一种域名黑白名单处理方法、系统、电子设备及存储介质技术方案

本申请实施例提供一种域名黑白名单处理方法、系统、电子设备及存储介质，涉及云计算技术领域。该方法包括对接收到的数据包进行连接跟踪检查；对通过所述连接跟踪检查的数据包进行过滤检索，以获得目标类型数据包；对所述目标类型数据包进行URL提取，以获得对应的域名信息；利用预先配置的域名黑白名单对所述域名信息进行黑白名单匹配，并进行相应处理；该方法在内核中对数据包进行分析，实现域名黑白名单的处理，实现了七层安全防护功能，缩短安全规则匹配路径，提高数据包转发性能，解决了现有方法在虚拟化环境中，只能进行四层安全防护的问题。的问题。的问题。

【技术实现步骤摘要】
一种域名黑白名单处理方法、系统、电子设备及存储介质


[0001]本申请涉及云计算
，具体而言，涉及一种域名黑白名单处理方法、系统、电子设备及存储介质。

技术介绍

[0002]在云计算产品中，实现对虚拟机的安全防护是最基本的要求，一般采用两种方式：基于iptables和ipset安全组防护；基于ovn中的openflow流表进行安全防护。比如在openstack当中，会使用iptables技术对虚拟机进行四层的安全防护，在ovn中通过openflow进行安全防护。
[0003]通常所有基于开源技术的安全防护都是四层防护，也即端口、协议号和CIDR。但是往往四层安全防护是不够的，四层安全防护无法满足限制域名的需求，管理员无法通过定制域名黑白名单限制用户只能访问特定网址或者禁用某些网址。

技术实现思路

[0004]本申请实施例的目的在于提供一种域名黑白名单处理方法、系统、电子设备及存储介质，在内核中对数据包进行分析，实现域名黑白名单的处理，实现了七层安全防护功能，缩短安全规则匹配路径，提高数据包转发性能，解决了现有方法在虚拟化环境中，只能进行四层安全防护的问题。
[0005]本申请实施例提供了一种域名黑白名单处理方法，应用于内核执行模块，所述方法包括：
[0006]对接收到的数据包进行连接跟踪检查；
[0007]对通过所述连接跟踪检查的数据包进行过滤检索，以获得目标类型数据包；
[0008]对所述目标类型数据包进行URL提取，以获得对应的域名信息；
[0009]利用预先配置的域名黑白名单对所述域名信息进行黑白名单匹配，并进行相应处理。
[0010]在上述实现过程中，在内核执行模块对数据包进行解析和提取，获得域名信息，利用预先配置的域名黑白名单实现域名匹配的安全规则，可达到七层防护，解决了现有方法在虚拟化环境中，只能进行四层安全防护的问题。
[0011]进一步地，所述对接收到的数据包进行连接跟踪检查，包括：
[0012]对所述数据包进行过滤，以获得连接跟踪状态为ESTABLISHED且没有被URL过滤器标记的数据包。
[0013]在上述实现过程中，连接跟踪状态为ESTABLISHED且没有被URL过滤器标记的数据包，避免重复获得同一个数据包，从而尽可能的减少对性能的影响。
[0014]进一步地，所述目标类型数据包包括http数据包，所述对所述目标类型数据包进行URL提取，以获得对应的域名信息，包括：
[0015]对于80端口和443端口的http数据包，循环检测http协议头部；
[0016]对Host后面的字符串进行提取。
[0017]在上述实现过程中，给出了http数据包的提取，http报文是不加密的，可直接移动skb指针偏移到tcp的数据部分进行提取。
[0018]进一步地，所述目标类型数据包包括https数据包，所述对所述目标类型数据包进行URL提取，以获得对应的域名信息，包括：
[0019]提取TLS client hello报文中的server name字段。
[0020]在上述实现过程中，HTTPS的报文是加密的，可基于三次握手建立完连接后的TLS client hello报文进行提取。
[0021]进一步地，在所述利用预先配置的黑白名单对所述域名信息进行黑白名单匹配的步骤之前，所述方法还包括：
[0022]接收策略处理模块基于黑白域名数据库的数据变化更新的URL配置。
[0023]在上述实现过程中，通过黑白域名数据库的数据变化更新URL配置，实现对域名黑白名单的及时更新。
[0024]进一步地，所述利用预先配置的域名黑白名单对所述域名信息进行黑白名单匹配，并进行相应处理，包括：
[0025]若是所述域名信息匹配到白名单，则直接转发；
[0026]若所述域名信息匹配到黑名单，则进行DROP操作或者重定向。
[0027]在上述实现过程中，对域名黑白名单进行匹配处理，实现了基于openvswitch的域名黑白名单控制，实现高性能、高效率处理域名黑白名单的功能，也可以云原生支持了安全组七层安全防护的需求。
[0028]本申请实施例还提供一种域名黑白名单处理系统，所述系统包括：
[0029]内核执行模块，用于对接收到的数据包进行分析和提取，以获得域名信息，并利用预先配置的域名黑白名单对所述域名信息进行黑白名单匹配。
[0030]在上述实现过程中，在内核执行模块对数据包进行解析和提取，获得域名信息，利用预先配置的域名黑白名单实现域名匹配的安全规则，可达到七层防护，解决了现有方法在虚拟化环境中，只能进行四层安全防护的问题。
[0031]进一步地，所述系统还包括：
[0032]管理模块，用于接收用户的增加请求、修改请求和删除请求并发送至策略处理模块；
[0033]所述策略处理模块，用于基于用户请求对域名黑白名单进行相应地增加、修改和删除操作，并根据黑白域名数据库中的数据变化更新所述内核执行模块中的URL配置。
[0034]在上述实现过程中，基于用户设置请求对域名黑白名单进行更新并同步更新内核执行模块中的URL配置，从而利用域名黑白名单实现七层安全防护。
[0035]本申请实施例还提供一种电子设备，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行计算机程序以使所述电子设备执行上述中任一项所述的域名黑白名单处理方法。
[0036]本申请实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行上述中任一项所述的域名黑白名单处理方法。
附图说明
[0037]为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
[0038]图1为本申请实施例提供的一种域名黑白名单处理方法的流程图；
[0039]图2为本申请实施例提供的现有的OVS datapath数据转发的流程图；
[0040]图3为本申请实施例提供的数据转发流程图；
[0041]图4为本申请实施例提供的域名黑白名单具体处理流程图；
[0042]图5为本申请实施例提供的http数据包的URL提取流程图；
[0043]图6为本申请实施例提供的域名信息匹配流程图；
[0044]图7为本申请实施例提供的域名黑白名单处理系统的结构框图。
[0045]图标：
[0046]100
‑
内核执行模块；200
‑
管理模块；300
‑
策略处理模块。
具体实施方式
[0047]下面将结合本申请实施例中的附图本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种域名黑白名单处理方法，其特征在于，应用于内核执行模块，所述方法包括：对接收到的数据包进行连接跟踪检查；对通过所述连接跟踪检查的数据包进行过滤检索，以获得目标类型数据包；对所述目标类型数据包进行URL提取，以获得对应的域名信息；利用预先配置的域名黑白名单对所述域名信息进行黑白名单匹配，并进行相应处理。2.根据权利要求1所述的域名黑白名单处理方法，其特征在于，所述对接收到的数据包进行连接跟踪检查，包括：对所述数据包进行过滤，以获得连接跟踪状态为ESTABLISHED且没有被URL过滤器标记的数据包。3.根据权利要求1所述的域名黑白名单处理方法，其特征在于，所述目标类型数据包包括http数据包，所述对所述目标类型数据包进行URL提取，以获得对应的域名信息，包括：对于80端口和443端口的http数据包，循环检测http协议头部；对Host后面的字符串进行提取。4.根据权利要求1所述的域名黑白名单处理方法，其特征在于，所述目标类型数据包包括https数据包，所述对所述目标类型数据包进行URL提取，以获得对应的域名信息，包括：提取TLS client hello报文中的server name字段。5.根据权利要求1所述的域名黑白名单处理方法，其特征在于，在所述利用预先配置的黑白名单对所述域名信息进行黑白名单匹配的步骤之前，所述方法还包括：接收策略处理模块基于黑白域名数据库的...

【专利技术属性】
技术研发人员：蔡立宇，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：