本发明专利技术公开了一种基于虚拟路由器VSR的服务访问控制方法和设备,应用于与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS上,技术方案为:域名解析服务器DNS接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的域名信息;所述DNS解析所述域名解析请求报文携带的客户端的源IP地址和域名信息,根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限,如果允许访问,则DNS进一步解析所述域名解析请求报文得到所述域名的IP地址,将所述IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则DNS发送域名解析出错报文给所述客户端。
【技术实现步骤摘要】
一种基于虚拟路由器VSR的服务访问控制方法及设备
本专利技术涉及网络通信传输技术,特别是一种基于虚拟路由器VSR的服务访问控制方法和设备。
技术介绍
随着虚拟化与云计算技术的不断成熟,越来越多的云服务提供商及电信运营商开始提供公有云服务,允许企业按需租用资源和服务,创建企业自己的虚拟数据中心(VirtualDataCenter,VDC)或虚拟私有云(VirtualPrivateCloud,VPC),帮助企业节省建设成本、提高业务敏捷性,因此,更多的企业开始将业务应用向公有云迁移。但是,公有云是多租户环境,它的基础设施和资源是所有租户共享的,企业在公有云中无法部署自己的网络设备,从而给企业和服务商带来很多网络方面的挑战和问题。另外,企业分支机构地域分散,部署网络设备和应用服务器,建设周期长,人力维护成本高,迫切需要精简分支基础设施,提高业务部署能力,节省投资和减少维护。随着应用向云端迁移及服务器和虚拟化技术的快速发展,在一台服务器上同时提供网络功能和IT应用已成为趋势。现在中小企业的IT信息服务都是租用虚拟空间或者虚拟服务器来建设自己的网站和应用服务,但是网络上总是有一些攻击者或者病毒,它们通过扫描域名来进行网站的无效访问,一般的DNS(DomainName)都部署在第三方,企业无法在DNS服务器上进行配置,控制对本企业Web服务的访问策略,导致自己的网站或者应用服务器非常脆弱,防攻击能力特别差,同时很多无效的攻击占用了大量的宝贵的服务器带宽,使得中小企业真正服务的用户无法享受好的信息服务。
技术实现思路
有鉴于此,本专利技术提出了一种基于虚拟路由器VSR(VirtualServicesRouter)的服务访问控制方法和设备,整合了VSR及DNS,提供了一种与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS访问控制方法,使得Web服务策略访问控制变成可能。可以使得通过对域名的访问解析控制,限制网站被自己的有效用户访问,从而抑制全世界范围内无效的访问和攻击,进而节约带宽及计算能力。本专利技术提出的技术方案是:一种基于虚拟路由器VSR的服务访问控制方法,该方法应用于与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS上,该方法包括:所述DNS接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的域名信息;所述DNS解析所述域名解析请求报文携带的客户端的源IP地址和域名信息,根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限,如果允许访问,则DNS进一步解析所述域名解析请求报文得到所述域名的IP地址,将所述IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则DNS发送域名解析出错报文给所述客户端。上述方案中,所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。上述方案中,所述DNS查询所述源IP地址对所述域名的访问权限时,该方法进一步包括:所述DNS根据解析出的所述客户端的源IP地址查询区域对应表,进而根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表,所述区域对应表为IP地址与区域的对应表,所述Web服务访问权限表为区域对域名的访问权限列表。上述方案中,所述DNS查询不到与所述客户端的源IP地址匹配的区域时,该方法进一步包括:所述DNS发送域名解析出错报文给所述客户端。上述方案中,所述DNS查询不到与所述匹配区域匹配的访问权限时,该方法进一步包括:所述DNS将所述匹配区域匹配默认规则。一种域名服务器DNS,该DNS与VSR一同部署在公有云中的虚拟数据中心或虚拟私有云中,该DNS包括:报文接收模块,用于接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的网站域名信息;解析模块,用于解析所述域名解析请求报文携带的客户端的源IP地址与域名信息,还用于解析所述域名的IP地址。查询模块,用于根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限。报文发送模块,如果允许访问,则将解析所得所述域名的IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则发送域名解析出错报文给所述客户端。上述方案中,所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。上述方案中,所述查询模块进一步包括区域查询子模块和访问权限查询子模块,所述区域查询子模块用于,根据解析出的所述客户端的源IP地址查询区域对应表,所述区域对应表为IP地址与区域的对应表;所述访问权限查询子模块用于,根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表,所述Web服务访问权限表为区域对域名的访问权限列表。上述方案中,所述区域查询子模块查询不到与所述客户端的源IP地址匹配的区域时,所述报文发送模块进一步用于,发送域名解析出错报文给所述客户端。上述方案中,所述访问权限查询子模块查询不到与所述匹配区域匹配的访问权限时,所述访问权限查询子模块进一步用于,将所述匹配区域匹配默认规则。综上所述,本专利技术提出的技术方案能够使与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC上的DNS通过对域名的访问解析进行有效控制,限制网站被自己的有效用户访问,从而抑制全世界范围内无效的访问和攻击,进而节约带宽及计算能力。附图说明图1为VSR公有云典型组网。图2为方法实施例一的流程图。图3为方法实施例二的流程图。图4为方法实施例三的流程图。图5为本专利技术实施例的DNS设备结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点表达的更加清楚明白,下面结合附图及具体实施例对本专利技术再作进一步详细的说明。本专利技术一个实施例的技术方案是:所述DNS接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的域名信息;所述DNS解析所述域名解析请求报文携带的客户端的源IP地址和域名信息,根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限,如果允许访问,则DNS进一步解析所述域名解析请求报文得到所述域名的IP地址,将所述IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则DNS发送域名解析出错报文给所述客户端。为了顺应业界发展趋势及应对发展中面临的问题,通信设备厂商开发出虚拟路由器(VirtualServicesRouter,VSR)系列产品,它运行在数据中心或分支的服务器虚拟机上,提供和物理路由器相同的功能和体验,包括路由、防火墙、虚拟专用网络(VirtualPrivateNetwork,VPN)、服务质量(QualityofService,QoS)、及配置管理等,帮助企业建立安全、统一、可扩展的混合云,同时精简分支基础设施,图1为VSR公有云典型组网结构示意图。如图1所示,在云中,VSR作为企业网延伸到云端的网关设备,部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC上,为企业VPC和企业总部/分支之间提供VPN,以保证企业租户的安全。VSR为企业带来的价值:1)将企业VPC网络作为企业网络的一部分进行管理,确保一致的网络配置、安全策略、管理策略、及IP地址规划等,实现统一的本文档来自技高网...
【技术保护点】
一种基于虚拟路由器VSR的服务访问控制方法,其特征在于,该方法应用于与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS上,该方法包括:所述DNS接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的域名信息;所述DNS解析所述域名解析请求报文携带的客户端的源IP地址和域名信息,根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限,如果允许访问,则DNS进一步解析所述域名解析请求报文得到所述域名的IP地址,将所述IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则DNS发送域名解析出错报文给所述客户端。
【技术特征摘要】
1.一种基于虚拟路由器VSR的服务访问控制方法,其特征在于,该方法应用于与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS上,该方法包括:所述DNS接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的域名信息;所述DNS解析所述域名解析请求报文携带的客户端的源IP地址和域名信息,根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限,如果允许访问,则DNS进一步解析所述域名解析请求报文得到所述域名的IP地址,将所述IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则DNS发送域名解析出错报文给所述客户端;所述DNS查询所述源IP地址对所述域名的访问权限时,该方法进一步包括:所述DNS根据解析出的所述客户端的源IP地址查询区域对应表,进而根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表,所述区域对应表为IP地址与区域的对应表,所述Web服务访问权限表为区域对域名的访问权限列表。2.根据权利要求1所述的方法,其特征在于,所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。3.根据权利要求1所述的方法,其特征在于,所述DNS查询不到与所述客户端的源IP地址匹配的区域时,该方法进一步包括:所述DNS发送域名解析出错报文给所述客户端。4.根据权利要求1所述的方法,其特征在于,所述DNS查询不到与所述匹配区域匹配的访问权限时,该方法进一步包括:所述DNS将所述匹配区域匹配默认规则。5.一种域名服务器DNS,其特...
【专利技术属性】
技术研发人员:王奕,王伟,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。