一种域名系统访问控制方法及装置制造方法及图纸

本发明专利技术公开了一种域名系统访问控制方法及装置，其中，所述方法包括：拦截第一客户端向目标设备发送的第一请求，从所述第一请求中提取第一域名信息和/或第一IP地址；基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作，其中，所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址；当所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时，则禁止向所述目标设备发送所述第一请求。本发明专利技术实施例的域名系统访问控制方法，预先构建的预置记录表中记录有需要管控访问的预置域名信息和相对应的预置IP地址，基于该预置记录表能够有效管控第一客户端的访问操作。

An access control method and device for domain name system

The invention discloses a domain name system access control method and device, wherein the method comprises: intercepting the first request sent by the first client to the target device, extracting the first domain name information and / or the first IP address from the first request; matching the first domain name information or the first IP address based on the preset record table, wherein, the preset record The table includes preset domain name information and at least one preset IP address corresponding to the preset domain name information; when the first domain name information matches the preset domain name information or the first IP address matches the preset IP address, it is forbidden to send the first request to the target device. The domain name system access control method according to the embodiment of the invention records the preset domain name information and corresponding preset IP address that need to be controlled and accessed in the preset record table built in advance. Based on the preset record table, the access operation of the first client can be effectively controlled.

【技术实现步骤摘要】
一种域名系统访问控制方法及装置
本专利技术涉及域名系统
，特别涉及一种域名系统访问控制方法及装置。
技术介绍
越来越多的网络环境使用超文本传输安全协议(https)通信，现有技术中针对https通信的访问控制主要有两种形式，一种是在https环境下使用http代理来作数据解密，来实现对报文内容的访问控制。基于http代理的https访问控制,需要对https报文进行解密加密，功能实现较为复杂。另一种是基于域名的https访问控制方法，通过在网络安全设备上配置域名对象，当主机发送域名查询请求查询该域名对应的IP地址时，对反馈的域名响应报文进行阻断，以实现基于域名的访问控制。基于域名的https访问控制，如果客户端直接访问ip地址及服务，基于域名的访问控制就无法阻断。
技术实现思路
本专利技术提供了一种操作简单且能够有效管控的域名系统访问控制方法及装置。为了解决上述技术问题，本专利技术的实施例采用了如下技术方案：一种域名系统访问控制方法，包括：拦截第一客户端向目标设备发送的第一请求，从所述第一请求中提取第一域名信息和/或第一IP地址；基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作，其中，所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址；当所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时，则禁止向所述目标设备发送所述第一请求。在一些实施例中，所述方法还包括构建所述预置记录表，所述构建所述预置记录表具体包括：拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文，从所述第一域名响应报文中提取第二域名信息和与所述第二域名信息相对应的第二IP地址；将所述第二域名信息与预置域名信息进行匹配操作；当所述第二域名信息与所述预置域名信息匹配时，将所述第二IP地址作为预置IP地址，基于所述预置域名信息和所述预置IP地址构建所述预置记录表。在一些实施例中，所述方法还包括构建所述预置记录表，所述构建所述预置记录表具体包括：拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文，从所述第一域名响应报文中提取第二域名信息；将所述第二域名信息与预置域名信息进行匹配操作；当所述第二域名信息与所述预置域名信息匹配时，基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求；获取所述第二服务器反馈的第二域名响应报文，并提取所述第二域名响应报文中的第三IP地址，将所述第三IP地址作为预置IP地址，基于所述预置域名信息和所述预置IP地址构建所述预置记录表。在一些实施例中，所述方法还包括构建所述预置记录表，所述构建所述预置记录表具体包括：拦截第二客户端发送的第二请求，从所述第二请求中提取第二域名信息；将所述第二域名信息与预置域名信息进行匹配操作；当所述第二域名信息与所述预置域名信息匹配时，基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求；获取所述第二服务器反馈的第二域名响应报文，并提取所述第二域名响应报文中的第三IP地址，将所述第三IP地址作为预置IP地址，基于所述预置域名信息和所述预置IP地址构建所述预置记录表。在一些实施例中，所述方法还包括：当所述第一域名信息与所述预置域名信息不匹配且所述第一IP地址与所述预置IP地址不匹配时，放行所述第一请求。一种域名系统访问控制装置，包括：拦截模块，用于拦截第一客户端向目标设备发送的第一请求，从所述第一请求中提取第一域名信息和/或第一IP地址；匹配模块，用于基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作，其中，所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址；发送模块，用于在所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时，则禁止向所述目标设备发送所述第一请求。在一些实施例中，所述装置还包括用于构建所述预置记录表的构建模块，所述构建模块包括：第一拦截单元，用于拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文，从所述第一域名响应报文中提取第二域名信息和与所述第二域名信息相对应的第二IP地址；第一匹配单元，用于将所述第二域名信息与预置域名信息进行匹配操作；第一构建单元，用于在所述第二域名信息与所述预置域名信息匹配时，将所述第二IP地址作为预置IP地址，基于所述预置域名信息和所述预置IP地址构建所述预置记录表。在一些实施例中，所述装置还包括用于构建所述预置记录表的构建模块，所述构建模块包括：第二拦截单元，用于拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文，从所述第一域名响应报文中提取第二域名信息；第二匹配单元，用于将所述第二域名信息与预置域名信息进行匹配操作；第一发送单元，用于在所述第二域名信息与所述预置域名信息匹配时，基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求；第二构建单元，用于获取所述第二服务器反馈的第二域名响应报文，并提取所述第二域名响应报文中的第三IP地址，将所述第三IP地址作为预置IP地址，基于所述预置域名信息和所述预置IP地址构建所述预置记录表。在一些实施例中，所述装置还包括用于构建所述预置记录表的构建模块，所述构建模块包括：第三拦截单元，用于拦截第二客户端发送的第二请求，从所述第二请求中提取第二域名信息；第三匹配单元，用于将所述第二域名信息与预置域名信息进行匹配操作；第二发送单元，用于在所述第二域名信息与所述预置域名信息匹配时，基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求；第三构建单元，用于获取所述第二服务器反馈的第二域名响应报文，并提取所述第二域名响应报文中的第三IP地址，将所述第三IP地址作为预置IP地址，基于所述预置域名信息和所述预置IP地址构建所述预置记录表。在一些实施例中，所述发送模块还用于：在所述第一域名信息与所述预置域名信息不匹配且所述第一IP地址与所述预置IP地址不匹配时，放行所述第一请求。本专利技术实施例的有益效果在于：本专利技术实施例的域名系统访问控制方法，预先构建的预置记录表中不仅记录有需要管控访问的预置域名信息，还记录有与预置域名信息相对应的预置IP地址，拦截第一客户端为访问目标设备所发送的第一请求，并从中提取第一域名信息和/或第一IP地址，将第一域名信息和/或第一IP地址与预置记录表进行匹配操作，在二者中任意一个与预置记录表相匹配时，就禁止向目标设备发送第一请求，能够有效管控第一客户端的访问操作，克服了直接利用IP地址进行访问操作无法有效管控的问题。附图说明图1为本专利技术实施例的域名系统访问控制方法的流程图；图2为本专利技术实施例的域名系统访问控制方法中构建预置记录表方法第一种实施例的流程图；图3为本专利技术实施例的域名系统访问控制方法中构建预置记录表方法第二种实施例的流程图；图4为本专利技术实施例的域名系统访问控制方法中构建预置记录表方法第三种实施例的流程图；图5为本专利技术实施例的域名系统访问控制装置的结构框图；图6为本专利技术实施例的域名系统访问控制装置中构建模块的第一种实施例的结构框图；图7为本专利技术实施例的域名系统访问控制装置中构建模块的第二种实施例的结构框图；图8为本专利技术实施例的域名系统访问本文档来自技高网...

【技术保护点】
1.一种域名系统访问控制方法，包括：拦截第一客户端向目标设备发送的第一请求，从所述第一请求中提取第一域名信息和/或第一IP地址；基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作，其中，所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址；当所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时，则禁止向所述目标设备发送所述第一请求。

【技术特征摘要】
1.一种域名系统访问控制方法，包括：拦截第一客户端向目标设备发送的第一请求，从所述第一请求中提取第一域名信息和/或第一IP地址；基于预置记录表对所述第一域名信息或所述第一IP地址进行匹配操作，其中，所述预置记录表包括预置域名信息和与所述预置域名信息相对应的至少一个预置IP地址；当所述第一域名信息与所述预置域名信息相匹配或所述第一IP地址与所述预置IP地址相匹配时，则禁止向所述目标设备发送所述第一请求。2.根据权利要求1所述的域名系统访问控制方法，其中，所述方法还包括构建所述预置记录表，所述构建所述预置记录表具体包括：拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文，从所述第一域名响应报文中提取第二域名信息和与所述第二域名信息相对应的第二IP地址；将所述第二域名信息与预置域名信息进行匹配操作；当所述第二域名信息与所述预置域名信息匹配时，将所述第二IP地址作为预置IP地址，基于所述预置域名信息和所述预置IP地址构建所述预置记录表。3.根据权利要求1所述的域名系统访问控制方法，其中，所述方法还包括构建所述预置记录表，所述构建所述预置记录表具体包括：拦截第一服务器根据第二客户端发送的第一域名查询请求反馈的第一域名响应报文，从所述第一域名响应报文中提取第二域名信息；将所述第二域名信息与预置域名信息进行匹配操作；当所述第二域名信息与所述预置域名信息匹配时，基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求；获取所述第二服务器反馈的第二域名响应报文，并提取所述第二域名响应报文中的第三IP地址，将所述第三IP地址作为预置IP地址，基于所述预置域名信息和所述预置IP地址构建所述预置记录表。4.根据权利要求1所述的域名系统访问控制方法，其中，所述方法还包括构建所述预置记录表，所述构建所述预置记录表具体包括：拦截第二客户端发送的第二请求，从所述第二请求中提取第二域名信息；将所述第二域名信息与预置域名信息进行匹配操作；当所述第二域名信息与所述预置域名信息匹配时，基于所述第二域名信息向至少一个第二服务器发送第二域名查询请求；获取所述第二服务器反馈的第二域名响应报文，并提取所述第二域名响应报文中的第三IP地址，将所述第三IP地址作为预置IP地址，基于所述预置域名信息和所述预置IP地址构建所述预置记录表。5.根据权利要求1所述的域名系统访问控制方法，其中，所述方法还包括：当所述第一域名信息与所述预置域名信息不匹配且所述第一IP地址与所述预置IP地址不匹配时，放行所述第一请求。6.一种域名系统访问控制装置，包括：拦截模块，用于拦截第一客户端向目标设备发送的第一请求，从所述第一请求中提取第一域名信息...

【专利技术属性】
技术研发人员：范鸿雷，
申请(专利权)人：北京天融信网络安全技术有限公司，北京天融信科技有限公司，北京天融信软件有限公司，
类型：发明
国别省市：北京,11