IP地址识别方法及装置制造方法及图纸

本公开涉及一种IP地址识别方法及装置。该方法应用于部署有DNS代理的安全设备中，DNS代理中存储有第一记录，包括与第一域名对应的第一IP地址，安全设备的安全策略中存储有第二记录，包括与第一域名对应的第一IP地址。该方法包括：DNS代理在第一记录中第一IP地址老化时间到达时，向DNS服务器发送反向请求报文；DNS代理接收的响应报文中的第二域名与第一域名不同时，通知安全策略删除第二记录中的第一IP地址。本公开的实施例能够在域名的原IP地址到达老化时间时反向请求原IP地址当前对应的域名，仅在域名变化时删除原IP地址，避免报文放行策略的频繁改变，从而避免安全设备的性能下降。

【技术实现步骤摘要】
IP地址识别方法及装置
本公开涉及计算机
，尤其涉及一种IP地址识别方法及装置。
技术介绍
DNS代理(DNSproxy)用于在DNS客户端(DNSclient)和DNS服务器(DNSserver)之间转发DNS请求和应答报文。局域网内的DNS客户端把DNS代理当作DNS服务器，将DNS请求报文发送给DNS代理。DNS代理将该请求报文转发到真正的DNS服务器，并将DNS服务器的应答报文返回给DNS客户端，从而实现域名解析。使用DNS代理功能后，当DNS服务器的地址发生变化时，只需改变DNS代理上的配置，无需改变局域网内每个DNS客户端的配置，从而简化了网络管理。在相关技术中，可以在安全设备(例如防火墙设备)中部署DNS代理。在安全设备中配置有基于域名的安全策略，安全设备仅对域名对应的IP地址进行放行。然而，在负载均衡环境中，DNS服务器通常将每个域名配置为对应N个IP地址，且每个域名解析到的IP地址生存时间通常非常短，导致DNS代理频繁发起DNS请求并请求到不同的IP地址，使得安全设备频繁更改对报文的放行策略，对安全设备的性能造成极大的影响。
技术实现思路
有鉴于此，本公开提出了一本文档来自技高网...

【技术保护点】
一种IP地址识别方法，所述方法应用于部署有DNS代理的安全设备中，其特征在于，所述DNS代理中存储有第一记录，所述第一记录中包括与第一域名相对应的第一IP地址，所述安全设备的安全策略中存储有第二记录，所述第二记录中包括与第一域名相对应的第一IP地址，所述方法包括：所述DNS代理在所述第一记录中的第一IP地址的老化时间到达时，向DNS服务器发送反向请求报文，所述反向请求报文用于查询与所述第一IP地址相对应的域名；所述DNS代理接收所述DNS服务器针对所述反向请求报文的响应报文，在所述响应报文中的第二域名与所述第一域名不同时，通知所述安全策略删除所述第二记录中的所述第一IP地址。

【技术特征摘要】
1.一种IP地址识别方法，所述方法应用于部署有DNS代理的安全设备中，其特征在于，所述DNS代理中存储有第一记录，所述第一记录中包括与第一域名相对应的第一IP地址，所述安全设备的安全策略中存储有第二记录，所述第二记录中包括与第一域名相对应的第一IP地址，所述方法包括：所述DNS代理在所述第一记录中的第一IP地址的老化时间到达时，向DNS服务器发送反向请求报文，所述反向请求报文用于查询与所述第一IP地址相对应的域名；所述DNS代理接收所述DNS服务器针对所述反向请求报文的响应报文，在所述响应报文中的第二域名与所述第一域名不同时，通知所述安全策略删除所述第二记录中的所述第一IP地址。2.根据权利要求1所述的方法，其特征在于，所述DNS代理在所述第一记录中的第一IP地址的老化时间到达时，向所述DNS服务器发送反向请求报文，包括：在所述第一记录中的第一IP地址的老化时间到达时，所述DNS代理向所述DNS服务器发送第一请求报文，其中，所述第一请求报文用于查询与所述第一域名相对应的IP地址；所述DNS代理接收所述DNS服务器针对所述第一请求报文的响应报文，将所述第一记录中的所述第一IP地址更新为该响应报文中的第二IP地址；在所述第二IP地址与所述第一IP地址不同，且所述第二IP地址的老化时间小于或等于时间阈值时，所述DNS代理向所述DNS服务器发送所述反向请求报文。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：所述DNS代理通知所述安全策略在所述第二记录中增加所述第一域名与所述第二IP地址的对应关系。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所述第二记录中的所述第一IP地址的老化时间到达时，若未接收到所述DNS代理发送的记录所述第一IP地址的通知，则所述安全策略...

【专利技术属性】
技术研发人员：许豫飞，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33