一种基于域名的匹配过滤方法技术

本发明专利技术涉及域名控制技术领域，具体地说，涉及一种基于域名的匹配过滤方法

【技术实现步骤摘要】
一种基于域名的匹配过滤方法、系统、设备及介质


[0001]本专利技术涉及域名控制
，具体地说，涉及一种基于域名的匹配过滤方法
、
系统
、
设备及介质
。

技术介绍

[0002]ACL
是一种基于包过滤的访问控制技术，它可以根据设定的条件对不同接口上的数据包进行过滤，允许其通过或丢弃
。ACL
具有很多作用，如限制网络流量
、
提高网络性能；提高网络安全访问的基本手段；在网关端口处决定哪种类型的通信流量被转发或被阻塞
。
例如，用户可以允许
E
‑
mail
通信流量被路由，拒绝所有的
Telnet
通信流量
。
例如，某部门要求只能使用
WWW
这个功能，就可以通过
ACL
实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过
ACL
实现
。
[0003]申请号为“202310429075.0”，名称为“分布式设备的域名安全策略配置方法及装置”的中国专利技术专利，是在分布式设备的业务板进行解析，在主控板进行存储
。
申请号为“201180069338.7”，名称为“允许在推行网络策略过程中使用域名的方法和系统”的中国专利技术专利，是根据域名的网络策略来创建基于互联网协议的网络策略，而非根据域名对不同的数据包进行放行或阻断
。
[0004]目前应用控制技术使用越来越广泛，使用需求越来越大，想要匹配的数据项也越来越多
。
现有的技术大多为仅匹配目的域名的
ACL
策略，存在对数据的过滤不足的问题
。

技术实现思路

[0005]本专利技术针对现有的域名匹配方法大多为仅匹配目的域名的
ACL
策略，存在对数据的过滤不足的问题，提出一种基于域名的匹配过滤方法
、
系统
、
设备及介质；首先设置应用控制策略的匹配项和匹配动作；然后在网关上配置域名对象，向网关发送域名请求报文并解析，并转发解析后的域名请求报文；最后判断域名请求报文的目的地址是否存在域名
hash
表中，若存在，返回域名
id
，并根据设置的匹配动作丢弃域名报文或从对应的安全域转发域名报文，否则匹配优先级低的应用控制策略从对应的安全域转发域名报文；根据域名进行过滤，解决了网关设备复杂业务下的精准过滤，实现了基于域名的流量阻断或放行
。
[0006]本专利技术具体实现内容如下：一种基于域名的匹配过滤方法，首先设置应用控制策略的匹配项和匹配动作；然后在网关上配置域名对象，向网关发送域名请求报文并解析，并转发解析后的所述域名请求报文；最后判断所述域名请求报文的目的地址是否存在域名
hash
表中，若存在，返回域名
id
，并根据设置的匹配动作丢弃域名报文或从对应的安全域转发域名报文，否则匹配优先级低的应用控制策略从对应的安全域转发域名报文
。
[0007]为了更好地实现本专利技术，进一步地，所述基于域名的匹配过滤方法具体包括以下步骤：步骤
S1
：设置应用控制策略的匹配项和匹配动作；所述应用控制策略包括源匹配
项
、
目的匹配项
、
其他匹配项；步骤
S2
：在网关上配置域名对象并存储，向网关发送域名请求报文并解析，从对应的安全域转发解析后的所述域名请求报文；步骤
S3
：判断所述域名请求报文的目的地址是否存在域名
hash
表中，若存在，则返回域名
id
，并根据设置的匹配动作丢弃域名报文或从对应的安全域转发域名报文，否则匹配优先级低的应用控制策略从对应的安全域转发域名报文
。
[0008]为了更好地实现本专利技术，进一步地，所述步骤
S2
具体包括以下步骤：步骤
S21
：在网关配置域名对象，根据所述域名对象生成域名匹配树，并根据所述域名匹配树生成域名地址和
ID
表项；步骤
S22
：向网关发送域名请求报文，解析所述域名请求报文的域名，判断所述域名匹配树中是否包含所述域名请求报文的域名，若包含，则在当前会话中标记域名
id
；步骤
S23
：根据所述域名请求报文获取域名应答报文，判断所述域名应答报文的反向会话中是否存在所述域名
id
，若存在，则解析所述域名应答报文的
IP
地址，根据所述反向会话中的域名
ID
，获取域名名称并查找域名匹配树获取匹配的域名
id
，生成
IP
地址与域名
id
对应的域名
hash
表，转发域名报文
。
[0009]为了更好地实现本专利技术，进一步地，所述步骤
S3
具体包括以下步骤：步骤
S31
：在网关中启用域名节点，根据所述应用控制策略匹配所述域名报文；步骤
S32
：判断所述域名报文的地址是否存在所述域名
hash
表中，若存在，则返回域名
id
，并判断所述域名
id
与高优先级中的域名的对象
ID
是否匹配，若匹配，则根据对应的应用控制策略转发或丢弃域名报文，否则配置低优先级的应用控制策略转发或丢弃域名报文
。
[0010]为了更好地实现本专利技术，进一步地，步骤
S1
中所述源匹配项包含源安全域
、
源地址和源域名；所述目的匹配项中包含目的安全域
、
目的地址和目的域名；所述目的地址包含目的
MAC
地址和目的
IP
地址；所述源地址包含源
MAC
地址和源
IP
地址；所述其他匹配项包含服务
、
用户
、
应用和时间
。
[0011]基于上述提出的基于域名的匹配过滤方法，为了更好地实现本专利技术，进一步地，提出一种基于域名的匹配过滤系统，包括配置单元
、
解析单元
、
匹配单元；所述配置单元，用于设置应用控制策略的匹配项和匹配动作；所述解析单元，用于在网关上配置域名对象，向网关发送域名请求报文并解析，并转发解析后的所述域名请求报文；所述匹配单元，用于判断所述域名请求报文的目的地址是否存在域名
hash
表中，若存在，返回域名
id
，并根据设置的匹配动作丢弃域名报文或从对应的安全域转发域名报文，否则匹配优先级低的应用控制策略从对应的安全域转发域名报文
。
[0012]基于上述提出的基于域本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于域名的匹配过滤方法，其特征在于，首先设置应用控制策略的匹配项和匹配动作；然后在网关上配置域名对象，向网关发送域名请求报文并解析，并转发解析后的所述域名请求报文；最后判断所述域名请求报文的目的地址是否存在域名
hash
表中，若存在，返回域名
id
，并根据设置的匹配动作丢弃域名报文或从对应的安全域转发域名报文，否则匹配优先级低的应用控制策略从对应的安全域转发域名报文
。2.
根据权利要求1所述的一种基于域名的匹配过滤方法，其特征在于，所述基于域名的匹配过滤方法具体包括以下步骤：步骤
S1
：设置应用控制策略的匹配项和匹配动作；所述应用控制策略包括源匹配项
、
目的匹配项
、
其他匹配项；步骤
S2
：在网关上配置域名对象并存储，向网关发送域名请求报文并解析，从对应的安全域转发解析后的所述域名请求报文；步骤
S3
：判断所述域名请求报文的目的地址是否存在域名
hash
表中，若存在，则返回域名
id
，并根据设置的匹配动作丢弃域名报文或从对应的安全域转发域名报文，否则匹配优先级低的应用控制策略从对应的安全域转发域名报文
。3.
根据权利要求2所述的一种基于域名的匹配过滤方法，其特征在于，所述步骤
S2
具体包括以下步骤：步骤
S21
：在网关配置域名对象，根据所述域名对象生成域名匹配树，并根据所述域名匹配树生成域名地址和
ID
表项；步骤
S22
：向网关发送域名请求报文，解析所述域名请求报文的域名，判断所述域名匹配树中是否包含所述域名请求报文的域名，若包含，则在当前会话中标记域名
ID
；步骤
S23
：根据所述域名请求报文获取域名应答报文，判断所述域名应答报文的反向会话中是否存在所述域名
ID
，若存在，则解析所述域名应答报文的
IP
地址，根据所述反向会话中的域名
ID
，获取域名名称并查找域名匹配树获取匹配的域名
ID
，生成
IP
地址与域名
ID
对应的域名
hash
表，转发域名报文
。4...

【专利技术属性】
技术研发人员：李源源，王禹骁，国路，兰星，
申请(专利权)人：成都安恒信息技术有限公司，
类型：发明
国别省市：