The invention discloses a domain name system access control method and device, wherein the method comprises: intercepting the first request sent by the first client to the target device, extracting the first domain name information and / or the first IP address from the first request; matching the first domain name information or the first IP address based on the preset record table, wherein, the preset record The table includes preset domain name information and at least one preset IP address corresponding to the preset domain name information; when the first domain name information matches the preset domain name information or the first IP address matches the preset IP address, it is forbidden to send the first request to the target device. The domain name system access control method according to the embodiment of the invention records the preset domain name information and corresponding preset IP address that need to be controlled and accessed in the preset record table built in advance. Based on the preset record table, the access operation of the first client can be effectively controlled.
【技术实现步骤摘要】
一种域名系统访问控制方法及装置
本专利技术涉及域名系统
,特别涉及一种域名系统访问控制方法及装置。
技术介绍
越来越多的网络环境使用超文本传输安全协议(https)通信,现有技术中针对https通信的访问控制主要有两种形式,一种是在https环境下使用http代理来作数据解密,来实现对报文内容的访问控制。基于http代理的https访问控制,需要对https报文进行解密加密,功能实现较为复杂。另一种是基于域名的https访问控制方法,通过在网络安全设备上配置域名对象,当主机发送域名查询请求查询该域名对应的IP地址时,对反馈的域名响应报文进行阻断,以实现基于域名的访问控制。基于域名的https访问控制,如果客户端直接访问ip地址及服务,基于域名的访问控制就无法阻断。
技术实现思路
本专利技术提供了一种操作简单且能够有效管控的域名系统访问控制方法及装置。为了解决上述技术问题,本专利技术的实施例采用了如下技术方案:一种域名系统访问控制方法,包括:拦截第一客户端向目标设备发送的第一请求,从所述第一请求中提取第一域名信息和/或第一IP地址;基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作,其中,所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址;当所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时,则禁止向所述目标设备发送所述第一请求。在一些实施例中,所述方法还包括构建所述预置记录表,所述构建所述预置记录表具体包括:拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文, ...
【技术保护点】
1.一种域名系统访问控制方法,包括:拦截第一客户端向目标设备发送的第一请求,从所述第一请求中提取第一域名信息和/或第一IP地址;基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作,其中,所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址;当所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时,则禁止向所述目标设备发送所述第一请求。
【技术特征摘要】
1.一种域名系统访问控制方法,包括:拦截第一客户端向目标设备发送的第一请求,从所述第一请求中提取第一域名信息和/或第一IP地址;基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作,其中,所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址;当所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时,则禁止向所述目标设备发送所述第一请求。2.根据权利要求1所述的域名系统访问控制方法,其中,所述方法还包括构建所述预置记录表,所述构建所述预置记录表具体包括:拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息和与所述第二域名信息相对应的第二IP地址;将所述第二域名信息与预置域名信息进行匹配操作;当所述第二域名信息与所述预置域名信息匹配时,将所述第二IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。3.根据权利要求1所述的域名系统访问控制方法,其中,所述方法还包括构建所述预置记录表,所述构建所述预置记录表具体包括:拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文,从所述第一域名响应报文中提取第二域名信息;将所述第二域名信息与预置域名信息进行匹配操作;当所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求;获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。4.根据权利要求1所述的域名系统访问控制方法,其中,所述方法还包括构建所述预置记录表,所述构建所述预置记录表具体包括:拦截第二客户端发送的第二请求,从所述第二请求中提取第二域名信息;将所述第二域名信息与预置域名信息进行匹配操作;当所述第二域名信息与所述预置域名信息匹配时,基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求;获取所述第二服务器反馈的第二域名响应报文,并提取所述第二域名响应报文中的第三IP地址,将所述第三IP地址作为预置IP地址,基于所述预置域名信息和所述预置IP地址构建所述预置记录表。5.根据权利要求1所述的域名系统访问控制方法,其中,所述方法还包括:当所述第一域名信息与所述预置域名信息不匹配且所述第一IP地址与所述预置IP地址不匹配时,放行所述第一请求。6.一种域名系统访问控制装置,包括:拦截模块,用于拦截第一客户端向目标设备发送的第一请求,从所述第一请求中提取第一域名信息...
【专利技术属性】
技术研发人员:范鸿雷,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。