本申请实施例提供了一种网络访问控制方法及装置,其中所述网络访问控制方法包括:至少获得客户端基于IP地址发送的网络请求数据包;基于所述网络请求数据包获得所述目的IP地址;确定是否有与所述目的IP地址匹配的域名;若有,则将所述域名与预配置域名进行匹配;若具有匹配成功的预配置域名,则根据所述预配置域名对应的操作策略对所述网络请求数据包进行动作。本申请实施例的网络访问控制进行访问控制的过程中无需进行复杂的数据处理,只通过直接解析域名服务器发送的回复报文便可实现精确的域名访问控制,整体控制流程简单方便,易于维护。
A Network Access Control Method and Device
【技术实现步骤摘要】
一种网络访问控制方法及装置
本申请实施例涉及智能设备领域,特别涉及一种网络访问控制方法及装置。
技术介绍
现在的网络环境多数是https环境。基于http代理的https访问控制方法,在运行http代理的网络安全设备中,可以通过对https数据包进行解密运算,获取报文中的URL来实现对https的访问控制。基于完整域名的https访问控制方法为在网络安全设备上配置完整的域名,并对该域名配置策略,之后网络安全设备主动向DNS服务器发送关于该配置后的域名的DNS请求报文,接着再接收并解析来自DNS服务器的回复报文以获取并记录该完整域名对应的IP地址,从而使得该网络安全设备可根据https数据包的IP对客户端做访问控制。虽然,通过http代理的访问控制方法能够实现客户端对https访问请求的访问控制,但是由于控制过程中需要解密、加密https数据包,处理过程复杂,且不易维护。基于完整域名的https访问控制存在配置复杂度高、不易维护的问题;且当客户配置的DNS服务器与网络安全设备配置的DNS服务器不同时,存在访问控制策略失效问题。申请内容本申请实施例提供了一种控制过程简单方便,无需进行大量数据处理的网络访问控制方法及装置。为了解决上述技术问题,本申请实施例提供了一种网络访问控制方法,包括:至少获得客户端基于IP地址发送的网络请求数据包;基于所述网络请求数据包获得所述目的IP地址;确定是否有与所述目的IP地址匹配的域名;若有,则将所述域名与预配置域名进行匹配;若具有匹配成功的预配置域名,则根据所述预配置域名对应的操作策略对所述网络请求数据包进行动作。作为优选,所述确定是否有与所述目的IP地址匹配的域名包括:基于域名-IP地址对应关系表确定是否有与所述目的IP地址匹配的域名。作为优选,还包括:获得所述客户端向域名服务器发送的域名请求报文;向所述域名服务器转发所述域名请求报文;接收所述域名服务器的回复报文发送所述回复报文到所述客户端,以使所述客户端基于所述IP地址发送所述网络请求数据包,其中,所述IP地址为所述目的IP地址。作为优选,还包括:基于所述回复报文获得对应所述域名的IP地址;匹配记录所述域名及IP地址形成所述域名-IP地址对应关系表。作为优选,所述预配置域名至少包括网络服务商的实际域名,每个所述预配置域名均与一所述操作策略匹配。作为优选,所述预配置域名还包括通配符。作为优选,所述操作策略至少包括向匹配所述目的IP地址或预配置域名的网络设备发送所述网络请求数据包。本专利技术实施例同时提供一种网络访问控制装置,至少包括网络安全设备,其用于:至少获得客户端基于目的IP地址发送的网络请求数据包;基于所述网络请求数据包获得所述目的IP地址;确定是否有与所述目的IP地址匹配的域名;若有,则将所述域名与预配置域名进行匹配;若具有匹配成功的预配置域名,则根据所述预配置域名对应的操作策略对所述网络请求数据包进行动作。作为优选,所述网络安全设备还用于:基于域名-IP地址对应关系表确定是否有与所述目的IP地址匹配的域名。作为优选,所述网络安全设备还用于:获得所述客户端向域名服务器发送的域名请求报文;向域名服务器转发所述域名请求报文;接收所述服务器的回复报文;;转发所述回复报文到所述客户端,以使所述客户端基于所述IP地址发送所述网络请求数据包,其中,所述IP地址为所述目的IP地址。基于上述实施例的公开可以获知,本申请实施例具备的有益效果在于进行访问控制的过程中无需进行复杂的数据处理,只通过直接解析域名服务器发送的回复报文便可实现精确的域名访问控制,整体控制流程简单方便,易于维护。而且,还支持配置带有通配符的域名,实现了仅通过一个带有通配符的域名便可控制访问多个匹配的IP地址的技术效果,进一步满足用户的不同网络请求。附图说明图1为本专利技术实施例中的网络访问控制方法的流程图。图2为本专利技术另一实施例中的网络访问控制方法的流程图。图3为本专利技术另一实施例中的网络访问控制方法的场景图。图4为本专利技术实施例中的网络访问控制装置的结构图。具体实施方式下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。下面,结合附图详细的说明本申请实施例。如图1所示,本申请实施例提供一种网络访问控制方法,包括:至少获得客户端基于目的IP地址发送的网络请求数据包;基于网络请求数据包获得目的IP地址;确定是否有与目的IP地址匹配的域名;若有,则将域名与预配置域名进行匹配;若具有匹配成功的预配置域名,则根据预配置域名对应的操作策略对网络请求数据包进行动作。本申请实施例具备的有益效果在于进行访问控制的过程中无需进行复杂的数据处理,例如解密数据包、加密数据包等,只需通过直接解析域名服务器发送的回复报文便可实现精确的域名访问控制,整体控制流程简单方便,且易于维护。例如,本实施例中首先获得客户端基于目的IP地址发送至目标网站或服务器的网络请求数据包(当然也可同时获得其余网络请求数据包),然后基于网络请求数据包获得目标网站或服务器的IP地址(即,目的IP地址),并根据该IP地址及已存储数据进行匹配,确定是否有匹配的域名,若有,则将该域名与设备中的多个预配置域名进行匹配,若有相匹配的预配置域名,则根据该预配置域名对应的操作策略对网络请求数据包进行动作。其中,预配置域名至少包括对应网络服务商(网站或服务器)的实际域名,以及满足所需通信协议要求的前缀、后缀等等信息。具体地,如图2所示,本实施例中的访问控制方法还包括:获得客户端向域名服务器发送的域名请求报文;向域名服务器转发域名请求报文;接收域名服务器的回复报文发送回复报文到客户端,以使客户端基于回复报文中的IP地址(即,目的IP地址)发送网络请求数据包。例如,在接收到客户端发送域名请求报文后,代理客户端向域名服务器转发域名请求报文,接着将回复本文档来自技高网...
【技术保护点】
1.一种网络访问控制方法,其特征在于,包括:至少获得客户端基于目的IP地址发送的网络请求数据包;基于所述网络请求数据包获得所述目的IP地址;确定是否有与所述目的IP地址匹配的域名;若有,则将所述域名与预配置域名进行匹配;若具有匹配成功的预配置域名,则根据所述预配置域名对应的操作策略对所述网络请求数据包进行动作。
【技术特征摘要】
1.一种网络访问控制方法,其特征在于,包括:至少获得客户端基于目的IP地址发送的网络请求数据包;基于所述网络请求数据包获得所述目的IP地址;确定是否有与所述目的IP地址匹配的域名;若有,则将所述域名与预配置域名进行匹配;若具有匹配成功的预配置域名,则根据所述预配置域名对应的操作策略对所述网络请求数据包进行动作。2.根据权利要求1所述的方法,其特征在于,所述确定是否有与所述目的IP地址匹配的域名包括:基于域名-IP地址对应关系表确定是否有与所述目的IP地址匹配的域名。3.根据权利要求2所述的方法,其特征在于,还包括:获得所述客户端向域名服务器发送的域名请求报文;向所述域名服务器转发所述域名请求报文;接收所述域名服务器的回复报文;发送所述回复报文到所述客户端,以使所述客户端基于所述回复报文中的IP地址发送所述网络请求数据包,其中,所述IP地址为所述目的IP地址。4.根据权利要求3所述的方法,其特征在于,还包括:基于所述回复报文获得对应所述域名的IP地址;匹配记录所述域名及IP地址形成所述域名-IP地址对应关系表。5.根据权利要求1所述的方法,其特征在于,所述预配置域名至少包括网络服务商的实际域名,每个所述预配置域名...
【专利技术属性】
技术研发人员:李衡,范鸿雷,晏尉,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。