一种外部访问控制方法、网关及DNS服务器技术

本发明专利技术提供一种外部访问控制方法、网关及DNS服务器，用以接收URL格式的网络访问受限对象的配置并判断网络访问受限对象的类型；当类型为IP地址时，生成与IP地址相对应的IP数据包过滤规则；当类型为域名时，生成与域名相对应的IP数据包过滤规则，并在网关的本地缓存中或者DNS服务器中查找与域名相对应的IP地址，并根据查找结果生成与IP地址相对应的IP数据包过滤规则。本发明专利技术在网关部分分别针对不同的网关实现网络访问受限对象的域名和IP地址的同步控制，保证控制的有效性、全面性、以及灵活性。

【技术实现步骤摘要】
一种外部访问控制方法、网关及DNS服务器
本专利技术涉及网络通信领域，特别是涉及一种外部访问控制方法、网关及DNS服务器。
技术介绍
URL，也被称为网页地址，是因特网上标准的资源地址，用于完整地描述Internet上网页和其他资源的地址的一种标识方法。Internet上的每一个网页都具有一个唯一的URL地址名称标识，通常称之为URL地址，这种地址可以是本地磁盘，也可以是局域网上的某一台计算机，更多的是Internet上的站点。简单得说，URL就是Web地址，俗称“网址”。URL过滤是现在防火墙的一个重要的访问控制方法，URL控制基本限制在域名级别。这样带来的问题就是，在访问前先使用IP地址解析工具解析出IP地址后再用IP地址访问，这样URL域名过滤就会失效，不能同时对域名和IP地址进行过滤。其二，即使域名限制成立，但等URL重组完，再识别，再强行断开连接，对系统，包括客户端、服务器和防火墙的资源都是很大的一种浪费。针对URL过滤在技术上的缺陷，出现了DNS过滤。DNS过滤就是在域名解析时就进行限制，客户端发来的域名解析请求包中包含有域名，可以提取出来进行分析判断。一般域名请求使用的是UDP(UserDatagramProtocol，用户数据报协议)包，UDP包中包含了域名信息，不需要通过重组来分离域名信息。DNS过滤虽然可以对域名对应的所有服务进行全面的限制，没有IP访问的漏洞，但DNS过滤不能做到像URL过滤那样，可以将过滤限制到文件级别的粒度。而且，DNS过滤是在DNS服务器上运行的，这点若在大型网络中进行配置是极为不灵活的。在大型社区网络中，多台网关，即客户端，对应一台DNS服务器，如果在DNS服务器上进行DNS过滤，必然会影响到多台客户端，即一条DNS过滤规则会对所有的客户端生效，若要对不同的客户端进行分别的访问控制，那在DNS服务器上就无法实现。
技术实现思路
鉴于以上所述现有技术的缺点，本专利技术的目的在于提供一种外部访问控制方法、网关、及DNS服务器，用于解决现有技术中不能有效的分别争对不同的网关同时进行其网络访问限制对象的域名和IP地址的访问控制的问题。为实现上述目的及其他相关目的，本专利技术提供一种外部访问控制方法，一种外部访问控制方法，包括如下步骤：接收URL格式的网络访问受限对象的配置；判断所述网络访问受限对象的类型；当所述类型为IP地址时，生成与所述IP地址相对应的第一IP数据包过滤规则；当所述类型为域名时，生成与所述域名相对应的第二IP数据包过滤规则，并查找本地缓存中是否存在与所述域名相对应的IP地址，若存在，提取所述IP地址，生成与所述本地缓存中提取的IP地址相对应的第三IP数据包过滤规则；若不存在，执行以下步骤：与预设的DNS服务器进行一次正常的报文交互，获取第一交互时间；向所述DNS服务器发送与所述域名相对应的DNS查询报文，用以查询与所述域名相对应的IP地址；获取所述DNS服务器反馈的DNS响应报文，计算与所述DNS服务器交互的第二交互时间，当所述第二交互时间小于所述第一交互时间时，丢弃所述DNS响应报文；当所述第二交互时间大于或等于所述第一交互时间时，提取所述DNS响应报文中的所述IP地址，将所述IP地址保存至所述本地缓存中，且生成与从所述DNS响应报文中提取的所述IP地址相对应的第四IP数据包过滤规则。可选的，所述外部访问控制方法还包括设置向所述DNS服务器发送所述DNS查询报文的次数阈值；向所述DNS服务器发送与所述域名相对应的DNS查询报文后，记录所述DNS查询报文发送次数；当由于所述第二交互时间小于所述第一交互时间而丢弃所述DNS响应报文后，判断所述DNS查询报文发送次数是否大于所述次数阈值，当判断结果为是时，返回查询失败信息，不对所述域名对应的所述IP地址进行过滤；当判断结果为否时，重新向所述DNS服务器发送与所述域名相对应的DNS查询报文。本专利技术还提供一种网关，包括：过滤对象配置模块，用以接收URL格式的网络访问受限对象的配置；过滤对象类型判断模块，用以判断接收到的所述网络访问受限对象的类型；过滤规则生成模块，与所述过滤对象类型判断模块连接，当所述网络访问受限对象的类型为IP地址时，生成与所述IP地址相对应的第一IP数据包过滤规则；当所述网络访问受限对象的类型为域名时，生成与所述域名相对应的第二IP数据包过滤规则，并查找与所述域名相对应的IP地址，根据查找结果生成与所述IP地址相对应的第三IP数据包过滤规则；IP地址查询模块，当所述网络访问受限对象的类型为域名时，查找本地缓存中是否存在与所述域名相对应的IP地址，若是，向所述过滤规则生成模块返回所述IP地址；若否，与预设的DNS服务器进行一次正常的报文交互，获取第一交互时间；向所述DNS服务器发送与所述域名相对应的DNS查询报文，用以查询与所述域名相对应的IP地址；获取所述DNS服务器反馈的DNS响应报文，计算与所述DNS服务器交互的第二交互时间，当所述第二交互时间小于所述第一交互时间时，丢弃所述DNS响应报文；当所述第二交互时间大于或等于所述第一交互时间时，提取所述DNS响应报文中的所述IP地址，将所述IP地址保存至所述本地缓存中，并将所述IP地址向所述过滤规则生成模块进行反馈。可选的，所述IP地址查询模块还包括查询次数阈值设定模块，用以设置向所述DNS服务器发送与所述域名相对应的DNS查询报文的次数阈值；所述IP地址查询模块还包括查询次数计数模块，用以当向所述DNS服务器发送与所述域名相对应的DNS查询报文时，自动加一进行发送次数的累计；所述IP地址查询模块还包括查询次数判断模块，用以根据所述查询次数计数模块的记录结果判断所述DNS查询报文发送次数是否大于所述次数阈值，当判断结果为是时，返回查询失败信息，不对所述域名对应的所述IP地址进行过滤；当判断结果为否时，重新向所述DNS服务器发送所述DNS查询报文。本专利技术还提供一种DNS服务器，包括：IP地址查找模块，用以根据接收到的携带有域名信息的DNS查询报文查找与所述域名相对应的IP地址；报文交互模块，用以与外部设备进行正常的报文交互以供计算出第一交互时间，且根据所述IP地址查找模块的查找结果反馈携带有所述IP地址信息的DNS响应报文并以供计算出第二交互时间；其中，所述第一交互时间及第二交互时间用于供所述外部设备在所述第二交互时间大于或等于所述第一交互时间时，提取所述DNS响应报文中的所述IP地址并保存至所述外部设备本地缓存中，且生成与所述IP地址相对应的IP数据包过滤规则。可选的，所述DNS服务器还包括阈值设定模块，用以设定所述IP地址查找模块的查找时间阈值，当查找时间大于预设的所述时间阈值时，查找结束，并向所述外部设备反馈查找失败信息。如上所述，本专利技术的一种外部访问控制方法、网关、及DNS服务器，在网关部分分别针对不同的网关实现网络访问受限对象的域名和IP地址的同步控制，保证控制的有效性、全面性、以及灵活性。附图说明图1显示为本专利技术的一种外部访问控制方法在一具体实施例中的步骤流程示意图。图2显示为应用本专利技术的一种外部访问控制方法的一具体实施例的系统架构示意图。图3显示为本专利技术的一种网关的IP地址查询模块在一具体实施例中的模块结构示意图。图4显示为本发本文档来自技高网...

【技术保护点】
一种外部访问控制方法，其特征在于，包括如下步骤：接收URL格式的网络访问受限对象的配置；判断所述网络访问受限对象的类型；当所述类型为IP地址时，生成与所述IP地址相对应的第一IP数据包过滤规则；当所述类型为域名时，生成与所述域名相对应的第二IP数据包过滤规则，并查找本地缓存中是否存在与所述域名相对应的IP地址，若存在，提取所述IP地址，生成与所述本地缓存中提取的IP地址相对应的第三IP数据包过滤规则；若不存在，执行以下步骤：与预设的DNS服务器进行一次正常的报文交互，获取第一交互时间；向所述DNS服务器发送与所述域名相对应的DNS查询报文，用以查询与所述域名相对应的IP地址；获取所述DNS服务器反馈的DNS响应报文，计算与所述DNS服务器交互的第二交互时间，当所述第二交互时间小于所述第一交互时间时，丢弃所述DNS响应报文；当所述第二交互时间大于或等于所述第一交互时间时，提取所述DNS响应报文中的所述IP地址，将所述IP地址保存至所述本地缓存中，且生成与从所述DNS响应报文中提取的所述IP地址相对应的第四IP数据包过滤规则。

【技术特征摘要】
1.一种外部访问控制方法，其特征在于，包括如下步骤：接收URL格式的网络访问受限对象的配置；判断所述网络访问受限对象的类型；当所述类型为IP地址时，生成与所述IP地址相对应的第一IP数据包过滤规则；当所述类型为域名时，生成与所述域名相对应的第二IP数据包过滤规则，并查找本地缓存中是否存在与所述域名相对应的IP地址，若存在，提取所述IP地址，生成与所述本地缓存中提取的IP地址相对应的第三IP数据包过滤规则；若不存在，执行以下步骤：与预设的DNS服务器进行一次正常的报文交互，获取第一交互时间；向所述DNS服务器发送与所述域名相对应的DNS查询报文，用以查询与所述域名相对应的IP地址；获取所述DNS服务器反馈的DNS响应报文，计算与所述DNS服务器交互的第二交互时间，当所述第二交互时间小于所述第一交互时间时，丢弃所述DNS响应报文；当所述第二交互时间大于或等于所述第一交互时间时，提取所述DNS响应报文中的所述IP地址，将所述IP地址保存至所述本地缓存中，且生成与从所述DNS响应报文中提取的所述IP地址相对应的第四IP数据包过滤规则。2.根据权利要求1所述的外部访问控制方法，其特征在于：还包括设置向所述DNS服务器发送所述DNS查询报文的次数阈值。3.根据权利要求2所述的外部访问控制方法，其特征在于：向所述DNS服务器发送与所述域名相对应的DNS查询报文后，记录所述DNS查询报文发送次数。4.根据权利要求3所述的外部访问控制方法，其特征在于：当由于所述第二交互时间小于所述第一交互时间而丢弃所述DNS响应报文后，判断所述DNS查询报文发送次数是否大于所述次数阈值，当判断结果为是时，返回查询失败信息，不对所述域名对应的所述IP地址进行过滤；当判断结果为否时，重新向所述DNS服务器发送与所述域名相对应的DNS查询报文。5.一种网关，其特征在于，包括：过滤对象配置模块，用以接收URL格式的网络访问受限对象的配置；过滤对象类型判断模块，用以判断接收到的所述网络访问受限对象的类型；过滤规则生成模块，与所述过滤对象类型判断模块连接，当所述网络访问受限对象的类型为IP地址时，生成与所述IP地址相对应的第一IP数据包过滤规则；当所述网络访问受限对象的类型为域名时，生成与所述域名相对应的第二IP数据包过滤规则，并查找与所述域名相对应的IP地址，根据查找结果生成与所述IP地址相对应的第三IP数据包过滤规则；I...

【专利技术属性】
技术研发人员：凌灵，
申请(专利权)人：上海斐讯数据通信技术有限公司，
类型：发明
国别省市：上海;31