CN111865976A - 一种访问控制方法、装置及网关 - Google Patents
一种访问控制方法、装置及网关 Download PDFInfo
- Publication number
- CN111865976A CN111865976A CN202010696556.4A CN202010696556A CN111865976A CN 111865976 A CN111865976 A CN 111865976A CN 202010696556 A CN202010696556 A CN 202010696556A CN 111865976 A CN111865976 A CN 111865976A
- Authority
- CN
- China
- Prior art keywords
- application
- access control
- destination
- domain name
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000004044 response Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 8
- 230000000903 blocking effect Effects 0.000 claims description 6
- 230000010365 information processing Effects 0.000 claims description 4
- 238000012546 transfer Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种访问控制方法及装置,所述访问控制方法包括:接收流量数据,其中,所述流量数据包括采用https协议封装的报文;根据基于所述报文获取的目的IP地址(即互联网协议地址)确定应用类别,其中,所述应用类别包括:新闻、娱乐或者音乐;根据访问控制规则和所述应用类别确定阻断或者放行所述流量数据。本申请的一些实施例通过获取的基于https协议的报文数据的目的IP地址来确定应用类型来进行基于应用类型的访问控制,与相关的基于应用类型控制访问流量的方式相比,有效节省了网关或者防火墙等访问控制设备的资源消耗,提升了处理速度。
Description
技术领域
本申请涉及安全访问控制领域,具体而言本申请实施例涉及一种访问控制方法、装置及网关。
背景技术
当前网络攻击越来越多,网络安全设备大量被开发出来并应用到实际的环境中,由于当前应用丰富多样及网络的普及,在https(Hyper Text Transfer Protocol overSecureSocket Layer)环境下基于应用作访问控制策略的情况越来越多,但解决方案比较局限。
随着高性能安全网关越来越普遍,https环境越来越多,这种问题越来越突出。相关技术通过透明代理得到通信数据对https的流量数据进行访问控制,但是透明代理消耗了大量的系统计算资源。
发明内容
本申请实施例的目的在于提供一种访问控制方法及装置,与相关技术需要卸载SSL的技术方案相比,本申请实施例可以在不大量消耗网关设备的性能的基础上实现基于应用类型的细粒度访问控制管理。
第一方面,本申请的一些实施例提供一种访问控制方法,所述访问控制方法包括:接收流量数据,其中,所述流量数据包括采用https协议封装的报文;根据所述报文目的IP地址确定应用类别,其中,所述应用类别包括:新闻、娱乐或者音乐;根据访问控制规则和所述应用类别确定阻断或者放行所述流量数据。
本申请的一些实施例通过获取的基于https协议的报文数据的目的IP地址来确定应用类型来进行基于应用类型的访问控制,与相关的基于应用类型控制访问流量的方式相比,有效节省了网关或者防火墙等访问控制设备的资源消耗,提升了处理速度。
在一些实施中,所述根据所述报文的目的IP地址确定应用类别之前,所述访问控制方法还包括:生成包括多个目的IP地址和与所述多个目的IP地址中各地址对应的应用类别的应用分类信息表。
本申请的一些实施例可以通过预先存储的应用分类信息表记录目的IP地址与应用类型的映射关系,方便在网关或者防火墙等访问控制设备在接收到流量数据时即时查询应用类型。
在一些实施例中,所述生成包括多个目的IP地址和与所述多个目的IP地址中各地址对应的应用类别的应用分类信息表,包括:从接收的DNS请求报文中获取域名信息;通过对所述域名信息作域名分类库查找得到域名网站对应的应用分类;记录针对所述DNS请求报文的DNS应答包对应的数据报文目的IP地址和所述应用分类,生成所述应用分类信息表中的一条信息。
本申请的一些实施例中采用基于对DNS报文数据的分析来确定应用类型,并基于DNS应答报文来确定目的IP地址进而存储目的IP地址与应用类别的对应关系表,本申请一些实施例的应用类别信息表的生成简单快捷且资源消耗量较少。
在一些实施例中,所述访问控制规则包括至少阻断与多种应用类别中的一种应用类别对应的所述流量数据。
本申请的一些实施例中访问控制规则至少包括一条限制某类应用类别的规则,进而提升对应用类别的访问控制效果。
第二方面,本申请的一些实施例提供一种访问控制装置,所述访问控制装置包括:接收模块,被配置为接收流量数据,其中,所述流量数据包括采用https协议封装的报文;应用类别确定模块,被配置为根据所述报文的目的IP地址确定应用类别,其中,所述应用类别包括:新闻、娱乐或者音乐;访问控制模块,被配置为根据访问控制规则和所述应用类别确定阻断或者放行所述流量数据。
第三方面,本申请的一些实施例提供一种网关,所述网关被配置为:解析接收的DNS请求报文,取得域名信息;通过对所述域名信息作域名分类库查找得到域名网站对应的应用分类;记录针对所述DNS请求报文的DNS应答包对应的数据报文的目的IP地址和所述应用分类,生成应用分类信息表中的一条信息。
在一些实施例中,所述网关还被配置为:接收到基于https协议的流量数据时,以目的IP地址为元素查找所述应用分类信息表,得到连接对应的应用类别;依据访问控制规则对已经识别出的所述应用类别对应的流量数据作阻断或放行。
第四方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现上述第一方面所述的方法。
第五方面,本申请的一些实施例提供一种信息处理设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现上述第一方面所述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的访问控制系统的组成示意图;
图2为本申请实施例提供的访问控制系统中的访问控制装置的内部组成框图;
图3为本申请实施例提供的访问控制装置执行的访问控制方法的流程图;
图4为本申请实施例提供的生成应用分类信息表的流程示意图;
图5为本申请实施例提供的访问控制装置的组成框图;
图6为本申请实施例提供的信息处理设备的组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
本申请的一些实施例可以解决在https环境中不作透明代理的情况下对加密流量实现基于应用的访问控制。例如,在本申请的一些实施例中在终端访问服务器前,通常会发送域名系统DNS(Domain Name System)请求报文,通过对域名作分类查找锁定该域名对应的应用分类,可以对访问该域名对应地址(例如目的IP地址)的流量作基于应用的访问控制策略。
请参看图1,图1为本申请一些实施例的访问控制系统的组成示意图。
图1的访问控制系统包括访问终端100(例如,可以说计算机或者手机等智能处理设备)、访问控制装置600、DNS域名解析服务器200以及https服务器300。
与相关技术不同的是,本申请的一些实施例的访问控制装置600被配置为:识别访问终端100发送的DNS请求报文,对DNS请求报文进行分析获取域名对应的应用类别;访问控制装置600对获取的来自于DNS域名解析服务器200反馈的针对DNS请求报文的DNS应答报文得到目的IP地址,并存储目的IP地址与应用类别的对应关系得到应用类别信息表。
与相关技术不同的是,本申请的一些实施例的访问控制装置600在接收到来自于https流量服务器300的https流量数据时获取这些流量数据的目的IP地址,基于获取的目的IP地址识别流量数据对应的应用类别。获取应用类别后访问控制装置基于访问控制规则来确定是否允许接收的https流量数据通过。
如图1所示,访问控制装置600在一些实施例中可以包括网关400以及防火墙500,其中,网关400被配置为基于DNS报文生成上述的应用类别信息表,并被配置为基于https流量数据的目的IP地址获取应用类别410,对应的防火墙500从网关400获取应用类别410并根据其上存储的多条访问控制规则判断是否允许https流量数据通过。
需要说明的是,在本申请的另一些实施例图1的访问控制装置600可以仅包括防火墙500,此时防火墙500可以被配置为基于DNS报文生成上述的应用类别信息表,并被配置为基于https流量数据的目的IP地址获取应用类别410,并根据应用访问控制规则和应用类别410确定是否运行https流量数据通过。也就是说,本申请的一些实施例的访问控制装置600包括网关400和防火墙500(如图1所示),在另一些实施例中本申请的访问控制装置600可以仅包括防火墙,此时需要防火墙500同时集成网关400的功能。访问控制规则可以为限制某一类应用类别的流量数据通过,例如,阻止娱乐类应用的流量数据通过防火墙。
如图2示例性展示了图1的访问控制装置600包括的网关400和防火墙500包括的部分功能模块。
图2的网关400包括应用分类查找单元401、应用分类信息库402以及目的IP地址提取单元403。在一些实施例中,应用分类查找单元401被配置为解析网关400收到的DNS请求报文,取得域名信息;通过对域名作域名分类库查找得到该域名网站对应的应用分类信息。应用分类信息库402被配置存储查询得到的应用类别与IP地址(针对DNS请求报文中携带的域名对应的IP地址)的对应关系表。目的IP地址提取单元403被配置为收到https(HyperText Transfer Protocol over SecureSocket Layer)流量时,以目的IP地址为元素查找应用分类信息表,得到该连接对应的应用类别。相应的,图2的防火墙500被配置为根据预先存储的访问控制规则库510和网关400传输的应用类别410判断是否允许https流量数据通过。
需要说明的是,图2仅用于示例性说明网关400和防火墙500中的部分功能单元或者存储单元(例如,网关400中用于存储应用分类信息的数据库单元或者防火墙500中用于存储访问控制规则的存单元),这些功能单元可以是固化在网关400的操作系统中的软件功能模块。在一些实施例中可以将网关400中的功能单元集成在防火墙500中,也就是说防火墙500可以同时包括上述的应用分类查找单元401、应用分类信息库402、目的IP地址提取单元403以及访问控制规则库510。
下面结合图3示例性说明访问控制装置600上执行的访问控制方法。
如图3所示,本申请的一些实施例提供一种访问控制方法,所述访问控制方法包括:S101,接收流量数据,其中,所述流量数据包括采用https协议封装的报文;S102,根据所述报文的目的IP地址确定应用类别,其中,所述应用类别包括:新闻、娱乐或者音乐;S103,根据访问控制规则和所述应用类别确定阻断或者放行所述流量数据。例如,将获取的报文的目的IP地址与应用信息对照表匹配以获取该报文对应的具体的应用类别或者应用类型。
为了获取目的IP地址对应的应用类别,在一些实施中,在执行S102之前,所述访问控制方法还包括:生成包括多个目的IP地址和与所述多个目的IP地址中各地址对应的应用类别的应用分类信息表。例如,生成应用分类信息表的过程包括:从接收的DNS请求报文中获取域名信息;通过对所述域名信息作域名分类库查找得到域名网站对应的应用分类;记录针对所述DNS请求报文的DNS应答包对应的数据报文的目的IP地址和所述应用分类,生成所述应用分类信息表中的一条信息。
在一些实施例中,S103的访问控制规则包括至少阻断与多种应用类别中的一种应用类别对应的所述流量数据。本申请的一些实施例中访问控制规则至少包括一条限制某类应用类别的规则,进而提升对应用类别的访问控制效果。
下面结合图4示例性说明生成应用分类信息的过程。
S201,网关400数据报文并确认收到的为DNS报文。
S202,判断是否为DNS请求报文,当属于DNS请求报文时则执行S206在域名分类信息表中记录域名,之后再执行S205;当DNS报文不属于DNS请求报文时,则执行S203。
S203,在域名信息表中查找域名请求信息,记录对应关系。
S204,查找域名分类库,标记域名所在条目。
S205,生成应用分类信息表中的信息,这些信息即应用类别与目的IP地址的对应关系。
也就是说,本申请实施例的网关被配置为:收到DNS请求报文时,解析DNS请求包,获取请求的域名信息;根据获取的域名信息查找域名分类库获取到该域名信息所属的应用分类信息时,解析DNS请求包,获取请求的域名信息;根据获取的域名信息查找域名分类库获取到该域名信息所属的应用分类信息;将该DNS请求包放行,等该DNS请求包对应的应答包发送到网关(或者防火墙)上时,解析该DNS应答包,获取该域名对应的IP地址信息(即获取DNS应答包对应的数据报文的目的IP地址)。以上述域名对应的IP地址信息和应用分类信息为元素建立应用分类信息表。
需要说明的是,以图1的访问控制装置600为例可知,当防火墙500收到网络中采用https协议封装的流量数据时,以报文中的目的IP为元素查找应用分类信息表,得到该流量所属的应用分类。之后防火墙500根据策略规则对该应用流量进行阻断或放行。
请参考图5,图5示出了本申请实施例通过的访问控制装置,应理解,该装置与上述图3方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该装置的具体功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。装置包括至少一个能以软件或固件的形式存储于存储器中或固化在装置的操作系统中的软件功能模块,该访问控制装置,包括:接收模块501,被配置为接收流量数据,其中,所述流量数据包括采用https协议封装的报文;应用类别确定模块502,被配置为根据所述报文的目的IP地址确定应用类别,其中,所述应用类别包括:新闻、娱乐或者音乐;访问控制模块503,被配置为根据访问控制规则和所述应用类别确定阻断或者放行所述流量数据。需要说明的是,在一些如图1的实施例中接收模块501和应用类别确定模块502集成在图1的网关400中,同时访问控制模块503集成在防火墙500中。在另一些实施例中(即访问控制装置600仅包括防火墙)接收模块501和应用类别确定模块502以及访问控制模块503均集成在图1的防火墙中。
需要说明的是,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考图3方法中的对应过程,在此不再过多赘述。例如,对于如何根据DNS报文生成应用分类信息表以执行S102的过程可以参考上述方法中描述在此不做过多赘述。
本申请的一些实施例提供一种网关(如图1的网关400),所述网关被配置为:解析接收的DNS请求报文,取得域名信息;通过对所述域名信息作域名分类库查找得到域名网站对应的应用分类;记录针对所述DNS请求报文的DNS应答包对应的数据报文的目的IP地址和所述应用分类,生成应用分类信息表中的一条信息。在一些实施例中,所述网关还被配置为:接收到基于https协议的流量数据时,以目的IP地址为元素查找所述应用分类信息表,得到连接对应的应用类别;依据访问控制规则对已经识别出的所述应用类别对应的流量数据作阻断或放行。
需要说明的是,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的网关的具体工作过程,可以参考图3方法中的对应过程,在此不再过多赘述。
本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现上述图3所述的方法。
如图6所示,本申请的一些实施例提供一种信息处理设备601,包括存储器610、处理器620以及存储在所述存储器610上并可在所述处理器620上运行的计算机程序,其中,所述处理器620执行所述程序时(以及通过总线630从存储器610读取程序并执行)可实现图3示出的方法,也可以用于实现上述实施例描述的方法。
处理器620可以处理数字信号,可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中,处理器620可以是微处理器。
存储器610可以用于存储由处理器620执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码,用于实现本申请实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器620可以用于执行存储器610中的指令以实现图3中所示的方法。存储器610包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (9)
1.一种访问控制方法,其特征在于,所述访问控制方法包括:
接收流量数据,其中,所述流量数据包括采用超文本传输安全协议https协议封装的报文;
根据所述报文的目的IP地址确定应用类别,其中,所述应用类别包括:新闻、娱乐或者音乐;
根据访问控制规则和所述应用类别确定阻断或者放行所述流量数据。
2.如权利要求1所述的访问控制方法,其特征在于,所述根据所述报文的目的IP地址确定应用类别之前,所述访问控制方法还包括:生成包括多个目的IP地址和与所述多个目的IP地址中各地址对应的应用类别的应用分类信息表。
3.如权利要求2所述的访问控制方法,其特征在于,所述生成包括多个目的IP地址和与所述多个目的IP地址中各地址对应的应用类别的应用分类信息表,包括:
从接收的DNS请求报文中获取域名信息;
通过对所述域名信息作域名分类库查找得到域名网站对应的应用分类;
记录针对所述DNS请求报文的DNS应答包对应的数据报文目的IP地址和所述应用分类,生成所述应用分类信息表中的一条信息。
4.如权利要求1所述的访问控制方法,其特征在于,所述访问控制规则包括至少阻断与多种应用类别中的一种应用类别对应的所述流量数据。
5.一种访问控制装置,其特征在于,所述访问控制装置包括:
接收模块,被配置为接收流量数据,其中,所述流量数据包括采用https协议封装的报文;
应用类别确定模块,被配置为根据所述报文的目的IP地址确定应用类别,其中,所述应用类别包括:新闻、娱乐或者音乐;
访问控制模块,被配置为根据访问控制规则和所述应用类别确定阻断或者放行所述流量数据。
6.一种网关,其特征在于,所述网关被配置为:
解析接收的DNS请求报文,取得域名信息;
通过对所述域名信息作域名分类库查找得到域名网站对应的应用分类;
记录针对所述DNS请求报文的DNS应答包对应的数据报文目的IP地址和所述应用分类,生成应用分类信息表中的一条信息。
7.如权利要求6所述的网关,其特征在于,所述网关还被配置为:接收到基于https协议的流量数据时,以目的IP地址为元素查找所述应用分类信息表,得到连接对应的应用类别;依据访问控制规则对已经识别出的所述应用类别对应的流量数据作阻断或放行。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时可实现权利要求1-4中任意一条权利要求所述的方法。
9.一种信息处理设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时可实现权利要求1-4中任意一条权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010696556.4A CN111865976A (zh) | 2020-07-17 | 2020-07-17 | 一种访问控制方法、装置及网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010696556.4A CN111865976A (zh) | 2020-07-17 | 2020-07-17 | 一种访问控制方法、装置及网关 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111865976A true CN111865976A (zh) | 2020-10-30 |
Family
ID=73000977
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010696556.4A Pending CN111865976A (zh) | 2020-07-17 | 2020-07-17 | 一种访问控制方法、装置及网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111865976A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113726689A (zh) * | 2021-07-27 | 2021-11-30 | 新华三信息安全技术有限公司 | 一种安全业务处理方法以及装置 |
| CN115580441A (zh) * | 2022-09-21 | 2023-01-06 | 华能核能技术研究院有限公司 | 基于业务流的网络威胁识别方法及装置 |
| CN116192443A (zh) * | 2022-12-15 | 2023-05-30 | 中国联合网络通信集团有限公司 | 数据包传输方法、装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466343A (zh) * | 2002-06-12 | 2004-01-07 | 华为技术有限公司 | 基于内部服务器的域名系统地址转换应用网关的实现方法 |
| CN102647341A (zh) * | 2012-03-28 | 2012-08-22 | 北京星网锐捷网络技术有限公司 | 一种报文处理方法、装置以及系统 |
| CN108023877A (zh) * | 2017-11-20 | 2018-05-11 | 烽火通信科技股份有限公司 | 一种基于家庭网关实现防火墙域名控制的系统方法 |
| CN110430188A (zh) * | 2019-08-02 | 2019-11-08 | 武汉思普崚技术有限公司 | 一种快速url过滤方法及装置 |
| CN111314301A (zh) * | 2020-01-17 | 2020-06-19 | 武汉思普崚技术有限公司 | 一种基于dns解析的网站访问控制方法及装置 |
-
2020
- 2020-07-17 CN CN202010696556.4A patent/CN111865976A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466343A (zh) * | 2002-06-12 | 2004-01-07 | 华为技术有限公司 | 基于内部服务器的域名系统地址转换应用网关的实现方法 |
| CN102647341A (zh) * | 2012-03-28 | 2012-08-22 | 北京星网锐捷网络技术有限公司 | 一种报文处理方法、装置以及系统 |
| CN108023877A (zh) * | 2017-11-20 | 2018-05-11 | 烽火通信科技股份有限公司 | 一种基于家庭网关实现防火墙域名控制的系统方法 |
| CN110430188A (zh) * | 2019-08-02 | 2019-11-08 | 武汉思普崚技术有限公司 | 一种快速url过滤方法及装置 |
| CN111314301A (zh) * | 2020-01-17 | 2020-06-19 | 武汉思普崚技术有限公司 | 一种基于dns解析的网站访问控制方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113726689A (zh) * | 2021-07-27 | 2021-11-30 | 新华三信息安全技术有限公司 | 一种安全业务处理方法以及装置 |
| CN115580441A (zh) * | 2022-09-21 | 2023-01-06 | 华能核能技术研究院有限公司 | 基于业务流的网络威胁识别方法及装置 |
| CN116192443A (zh) * | 2022-12-15 | 2023-05-30 | 中国联合网络通信集团有限公司 | 数据包传输方法、装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11816161B2 (en) | Asset search and discovery system using graph data structures | |
| JP7045104B2 (ja) | データを処理する方法、装置、及びコンピュータプログラム、並びに階層ドメインネームシステムのゾーンファイル | |
| JP5587732B2 (ja) | ドメイン・ネーム・サービス(dns)データベースへのアクセスを管理するコンピュータ実施方法、コンピュータ・プログラム、およびシステム | |
| US9307036B2 (en) | Web access using cross-domain cookies | |
| EP3170091B1 (en) | Method and server of remote information query | |
| US10348754B2 (en) | Data security incident correlation and dissemination system and method | |
| US11290472B2 (en) | Threat intelligence information access via a DNS protocol | |
| US20130067530A1 (en) | DNS-Based Content Routing | |
| US9058490B1 (en) | Systems and methods for providing a secure uniform resource locator (URL) shortening service | |
| US20090300012A1 (en) | Multilevel intent analysis method for email filtration | |
| CN110430188B (zh) | 一种快速url过滤方法及装置 | |
| US10951645B2 (en) | System and method for prevention of threat | |
| CN111277461B (zh) | 一种内容分发网络节点的识别方法、系统及设备 | |
| EP3123696B1 (en) | Serving approved resources | |
| Al-kasassbeh et al. | Winning tactics with DNS tunnelling | |
| WO2017000439A1 (zh) | 一种恶意行为的检测方法、系统、设备及计算机存储介质 | |
| US11743301B2 (en) | System and method for DNS misuse detection | |
| US12267299B2 (en) | Preemptive threat detection for an information system | |
| CN111865976A (zh) | 一种访问控制方法、装置及网关 | |
| US10931688B2 (en) | Malicious website discovery using web analytics identifiers | |
| CN109361574B (zh) | 基于JavaScript脚本的NAT检测方法、系统、介质和设备 | |
| EP3398309A1 (en) | Url filtering method and device | |
| US10897483B2 (en) | Intrusion detection system for automated determination of IP addresses | |
| US8694659B1 (en) | Systems and methods for enhancing domain-name-server responses | |
| CN110708309A (zh) | 反爬虫系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201030 |