地址的具体方式及原理在前文已叙述清楚,为简要描述,此处不再赘述。
可选的,若所述目标域名策略为多个,可以基于各目标域名策略预设的优先级,确定优先级最高的目标域名策略为最终的目标域名策略,并进行执行。
其中,各目标域名策略的优先级可以根据实际情况设置,本申请对此不作限制。
基于同样的发明构思,本申请还提供一种域名策略配置装置,如图5所示,该域名域名策略配置装置100包括获取模块110和处理模块120。
获取模块110,用于获取目标访问请求中的目的属性信息,其中,所述目的属性信息是与域名相关的属性信息。
处理模块120,用于基于所述目的属性信息,在预设的动态策略条件匹配表中更新所述目的属性信息与目标域名策略的对应关系,得到更新后的动态策略条件匹配表;其中,所述动态策略条件匹配表用于表征域名策略与属性信息之间的对应关系。
处理模块120,具体用于若所述动态策略条件匹配表中已具有所述目标域名对应的所述目的属性信息,更新所述动态策略条件匹配表中所述目标域名对应的所述目的属性信息的有效时间。
处理模块120,具体用于若所述动态策略条件匹配表中不具有所述目标域名对应的所述目的属性信息,在所述动态策略条件匹配表中,新增所述目标域名对应的所述目的属性信息。
处理模块120,具体用于基于所述目的属性信息更新预设的域名配置信息,所述域名配置信息包括目标域名对应的所有属性信息;基于更新后的所述域名配置信息,得到动态策略匹配表。
处理模块120,具体用于若所述域名配置信息中包括所述目的属性信息和所述目标域名的对应关系,更新所述域名配置信息中所述目的属性信息和所述目标域名的对应关系的有效时间;若所述域名配置信息中不包括所述目的属性信息和所述目标域名的对应关系,在所述域名配置信息中,新增所述目的属性信息和所述目标域名的对应关系。
获取模块110,具体用于解析所述目标访问请求,得到解析结果;从所述解析结果中提取所述目的属性信息。
一种实施方式下,所述动态策略条件匹配表存储于数据转发层的内存中。
动态策略条件匹配表中包括域名与属性信息的对应关系,且本地预设有域名与域名策略的对应关系;处理模块120,具体用于基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的属性信息。
所述动态策略条件匹配表包括域名策略与属性信息的对应关系,所述基于所述目的属性信息以及所对应的目标域名,处理模块120,具体用于基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的域名策略与属性信息的对应关系。
所述动态策略条件匹配表包括域名、属性信息、域名策略之间的对应关系,处理模块120,具体用于基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的域名策略与属性信息的对应关系,以及更新所述目标域名对应的属性信息。
一种实施方式下,所述目的属性信息包括IP地址。
本申请实施例所提供的域名策略配置装置100,其实现原理及产生的技术效果和前述域名策略配置方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述域名策略配置方法实施例中相应内容。
基于同样的发明构思,本申请还提供一种域名策略匹配装置,如图7所示,该域名策略匹配装置200包括获取模块210、处理模块220。
获取模块210,用于获取目标用户发送的访问请求中的目的属性信息。
处理模块220,用于针对任一条域名策略,若该域名策略对应的属性信息集合中包括所述目的属性信息,则确定该域名策略为目标域名策略;其中,所述该域名策略对应的属性信息集合为预设的静态策略条件匹配表和预设的动态策略条件匹配表中该域名策略对应的属性信息的总和,所述动态策略条件匹配表为基于上述的域名策略配置方法方法得到的动态策略条件匹配表,所述静态策略条件匹配表包括域名策略和属性信息的对应关系。
在一种可行实施例中,目的属性信息包括多类属性信息,每一条域名策略中的每一类属性信息对应有一个属性信息集合;处理模块220,具体用于针对任一条域名策略中的每一类属性信息,若该类属性信息对应的属性信息集合中包括所述目的属性信息中的该类属性信息,则确定该域名策略为目标域名策略。
一种实施方式下,所述目的属性信息包括IP地址。
在一种可选实施例中,所述目标IP地址包括目标目的IP地址;所述IP地址集合包括目的IP地址集合;所述目的IP地址集合为所述静态策略条件匹配表和所述动态策略条件匹配表中该域名策略对应的目的IP地址的总和;处理模块220,具体用于若该域名策略对应的目的IP地址集合中包括所述目标目的IP地址,则确定该域名策略为所述目标域名策略。
在一种可行实施例中,所述目标IP地址包括目标目的IP地址和目标源IP地址;所述IP地址集合包括目的IP地址集合和源IP地址集合;所述目的IP地址集合为所述静态策略条件匹配表和所述动态策略条件匹配表中该域名策略对应的目的IP地址的总和;所述源IP地址集合为所述静态策略条件匹配表和所述动态策略条件匹配表中该域名策略对应的源IP地址的总和;处理模块220,具体用于若该域名策略对应的目的IP地址集合中包括所述目标目的IP地址,且该域名策略对应的源IP地址集合中包括所述目标源IP地址,则确定该域名策略为所述目标域名策略。
在一种可行实施例中,若所述目标域名策略为多个,处理模块220,还用于基于各所述目标域名策略预设的优先级,确定优先级最高的目标域名策略为最终的目标域名策略。
本申请实施例所提供的域名策略匹配装置200,其实现原理及产生的技术效果和前述域名策略匹配方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述域名策略匹配方法实施例中相应内容。
基于同样的发明构思,本申请还提供一种域名策略匹配装置,如图8所示,该域名策略匹配装置300包括获取模块310、第一匹配模块320、第二匹配模块330、处理模块340。
获取模块310,用于获取访问请求中的属性信息;
第一匹配模块320,用于将所述属性信息与动态策略条件匹配表进行匹配,得到第一域名策略,所述动态策略条件匹配表为基于上述的域名策略配置方法方法得到的动态策略条件匹配表。
第二匹配模块330,用于将所述属性信息与静态策略条件匹配表进行匹配,得到第二域名策略,所述静态策略条件匹配表中的域名策略为预先在控制层配置得到的,所述静态策略条件匹配表包括域名策略和属性信息的对应关系。
处理模块340,用于基于所述第一域名策略和第二域名策略,确定目标域名策略。
在一种可行实施例中,所述目的属性信息包括多类属性信息;第一匹配模块320,具体用于将每类所述目的属性信息与所述动态策略条件匹配表分别进行匹配;若所述目的属性信息中的至少一类属性信息与所述动态策略条件匹配表中的任一域名策略对应的属性信息匹配,则确定该域名策略为所述第一域名策略;
第二匹配模块330,具体用于将每类所述目的属性信息与所述静态策略条件匹配表分别进行匹配;若所述目的属性信息中的至少一类属性信息与所述静态策略条件匹配表中的任一域名策略对应的属性信息匹配,则确定该域名策略为所述第二域名策略。
处理模块340,具体用于针对任一域名策略:若该域名策略同时被确定为所述第一域名策略和所述第二域名策略,且所述目的属性信息中的每一类属性信息为与所述第一域名策略和所述第二域名策略中的至少之一相匹配的属性信息,则确定该域名策略为所述目标域名策略;若该域名策略同时被确定为所述第一域名策略和所述第二域名策略,且所述目的属性信息中的每一类属性信息不为与所述第一域名策略和所述第二域名策略中的至少之一相匹配的属性信息,则确定该域名策略不为所述目标域名策略。
处理模块340,具体用于针对任一域名策略:若该域名策略仅被确定为所述第一域名策略,或仅被确定为所述第二域名策略,且所述目的属性信息中的每一类属性信息均为与所述第一域名策略或所述第二域名策略相匹配的属性信息,则确定该域名策略为所述目标域名策略。
处理模块340,具体用于基于预设的域名策略优先级,将所述第一域名策略、第二域名策略中优先级最高的域名策略作为所述目标域名策略。
在一种可行实施例中,所述目的属性信息包括IP地址。
本申请实施例所提供的域名策略匹配装置300,其实现原理及产生的技术效果和前述域名策略匹配方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述域名策略匹配方法实施例中相应内容。
请参阅图9,其为本申请实施例提供的一种电子设备400。所述电子设备400包括:处理器410和与处理器410通信连接的存储器420。
其中,处理器410和存储器420可以通过通信总线连接。或者通过一些通信模块连接,例如:无线通信模块、蓝牙通信模块、4G/5G通信模块等。存储器420用于存储计算机程序,如存储有图5或图6中所示的软件功能模块,即域名策略配置装置100或域名策略匹配装置200或域名策略匹配装置300。其中,装置100或域名策略匹配装置200或域名策略匹配装置300包括至少一个可以软件或固件(firmware)的形式存储于所述存储器420中或固化在所述电子设备400的操作系统(operating system,OS)中的软件功能模块。
所述处理器410,用于执行存储器420中存储的可执行模块,例如装置100包括的软件功能模块或计算机程序。此时,处理器410,用于获取目标访问请求中的目的属性信息,其中,所述目的属性信息是与域名相关的属性信息;基于所述目的属性信息,在预设的动态策略条件匹配表中更新所述目的属性信息与目标域名策略的对应关系,得到更新后的动态策略条件匹配表;其中,所述动态策略条件匹配表用于表征域名策略与属性信息之间的对应关系。
所述处理器410,用于执行存储器420中存储的可执行模块,例如域名策略匹配装置200包括的软件功能模块或计算机程序。此时,处理器410,用于获取目标用户发送的访问请求中的目的属性信息;针对任一条域名策略,若该域名策略对应的属性信息集合中包括所述目的属性信息,则确定该域名策略为目标域名策略;其中,所述该域名策略对应的属性信息集合为预设的静态策略条件匹配表和预设的动态策略条件匹配表中该域名策略对应的属性信息的总和,所述动态策略条件匹配表为基于上述的域名策略配置方法方法得到的动态策略条件匹配表,所述静态策略条件匹配表包括域名策略和属性信息的对应关系。
所述处理器410,用于执行存储器420中存储的可执行模块,例如域名策略匹配装置300包括的软件功能模块或计算机程序。此时,处理器410,用于获取访问请求中的属性信息;将所述属性信息与动态策略条件匹配表进行匹配,得到第一域名策略;将所述属性信息与静态策略条件匹配表进行匹配,得到第二域名策略;基于所述第一域名策略和所述第二域名策略,确定目标域名策略。
其中,存储器420可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器410可能是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器410也可以是任何常规的处理器等。
可以理解,电子设备400还可以包括更多自身所需的通用模块,在本申请实施例不作一一介绍。
其中,上述的电子设备400,包括但不限于个人电脑、服务器等。
本申请实施例还提供了一种计算机可读存储介质(以下简称存储介质),该存储介质上存储有计算机程序,该计算机程序被计算机如上述的电子设备400运行时,执行上述所示的图像绘制方法。该计算机可读存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (28)

1.一种域名策略配置方法,其特征在于,包括:
获取目标访问请求中的目的属性信息,其中,所述目的属性信息是与域名相关的属性信息;
基于所述目的属性信息,在预设的动态策略条件匹配表中更新所述目的属性信息与目标域名策略的对应关系,得到更新后的动态策略条件匹配表;其中,所述动态策略条件匹配表用于表征域名策略与属性信息之间的对应关系。
2.根据权利要求1所述的方法,其特征在于,若所述动态策略条件匹配表中已具有所述目标域名对应的所述目的属性信息,所述基于所述目的属性信息,在预设的动态策略条件匹配表中更新所述目的属性信息与目标域名策略的对应关系,包括:
更新所述动态策略条件匹配表中所述目标域名对应的所述目的属性信息的有效时间。
3.根据权利要求1所述的方法,其特征在于,若所述动态策略条件匹配表中不具有所述目标域名对应的所述目的属性信息,所述基于所述目的属性信息,在预设的动态策略条件匹配表中更新所述目的属性信息与目标域名策略的对应关系,包括:
在所述动态策略条件匹配表中,新增所述目标域名对应的所述目的属性信息。
4.根据权利要求1所述的方法,其特征在于,所述基于所述目的属性信息,在预设的动态策略条件匹配表中更新所述目的属性信息与目标域名策略的对应关系,包括:
基于所述目的属性信息更新预设的域名配置信息,所述域名配置信息包括目标域名对应的所有属性信息;
基于更新后的所述域名配置信息,得到动态策略匹配表。
5.根据权利要求4所述的方法,其特征在于,所述基于所述目的属性信息更新预设的域名配置信息,包括:
若所述域名配置信息中包括所述目的属性信息和所述目标域名的对应关系,更新所述域名配置信息中所述目的属性信息和所述目标域名的对应关系的有效时间;
若所述域名配置信息中不包括所述目的属性信息和所述目标域名的对应关系,在所述域名配置信息中,新增所述目的属性信息和所述目标域名的对应关系。
6.根据权利要求1所述的方法,其特征在于,所述获取目标访问请求中的目的属性信息,包括:
解析所述目标访问请求,得到解析结果;
从所述解析结果中提取所述目的属性信息。
7.根据权利要求1所述的方法,其特征在于,
所述动态策略条件匹配表存储于数据转发层的内存中。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述动态策略条件匹配表中包括域名与属性信息的对应关系,且本地预设有域名与域名策略的对应关系;
所述基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的属性信息,包括:
基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的属性信息。
9.根据权利要求1-7任一项所述的方法,其特征在于,所述动态策略条件匹配表包括域名策略与属性信息的对应关系,所述基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的属性信息,包括:
基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的域名策略与属性信息的对应关系。
10.根据权利要求1-7任一项所述的方法,其特征在于,所述动态策略条件匹配表包括域名、属性信息、域名策略之间的对应关系,在预设的动态策略条件匹配表中更新所述目标域名对应的属性信息,包括:
基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目标域名对应的域名策略与属性信息的对应关系,以及更新所述目标域名对应的属性信息。
11.根据权利要求1-10任一项所述的方法,其特征在于,所述目的属性信息包括IP地址。
12.一种域名策略匹配方法,其特征在于,所述方法用于域名系统,所述域名系统中存储有:动态策略条件匹配表和静态策略条件匹配表,所述动态策略条件匹配表中的域名策略采用如权利要求1-11任一项所述的方法得到,所述静态策略条件匹配表中的域名策略为预先在控制层配置得到的,所述静态策略条件匹配表包括域名策略和属性信息的对应关系,所述方法包括:
获取访问请求中的目的属性信息;
将所述目的属性信息与动态策略条件匹配表进行匹配,得到第一域名策略;
将所述目的属性信息与静态策略条件匹配表进行匹配,得到第二域名策略;
基于所述第一域名策略和所述第二域名策略,确定目标域名策略。
13.根据权利要求12所述的方法,其特征在于,所述目的属性信息包括多类属性信息;将所述目的属性信息与动态策略条件匹配表进行匹配,得到第一域名策略,包括:
将每类所述目的属性信息与所述动态策略条件匹配表分别进行匹配;
若所述目的属性信息中的至少一类属性信息与所述动态策略条件匹配表中的任一域名策略对应的属性信息匹配,则确定该域名策略为所述第一域名策略;
将所述目的属性信息与静态策略条件匹配表进行匹配,得到第二域名策略,包括:
将每类所述目的属性信息与所述静态策略条件匹配表分别进行匹配;
若所述目的属性信息中的至少一类属性信息与所述静态策略条件匹配表中的任一域名策略对应的属性信息匹配,则确定该域名策略为所述第二域名策略。
14.根据权利要求13所述的方法,其特征在于,若所述动态策略条件匹配表和所述静态策略条件匹配表中具有相同的域名策略,基于所述第一域名策略和所述第二域名策略,确定目标域名策略,包括:
针对任一域名策略:
若该域名策略同时被确定为所述第一域名策略和所述第二域名策略,且所述目的属性信息中的每一类属性信息为与所述第一域名策略和所述第二域名策略中的至少之一相匹配的属性信息,则确定该域名策略为所述目标域名策略;
若该域名策略同时被确定为所述第一域名策略和所述第二域名策略,且所述目的属性信息中的每一类属性信息不为与所述第一域名策略和所述第二域名策略中的至少之一相匹配的属性信息,则确定该域名策略不为所述目标域名策略。
15.根据权利要求13所述的方法,其特征在于,基于所述第一域名策略和所述第二域名策略,确定目标域名策略,包括:
针对任一域名策略:
若该域名策略仅被确定为所述第一域名策略,或仅被确定为所述第二域名策略,且所述目的属性信息中的每一类属性信息均为与所述第一域名策略或所述第二域名策略相匹配的属性信息,则确定该域名策略为所述目标域名策略;
若该域名策略仅被确定为所述第一域名策略,或仅被确定为所述第二域名策略,且所述目的属性信息中的至少一类属性信息不为与所述第一域名策略或所述第二域名策略相匹配的属性信息,则确定该域名策略不为所述目标域名策略。
16.根据权利要求12所述的方法,其特征在于,基于所述第一域名策略和第二域名策略,确定目标域名策略,包括:
基于预设的域名策略优先级,将所述第一域名策略、第二域名策略中优先级最高的域名策略作为所述目标域名策略。
17.根据权利要求12-16任一项所述的方法,其特征在于,所述目的属性信息包括IP地址。
18.一种域名策略匹配方法,其特征在于,包括:
获取目标用户发送的访问请求中的目的属性信息;
针对任一条域名策略,若该域名策略对应的属性信息集合中包括所述目的属性信息,则确定该域名策略为目标域名策略;其中,所述该域名策略对应的属性信息集合为预设的静态策略条件匹配表和预设的动态策略条件匹配表中该域名策略对应的属性信息的总和,所述动态策略条件匹配表为基于如权利要求1-11任一项所述的方法得到的动态策略条件匹配表,所述静态策略条件匹配表包括域名策略和属性信息的对应关系。
19.根据权利要求18所述的方法,其特征在于,所述目的属性信息包括多类属性信息,每一条域名策略中的每一类属性信息对应有一个属性信息集合;所述针对任一条域名策略,若该域名策略对应的属性信息集合中包括所述目的属性信息,则确定该域名策略为目标域名策略,包括:
针对任一条域名策略中的每一类属性信息,若该类属性信息对应的属性信息集合中包括所述目的属性信息中的该类属性信息,则确定该域名策略为目标域名策略。
20.根据权利要求18-19任一项所述的方法,其特征在于,其特征在于,所述目的属性信息包括IP地址。
21.根据权利要求20所述的方法,其特征在于,
若所述IP地址包括目标目的IP地址;所述属性信息集合包括目的IP地址集合;所述目的IP地址集合为所述静态策略条件匹配表和所述动态策略条件匹配表中该域名策略对应的目的IP地址的总和;所述若该域名策略对应的属性信息集合中包括所述目的属性信息,则确定该域名策略为目标域名策略,包括:
若该域名策略对应的目的IP地址集合中包括所述目标目的IP地址,则确定该域名策略为所述目标域名策略。
22.根据权利要求20所述的方法,其特征在于,
若所述IP地址包括目标目的IP地址和目标源IP地址;所述属性信息集合包括目的IP地址集合和源IP地址集合;所述目的IP地址集合为预设的静态策略条件匹配表和预设的动态策略条件匹配表中该域名策略对应的目的IP地址的总和;所述源IP地址集合为所述静态策略条件匹配表和所述动态策略条件匹配表中该域名策略对应的源IP地址的总和;所述若该域名策略对应的属性信息集合中包括所述目的属性信息,则确定该域名策略为目标域名策略,包括:
若该域名策略对应的目的IP地址集合中包括所述目标目的IP地址,且该域名策略对应的源IP地址集合中包括所述目标源IP地址,则确定该域名策略为所述目标域名策略。
23.根据权利要求18-22任一项所述的方法,其特征在于,若所述目标域名策略为多个,基于各所述目标域名策略预设的优先级,确定优先级最高的目标域名策略为最终的目标域名策略。
24.一种域名策略配置装置,其特征在于,包括:
获取模块,用于获取目标访问请求中的目的属性信息,其中,所述目的属性信息是与域名相关的属性信息;
处理模块,用于基于所述目的属性信息以及所对应的目标域名,在预设的动态策略条件匹配表中更新所述目的属性信息与目标域名策略的对应关系,得到更新后的动态策略条件匹配表;其中,所述动态策略条件匹配表用于表征域名策略与属性信息之间的对应关系。
25.一种域名策略匹配装置,其特征在于,包括:
获取模块,用于获取访问请求中的属性信息;
第一匹配模块,用于将所述属性信息与动态策略条件匹配表进行匹配,得到第一域名策略,所述动态策略条件匹配表中的域名策略采用如权利要求1-11任一项所述的方法得到;
第二匹配模块,用于将所述属性信息与静态策略条件匹配表进行匹配,得到第二域名策略,所述静态策略条件匹配表中的域名策略为预先在控制层配置得到的,所述静态策略条件匹配表包括域名策略和属性信息的对应关系;
处理模块,用于基于所述第一域名策略和第二域名策略,确定目标域名策略。
26.一种域名策略匹配装置,其特征在于,包括:
获取模块,用于获取目标用户发送的访问请求中的目的属性信息;
处理模块,用于针对任一条域名策略,若该域名策略对应的属性信息集合中包括所述目的属性信息,则确定该域名策略为目标域名策略;其中,所述该域名策略对应的属性信息集合为预设的静态策略条件匹配表和预设的动态策略条件匹配表中该域名策略对应的属性信息的总和,所述动态策略条件匹配表为基于如权利要求1-11任一项所述的方法得到的动态策略条件匹配表,所述静态策略条件匹配表包括域名策略和属性信息的对应关系。
27.一种电子设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器连接;
所述存储器,用于存储程序;
所述处理器,用于调用存储于所述存储器中的程序,以执行如权利要求1-23中任一项所述的方法。
28.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被计算机运行时,执行如权利要求1-23中任一项所述的方法。
CN202310491833.1A 2023-05-04 2023-05-04 域名策略配置方法、域名策略匹配方法及相关装置 Pending CN116436894A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310491833.1A CN116436894A (zh) 2023-05-04 2023-05-04 域名策略配置方法、域名策略匹配方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310491833.1A CN116436894A (zh) 2023-05-04 2023-05-04 域名策略配置方法、域名策略匹配方法及相关装置

Publications (1)

Publication Number Publication Date
CN116436894A true CN116436894A (zh) 2023-07-14

Family

ID=87094445

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310491833.1A Pending CN116436894A (zh) 2023-05-04 2023-05-04 域名策略配置方法、域名策略匹配方法及相关装置

Country Status (1)

Country Link
CN (1) CN116436894A (zh)

Similar Documents

Publication Publication Date Title
US11652793B2 (en) Dynamic firewall configuration
US11282017B2 (en) Systems and methods for monitoring information security effectiveness
US9723022B2 (en) Domain classification using domain co-occurrence information
US9648033B2 (en) System for detecting the presence of rogue domain name service providers through passive monitoring
CN106068639B (zh) 通过dns处理的透明代理认证
CN108270882B (zh) 域名的解析方法和装置、存储介质、电子装置
US8073936B2 (en) Providing support for responding to location protocol queries within a network node
US20240048579A1 (en) Identification of malicious domain campaigns using unsupervised clustering
CN109088909B (zh) 一种基于商户类型的服务灰度发布方法及设备
US10637875B2 (en) Automated classification of domain names resolved by malware
CN114846462A (zh) 使用图数据结构的资产搜索发现系统
JP2006268544A (ja) ネットワーク接続制御システム、ネットワーク接続制御方法、およびネットワーク接続制御プログラム
US11381446B2 (en) Automatic segment naming in microsegmentation
CN114745356B (zh) 一种域名解析方法、装置、设备及可读存储介质
CN115934202A (zh) 一种数据管理方法、系统、数据服务网关及存储介质
CN110944007A (zh) 一种网络访问管理方法、系统、装置及存储介质
CN115826444A (zh) 基于dns解析的安全访问控制方法、系统、装置及设备
CN113486344B (zh) 一种接口防刷方法、装置、服务端及存储介质
CN108040124B (zh) 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置
CN116436894A (zh) 域名策略配置方法、域名策略匹配方法及相关装置
CN112491855B (zh) 一种handle标识解析状态的确定方法及装置
CN114244555A (zh) 一种安全策略的调整方法
CN115022008A (zh) 一种访问风险评估方法、装置、设备及介质
CN114338809A (zh) 访问控制方法、装置、电子设备和存储介质
CN114338630A (zh) 域名访问方法、装置、电子设备、存储介质及程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination