CN108848049A - 域名解析系统的代理方法及装置、存储介质和处理器 - Google Patents
域名解析系统的代理方法及装置、存储介质和处理器 Download PDFInfo
- Publication number
- CN108848049A CN108848049A CN201810350290.0A CN201810350290A CN108848049A CN 108848049 A CN108848049 A CN 108848049A CN 201810350290 A CN201810350290 A CN 201810350290A CN 108848049 A CN108848049 A CN 108848049A
- Authority
- CN
- China
- Prior art keywords
- dns
- mentioned
- proxy
- domain name
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种域名解析系统的代理方法及装置、存储介质和处理器。其中,该方法包括:接收来自终端设备的域名解析系统DNS请求报文;确定上述DNS请求报文是否满足预先配置的目标规则;在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理,上述处理包括:DNS代理、放行、阻塞。本发明解决了现有的网络安全系统的DNS代理的效率和可靠性较低的技术问题。
Description
技术领域
本发明涉及计算机技术领域,具体而言,涉及一种域名解析系统的代理方法及装置、存储介质和处理器。
背景技术
DNS代理是网络防火墙或上网行为管理设备的上一个常见功能,通过DNS代理,可以实现对DNS报文流量的控制,达到路径选择的目的,并且可以提高用户的访问速度和访问安全性。
二级运营商和广电行业会在内网中引入IDC(Internet Data Center,互联网数据中心)资源,通过防火墙DNS代理可以让宽带用户优先访问内网的IDC资源,从而提升宽带用户的访问速度、减少出口互联网访问流量。
但是现有技术的网络安全系统的DNS代理的实现过程中,存在现有的网络安全系统的DNS代理的效率和可靠性较低的问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种域名解析系统的代理方法及装置、存储介质和处理器,以至少解决现有的网络安全系统的DNS代理的效率和可靠性较低的技术问题。
根据本发明实施例的一个方面,提供了一种域名解析系统的代理方法,包括:接收来自终端设备的域名解析系统DNS请求报文;确定上述DNS请求报文是否满足预先配置的目标规则;在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理,上述处理包括:DNS代理、放行、阻塞。
进一步地,在上述DNS请求报文未满足上述目标规则的情况下,确定对上述DNS请求报文进行转发处理。
进一步地,在确定执行对上述DNS请求报文的DNS代理之后,上述方法还包括:检测上述DNS请求报文的中携带的域名是否存在于上述网络安全系统中的静态缓存中,得到检测结果,其中,上述静态缓存中存储有至少一个域名及其对应的IP地址;若上述检测结果为上述DNS请求报文中携带的域名存在于上述静态缓存中,则反馈与上述DNS请求报文中携带的域名对应的IP地址至上述终端设备;若上述检测结果为上述DNS请求报文中携带的域名未存在于上述静态缓存中,则在上述目标规则中确定目标代理DNS服务器,并转发与上述DNS请求报文对应的报文至上述目标代理DNS服务器,其中,上述目标代理DNS服务器为被代理的DNS服务器。
进一步地,若未在上述目标规则中确定上述目标代理DNS服务器,则丢弃上述DNS请求报文。
进一步地,上述预先配置的目标规则包括以下至少之一规则项:网络安全系统的入接口、源地址、目的地址、域名、规则匹配后的动作和目标代理DNS服务器的地址。
进一步地,上述DNS代理包括如下至少之一:DNS普通代理、DNS透明代理、DNS多出口代理、DNS代理黑名单和DNS代理白名单;其中,上述DNS普通代理的配置规则为当上述DNS请求报文的目的地址为上述网络安全系统的入接口的网络协议IP地址,对应的规则匹配后的动作为DNS代理,上述网络安全系统接收到上述DNS请求报文之外的其它DNS请求报文,对应的规则匹配后的动作为放行;上述DNS透明代理的配置规则为上述网络安全系统接收到的所有上述DNS请求报文,对应的规则匹配后的动作为DNS代理;上述DNS多出口代理的配置规则为上述网络安全系统接收到的所有上述DNS请求报文,对应的规则匹配后的动作为DNS代理,在上述目标规则中配置上述目标代理DNS服务器的地址,并绑定对应的出接口;上述DNS代理黑名单的配置规则为上述网络安全系统接收到的上述DNS请求报文配置域名组,则对应的规则匹配后的动作为阻塞,上述网络安全系统接收到上述DNS请求报文之外的其它DNS请求报文,对应的规则匹配后的动作为DNS代理;上述DNS代理白名单的配置规则为上述网络安全系统接收到的上述DNS请求报文配置域名组,则对应的规则匹配后的动作为DNS代理,上述网络安全系统接收到上述DNS请求报文之外的其它DNS请求报文,对应的规则匹配后的动作为阻塞。
进一步地,上述入接口对应的配置内容为上述网络安全系统的接口,上述网络安全系统对输入上述入接口的DNS请求报文进行规则匹配,其中,上述入接口用于配置一个或多个接口。
进一步地,上述源地址对应的配置内容为第一网络协议IP地址,上述网络安全系统将源地址为上述第一IP地址的DNS请求报文进行规则匹配,上述源地址用于配置至少一个或任意一个上述第一IP地址,当上述源地址配置任意一个上述第一IP地址时,上述网络安全系统将所有经过上述网络安全系统的DNS流量进行规则匹配。
进一步地,上述目的地址对应的配置内容为第二网络协议IP地址,上述网络安全系统将目的地址为上述第二IP地址的DNS报文进行规则匹配,上述目的地址用于配置为至少一个或任意一个上述第二IP地址,当上述目的地址配置任意一个上述第二IP地址时,上述网络安全系统将所有经过上述网络安全系统的DNS流量进行规则匹配。
进一步地,上述域名对应的配置内容为域名信息,上述网络安全系统将访问域名为上述域名信息的DNS请求报文进行规则匹配,其中,上述域名用于配置一个域名信息或一个域名组,上述域名组包括一组上述域名信息。
进一步地,上述域名信息至少以哈希表的方式存储在网络安全系统中,在上述规则匹配的过程中,上述网络安全系统通过逐级匹配上述哈希表的方式,对上述域名信息进行规则匹配。
进一步地,上述网络安全系统用于依据上述规则匹配后的动作对应的配置内容,对满足上述目标规则的DNS请求报文进行如下至少之一的处理:放行、代理、阻塞。
进一步地,上述目标代理DNS服务器的地址对应的配置内容为上述目标代理DNS服务器的IP地址,网络安全系统用于将与上述IP地址对应的DNS服务器进行DNS代理,上述目标代理DNS服务器的地址至少用于配置一个或多个DNS服务器的IP地址。
进一步地,上述目标代理DNS服务器的地址对应的配置内容为上述网络安全系统的出接口,上述网络安全系统用于通过上述出接口发送上述DNS请求报文至上述目标代理DNS服务器;其中,在已配置上述出接口的情况下,上述目标代理DNS服务器的地址对应的配置内容至少包括:上述出接口的权值,在未配置上述出接口的情况下,上述出接口的权值的默认值为1。
进一步地,上述目标代理DNS服务器的地址对应的配置内容还包括:将至少一个目标代理DNS服务器配置为最高优先级的目标代理DNS服务器。
进一步地,上述网络安全系统还用于对上述DNS代理服务器进行追踪探测,以确定上述目标代理DNS服务器是否处于可用状态。
进一步地,通过以下方式在上述目标规则中确定目标代理DNS服务器:检测网络安全系统是否已配置有最高优先级的目标代理DNS服务器;若检测结果为是,则确定上述最高优先级的目标代理DNS服务器为目标代理DNS服务器;若检测结果为否,则查询是否存在指定出接口的DNS服务器,并在存在上述指定出接口的DNS服务器的情况下,确定上述指定出接口的DNS服务器为上述目标代理DNS服务器。
进一步地,在未存在上述指定出接口的DNS服务器的情况下,在多个代理DNS服务器之间进行轮询确定上述目标代理DNS服务器。
根据本发明实施例的另一方面,还提供了一种域名解析系统的代理装置,包括:接收模块,用于接收来自终端设备的域名解析系统DNS请求报文;第一确定模块,用于确定上述DNS请求报文是否满足预先配置的目标规则;第二确定模块,用于在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理,上述处理包括:DNS代理、放行、阻塞。
根据本发明实施例的另一方面,还提供了一种存储介质,上述存储介质包括存储的程序,其中,在上述程序运行时控制上述存储介质所在设备执行以下功能:接收来自终端设备的域名解析系统DNS请求报文;确定上述DNS请求报文是否满足预先配置的目标规则;在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理,上述处理包括:DNS代理、放行、阻塞。
根据本发明实施例的另一方面,还提供了一种处理器,上述处理器用于运行程序,其中,上述程序运行时执行以下功能:接收来自终端设备的域名解析系统DNS请求报文;确定上述DNS请求报文是否满足预先配置的目标规则;在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理,上述处理包括:DNS代理、放行、阻塞。
在本发明实施例中,采用规则配置的方式,通过接收来自终端设备的域名解析系统DNS请求报文;确定上述DNS请求报文是否满足预先配置的目标规则;在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理,上述处理包括:DNS代理、放行、阻塞,达到了提高网络安全系统的DNS代理的效率和可靠性的目的,从而实现了提高网络安全系统的DNS代理的可靠性,进而提高终端设备用户的用户体验的效果,进而解决了现有的网络安全系统的DNS代理的效率和可靠性较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种域名解析系统的代理方法的流程图;
图2是根据本发明实施例的一种可选的域名解析系统的代理方法的流程图;
图3是根据本发明实施例的一种可选的对内网DNS服务器的递归请求进行处理的交互示意图;
图4是根据本发明实施例的一种可选的域名解析系统的代理方法的流程图;
图5是根据本发明实施例的一种可选的域名信息查询的流程图;
图6是根据本发明实施例的一种可选的确定目标代理DNS服务器状态的流程图;
图7是根据本发明实施例的一种可选的域名解析系统的代理方法的流程图;
图8是根据本发明实施例的一种可选的域名解析系统的代理方法的流程图;以及
图9是根据本发明实施例的一种域名解析系统的代理装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,为方便理解本发明实施例,下面将对本发明中所涉及的部分术语或名词进行解释说明:
域名解析系统(Domain Name system,DNS):即域名解析服务器,万维网上作为域名(主机名)和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串,其中,通过域名解析得到该域名对应的IP地址的过程叫做域名解析(或主机名解析)。
内网域名解析系统(Local DNS,LDNS):是指终端运营商本地的域名解析系统,很多运营商均会在本地架设自己的DNS服务器存储常用的域名映射,为用户提供更快的域名解析服务。其中,本地是一个相对的概念,因为DNS调度技术存在多级DNS服务,因此更靠近用户的一级服务器即为本地域名解析系统DNS,例如,8.8.8.8这样的DNS服务器处于根服务器之下,即可认为该DNS为内网DNS。
公网域名解析系统DNS:相对于内网DNS而言,若一个DNS在配置文件中存储有域名和IP地址的对应关系,并被授权管理该域,即可认为该DNS为公网DNS。
互联网协议IP地址(Internet Protocol Address):是指IP协议提供的一种统一的地址格式,为互联网上的每一个网络和每一台主机分配一个逻辑地址,也即网络上标识站点的数字地址,为方便记忆,可以采用域名来代替IP地址标识站点地址,域名到IP地址的解析过程由DNS服务器完成。
DNS代理:是指系统或设备本身不具备DNS解析功能,但可以完成解析任务。在使用代理进行解析时,DNS请求数据包先被发送至宽带路由,再由宽带路由将请求包发送至目的DNS IP(进行封包和解包过程),不使用代理时,DNS数据包直接被发送至目的DNS IP进行解析。
静态缓存:一般指web类应用中,将图片、视频、js、css等静态文件/资源通过磁盘/内存等缓存方式,提高资源响应方式,减少服务器压力/资源开销的一门缓存技术。
防火墙:是指一种设置在因特网与计算机用户之间的安全软件,具有识别和筛选能力,可以将未被授权或具有潜在破坏性的访问阻挡在外。
实施例1
根据本发明实施例,提供了一种域名解析系统的代理方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种域名解析系统的代理方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,接收来自终端设备的域名解析系统DNS请求报文。
上述步骤S102的执行主体可以为网络安全系统(也称信息安全系统),例如,网络防火墙或上网行为管理设备等,其中,需要说明的是,上述网络安全系统为一种位于内部网络和外部网络之间的网络安全系统,可以依照特定的规则,允许或限制传输的数据通过。
需要说明的是,上述网络防火墙也称防火墙,是指一种设置在因特网与计算机用户之间的安全软件,具有识别和筛选能力,可以将未被授权或具有潜在破坏性的访问阻挡在外。
可选的,上述终端设备可以为PC、智能手机、平板电脑等设备,用于发送域名解析系统DNS请求报文至上述网络安全系统;上述DNS请求报文可以为DNS解析请求,用于解析与域名对应的IP地址。
步骤S104,确定上述DNS请求报文是否满足预先配置的目标规则。
在一种可选的实施例中,上述预先配置的目标规则包括以下至少之一规则项:网络安全系统的入接口、源地址、目的地址、域名、规则匹配后的动作和目标代理DNS服务器的地址。
在上述步骤S104中,在上述网络安全系统收到DNS请求报文(DNS解析请求)之后,确定上述DNS请求报文是否满足预先配置的目标规则可以包括:将上述DNS请求报文匹配目标规则中的入接口项、源地址项和目的地址项,如果没有找到与上述DNS请求报文匹配的目标规则,即在上述DNS请求报文未满足上述目标规则的情况下,确定对上述DNS请求报文进行转发处理。
需要说明的是,上述预先配置的目标规则可以为配置上述任意一个或者多个规则项,在一种特殊的情况下,可以为全部的规则项,其中,每项可以配置为任意一个,若配置为任意一个则不会根据该规则项过滤接收到的DNS请求报文。
步骤S106,在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理,上述处理包括:DNS代理、放行、阻塞。
在上述步骤S106中,如果找到与上述DNS请求报文匹配的目标规则,即在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理,具体的,可以根据规则匹配后的动作项,对DNS请求报文进行放行、代理或阻塞。
其中,上述DNS代理是指网络防火墙或上网行为管理设备的上的一个常用功能,通过DNS代理,可以实现对DNS请求报文流量的控制,达到路径选择的目的,并且可以提高用户的访问速度和访问安全性。
需要说明的是,通过网络安全系统的DNS代理可以让宽带用户优先访问内网的资源,从而提升宽带用户的访问速度、减少出口互联网访问流量。
在一种可选的实施例中,图2是根据本发明实施例的一种可选的域名解析系统的代理方法的流程图,如图2所示,该方法包括如下步骤:
步骤S201,接收来自终端设备的域名解析系统DNS请求报文;
步骤S202,匹配DNS请求报文与目标规则的入接口、源地址、和目的地址;
在上述步骤S202中,若匹配成功,则执行步骤S203,若匹配不成功,则执行步骤S208。
具体的,在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理。
步骤S203,判断上述处理是否为DNS代理动作;
在上述步骤S203中,若判断结果为是,则执行步骤S204,若判断结果为否,则执行步骤S205。
步骤S204,检测上述DNS请求报文的中携带的域名是否存在于上述网络安全系统中的静态缓存中;
在上述步骤S204中,若上述检测结果为上述DNS请求报文中携带的域名未存在于上述静态缓存中,则执行步骤S206,若上述检测结果为上述DNS请求报文中携带的域名存在于上述静态缓存中,则执行步骤S209。
步骤S205,判断上述处理是否为放行动作;
在上述步骤S205中,若判断结果为是,则执行步骤S208,若判断结果为否,则执行步骤S210。
步骤S206,在目标规则中确定目标代理DNS服务器;
步骤S207,判断选择目标代理DNS服务器是否成功;
在上述步骤S207中,若判断结果为成功,则执行步骤S208,若判断结果为失败,则执行步骤S210。
步骤S208,转发与上述DNS请求报文对应的报文至上述目标代理DNS服务器;
步骤S209,反馈与上述DNS请求报文中携带的域名对应的IP地址至上述终端设备;
步骤S210,丢弃DNS请求报文。
需要说明的是,在上述DNS请求报文满足上述目标规则的情况下,网络安全系统无需对内网DNS服务器的DNS递归请求进行DNS代理,图3是根据本发明实施例的一种可选的对内网DNS服务器的递归请求进行处理的交互示意图,如图3所示,可以但不限于通过如下方式对内网DNS服务器的递归请求进行处理:
步骤S301,终端设备发送DNS请求报文至网络安全系统;
其中,上述终端设备与网络安全系统网络连接,如图3所示,上述网络安全系统可以用于隔离内网和公网。
步骤S302,上述网络安全系统代理到内网DNS服务器;
在上述步骤S302中,上述网络安全系统代理到内网DNS服务器之后,内网DNS服务器在本地静态缓存中查询是否存在对应的域名,若存在对应的域名,则反馈对应的IP地址至终端设备的客户端。若不存在对应的域名,则执行步骤S303。
步骤S303,内网DNS服务器本地不存在相关缓存,发送递归请求查询至网络安全系统;
其中,上述内网DNS服务器与网络安全系统网络连接。
步骤S304,网络安全系统转发内网DNS服务器发送的递归请求查询至公网DNS服务器。
其中,上述公网DNS服务器与网络安全系统网络连接。
在上述步骤S304中,公网DNS服务器接收到上述递归请求查询之后,由公网DNS服务器进行报文解析和IP地址的反馈。
当内网DNS服务器没有请求的资源记录时,内网服务器会发起域名请求的递归查询;由于根域名、顶级域名的服务器是全球公认且数量有限,不管网络安全系统是否进行DNS代理,均会去公网服务器上进行域名解析。
通过上述步骤对网络安全系统(网络防火墙)进行目标规则配置,完成目标规则配置的网络安全系统将对接收到的DNS请求报文进行规则匹配;根据规则匹配结果,网络安全系统将对符合规则匹配的DNS请求报文进行相应的DNS代理,可以实现提高网络安全系统DNS代理的效率和安全性的技术效果。
在一种可选的实施例中,图4是根据本发明实施例的一种可选的域名解析系统的代理方法的流程图,如图4所示,在确定执行对上述DNS请求报文的DNS代理之后,上述方法还包括:
步骤S402,检测上述DNS请求报文的中携带的域名是否存在于上述网络安全系统中的静态缓存中,得到检测结果。
在步骤S402中,上述静态缓存中存储有至少一个域名及其对应的IP地址,可选的,上述静态缓存中还可以存储有至少一个域名及其对应的IP地址之间的对应关系。
步骤S404,若上述检测结果为上述DNS请求报文中携带的域名存在于上述静态缓存中,则反馈与上述DNS请求报文中携带的域名对应的IP地址至上述终端设备。
在上述步骤S404中,若上述检测结果为上述DNS请求报文中携带的域名存在于上述静态缓存中,则表明上述DNS请求报文中携带的域名命中静态缓存中存储的域名,因此,可以反馈与上述DNS请求报文中携带的域名对应的IP地址至上述终端设备。
步骤S406,若上述检测结果为上述DNS请求报文中携带的域名未存在于上述静态缓存中,则在上述目标规则中确定目标代理DNS服务器,并转发与上述DNS请求报文对应的报文至上述目标代理DNS服务器。
其中,上述目标代理DNS服务器为被代理的DNS服务器,即被上述网络安全系统代理的DNS服务器。
基于上述步骤S402至步骤S406提供的步骤,如果需要对DNS请求报文执行DNS代理动作,检测上述DNS请求报文的中携带的域名是否存在于上述网络安全系统中的静态缓存中,得到检测结果,其中,上述静态缓存中存储有至少一个域名及其对应的IP地址;若上述检测结果为上述DNS请求报文中携带的域名存在于上述静态缓存中,则反馈与上述DNS请求报文中携带的域名对应的IP地址至上述终端设备,若上述检测结果为上述DNS请求报文中携带的域名未存在于上述静态缓存中,则在上述目标规则中确定目标代理DNS服务器,即选择目标代理DNS服务器成功,则构造新的DNS请求报文,并将上述新的DNS请求报文转发上述目标代理DNS服务器。
在一种可选的实施例中,若未在上述目标规则中确定上述目标代理DNS服务器,则丢弃上述DNS请求报文。
在一种可选的实施例中,上述DNS代理包括如下至少之一:DNS普通代理、DNS透明代理、DNS多出口代理、DNS代理黑名单和DNS代理白名单。
其中,上述DNS普通代理的配置规则为当上述DNS请求报文的目的地址为上述网络安全系统的入接口的网络协议IP地址,对应的规则匹配后的动作为DNS代理,上述网络安全系统接收到上述DNS请求报文之外的其它DNS请求报文,对应的规则匹配后的动作为放行。
其中,上述DNS透明代理的配置规则为上述网络安全系统接收到的所有上述DNS请求报文,对应的规则匹配后的动作为DNS代理。
其中,上述DNS多出口代理的配置规则为上述网络安全系统接收到的所有上述DNS请求报文,对应的规则匹配后的动作为DNS代理,在上述目标规则中配置上述目标代理DNS服务器的地址,并绑定对应的出接口。
其中,上述DNS代理黑名单的配置规则为上述网络安全系统接收到的上述DNS请求报文配置域名组,则对应的规则匹配后的动作为阻塞,上述网络安全系统接收到上述DNS请求报文之外的其它DNS请求报文,对应的规则匹配后的动作为DNS代理。
其中,上述DNS代理白名单的配置规则为上述网络安全系统接收到的上述DNS请求报文配置域名组,则对应的规则匹配后的动作为DNS代理,上述网络安全系统接收到上述DNS请求报文之外的其它DNS请求报文,对应的规则匹配后的动作为阻塞。
以上述网络安全系统为防火墙为例,下表1中示出了如何通过目标规则实现各种DNS代理的实现方法:
表1
在一种可选的实施例中,上述入接口对应的配置内容为上述网络安全系统的接口,上述网络安全系统对输入上述入接口的DNS请求报文进行规则匹配,其中,上述入接口用于配置一个或多个接口。
在一种可选的实施例中,上述源地址对应的配置内容为第一网络协议IP地址,上述网络安全系统将源地址为上述第一IP地址的DNS请求报文进行规则匹配,上述源地址用于配置至少一个或任意一个上述第一IP地址,当上述源地址配置任意一个上述第一IP地址时,上述网络安全系统将所有经过上述网络安全系统的DNS流量进行规则匹配。
在一种可选的实施例中,上述目的地址对应的配置内容为第二网络协议IP地址,上述网络安全系统将目的地址为上述第二IP地址的DNS报文进行规则匹配,上述目的地址用于配置为至少一个或任意一个上述第二IP地址,当上述目的地址配置任意一个上述第二IP地址时,上述网络安全系统将所有经过上述网络安全系统的DNS流量进行规则匹配。
作为一种可选的实施例,上述域名对应的配置内容为域名信息,上述网络安全系统将访问域名为上述域名信息的DNS请求报文进行规则匹配,其中,上述域名用于配置一个域名信息或一个域名组,上述域名组包括一组上述域名信息。
以上述网络安全系统为防火墙为例,防火墙将对访问域名为该域名信息的DNS请求报文进行规则匹配,其中,上述域名可以配置一条域名信息或一个(域名簿);其中,域名组可以包含有一组域名信息;对于批量域名,通过上述域名组可以简化域名的配置和管理。
在一种可选的实施例中,上述域名信息至少以哈希表的方式存储在网络安全系统中,在上述规则匹配的过程中,上述网络安全系统通过逐级匹配上述哈希表的方式,对上述域名信息进行规则匹配。
在上述可选的实施例中,仍以上述网络安全系统为防火墙为例,域名信息以哈希(hash)表的方式存储在防火墙中,在目标规则匹配的过程中,防火墙通过逐级匹配上述哈希表的方式,实现域名信息的精确匹配。图5是根据本发明实施例的一种可选的域名信息查询的流程图,如图5所示,可以通过以下方式逐级匹配上述哈希表中的域名,在哈希表中查询对应的域名信息:
步骤S501,匹配哈希表中的域名;
步骤S502,判断是否查到对应的域名;
在上述步骤S502中,若判断结果为是,则执行步骤S506,若判断结果为否,则执行步骤S503。
步骤S503,获取上层域名;
步骤S504,判断当前域名是否为顶级域名。
在上述步骤S504中,若当前域名为顶级域名,且仍未查询到对应的域名,则执行步骤S505,若当前域名不是顶级域名,则返回执行步骤S501。
步骤S505,确定匹配失败。
步骤S506,执行下一步。
在上述步骤S506中,确定域名匹配成功,进而执行下一规则项的匹配。
在上述可选的实施例中,以域名www.sina.com为例,可以先匹配查找www.sina.com,如果查询失败,再匹配查询sina.com。以此类推,逐级查询,直到顶级域名,不再进行查询。
在一种可选的实施例中,上述网络安全系统用于依据上述规则匹配后的动作对应的配置内容,对满足上述目标规则的DNS请求报文进行如下至少之一的处理:放行、代理、阻塞。
仍以上述网络安全系统为防火墙为例,防火墙将依据上述配置内容,对符合规则匹配的DNS请求报文进行放行、代理或阻塞,其中,上述放行动作表示防火墙不对DNS请求报文进行处理,直接转发上述DNS请求报文即可;上述代理动作表示防火墙选择目标代理DNS服务器进行DNS代理解析;上述阻塞动作表示防火墙拦截DNS请求报文并丢弃。
作为一种可选的实施例,上述目标代理DNS服务器的地址对应的配置内容为上述目标代理DNS服务器的IP地址,网络安全系统用于将与上述IP地址对应的DNS服务器进行DNS代理,上述目标代理DNS服务器的地址至少用于配置一个或多个DNS服务器的IP地址。
在上述可选的实施例中,上述目标代理DNS服务器的地址对应的配置内容为上述目标代理DNS服务器的IP地址,防火墙将对该IP地址所对应的DNS服务器进行DNS代理;上述目标代理DNS服务器的地址至少可以配置一个或多个DNS服务器的IP地址。
在一种可选的实施例中,上述目标代理DNS服务器的地址对应的配置内容为上述网络安全系统的出接口,上述网络安全系统用于通过上述出接口发送上述DNS请求报文至上述目标代理DNS服务器;其中,在已配置上述出接口的情况下,上述目标代理DNS服务器的地址对应的配置内容至少包括:上述出接口的权值,在未配置上述出接口的情况下,上述出接口的权值的默认值为1。
其中,需要说明的是,一个出接口可以绑定多个代理DNS服务器,一个代理服务器不能被绑定到多个出接口上。
在上述实施例中,目标代理DNS服务器的地址对应的配置内容中可以配置出接口,防火墙将通过该出接口发出代理的DNS报文;在已经配置出接口的情况下,目标代理DNS服务器的地址对应的配置内容中可以配置出接口的权值;如果未配置出接口的权值,出接口的权值为默认值1。
作为一种可选的实施方式,上述目标代理DNS服务器的地址对应的配置内容还包括:将至少一个目标代理DNS服务器配置为最高优先级的目标代理DNS服务器。
在上述可选的实施例中,上述目标代理DNS服务器的地址对应的配置内容中还可以将任意一个目标代理DNS服务器配置为最高优先级的目标代理DNS服务器,例如,首选的目标代理DNS服务器;其中,在已经配置最高优先级的目标代理DNS服务器的情况下,防火墙将始终使用最高优先级的目标代理DNS服务器进行DNS代理。
作为一种可选的实施例,上述网络安全系统还用于对上述DNS代理服务器进行追踪探测,以确定上述目标代理DNS服务器是否处于可用状态。
在上述可选的实施例中,仍以上述网络安全系统为防火墙为例,上述防火墙可以对目标规则中配置的DNS代理服务器进行追踪探测(track探测),通过追踪探测以确定上述目标代理DNS服务器是否处于可用状态。
在一种可选的实施例中,图6是根据本发明实施例的一种可选的确定目标代理DNS服务器状态的流程图,如图6所示,通过追踪探测以确定上述目标代理DNS服务器是否处于可用状态可以但不限于通过以下方法步骤实现:
步骤600,开始;
步骤601,通过查询路由的方式,探测是否路由可达。
在上述步骤S601中,若探测结果为路由不可达,则置DNS代理服务器的状态为不可用状态,执行步骤S607;若探测结果为路由可达,则执行步骤S602。
步骤602,检测目标代理DNS服务器是否绑定出接口。
在上述步骤S602中,如果已绑定出接口,执行步骤S604;如果未绑定出接口,则执行步骤S603。
步骤603,发送该新的DNS请求报文进行探测目标代理DNS服务器是否可达。
在上述步骤S603中,如果未绑定出接口,或者绑定的出接口与查路由得到的出接口一致,则构造新的DNS请求报文,发送该新的DNS请求报文进行探测目标代理DNS服务器是否可达。
步骤604,判断绑定的出接口与查路由得到的出接口是否一致。
在上述步骤S604中,若绑定的出接口与查路由得到的出接口一致,则构造新的DNS请求报文,并执行步骤S603,若绑定的出接口与查路由得到的出接口不一致,置DNS代理服务器状态为不可用状态,则执行步骤S607。
步骤605,判断是否接收到DNS应答报文;
在上述步骤S605中,若判断结果为是,则执行步骤S606,若判断结果为否,则执行步骤S607。
步骤606,目标代理DNS服务器的状态为可用状态。
步骤607,目标代理DNS服务器的状态为不可用状态。
通过是否收到目标代理DNS服务器的应答报文,判断目标代理DNS服务器是否可用状态,其中,若收到目标代理DNS服务器的应答报文,则目标代理DNS服务器为可用状态,否则目标代理DNS服务器为不可用状态。
在一种可选的实施例中,图7是根据本发明实施例的一种可选的域名解析系统的代理方法的流程图,如图7所示,通过以下方式在上述目标规则中确定目标代理DNS服务器:
步骤S702,检测网络安全系统是否已配置有最高优先级的目标代理DNS服务器;
步骤S704,若检测结果为是,则确定上述最高优先级的目标代理DNS服务器为目标代理DNS服务器;
步骤S706,若检测结果为否,则查询是否存在指定出接口的DNS服务器,并在存在上述指定出接口的DNS服务器的情况下,确定上述指定出接口的DNS服务器为上述目标代理DNS服务器。
基于上述步骤S702至步骤S706所提供的方法步骤,仍以上述网络安全系统为防火墙为例,如果防火墙配置了最高优先级的目标代理DNS服务器,则始终选择最高优先级的目标代理DNS服务器;如果防火墙没有配置最高优先级的目标代理DNS服务器,则查询是否有指定出接口的DNS服务器;如果有指定出接口的DNS服务器,在指定出接口的DNS服务器之间选择DNS服务器;例如,由于目标代理DNS服务器的地址对应的配置内容中可以配置出接口的权值,可以根据指定出接口的权值进行负载均衡,进而在指定出接口的DNS服务器中确定上述目标代理DNS服务器。
在另一种可选的实施例中,图8是根据本发明实施例的一种可选的域名解析系统的代理方法的流程图,如图8所示,通过以下方式在上述目标规则中确定目标代理DNS服务器:
步骤S801,确定进行DNS代理动作;
步骤S802,确定目标代理DNS服务器;
步骤S803,检测是否已配置有最高优先级的目标代理DNS服务器。
在上述步骤S803中,若网络安全系统配置了最高优先级的目标代理DNS服务器,则始终选择最高优先级的目标代理DNS服务器,执行步骤S806,若未配置最高优先级的目标代理DNS服务器,则执行步骤S804。
步骤S804,查询是否存在指定出接口的DNS服务器。
在上述步骤S804,若存在指定出接口的DNS服务器,则执行步骤S805,若不存在指定出接口的DNS服务器,则执行步骤S807。
步骤S805,判断出接口绑定的DNS服务器是否可用。
在上述步骤S805中,若上述出接口绑定的DNS服务器可用,则执行步骤S808,若上述出接口绑定的DNS服务器不可用,则执行步骤S807。
步骤S806,确定最高优先级的目标代理DNS服务器为目标代理DNS服务器。
步骤S807,在多个代理DNS服务器之间进行轮询确定上述目标代理DNS服务器。
步骤S808,根据出接口的权值选择出接口绑定的DNS服务器为目标代理DNS服务器。
基于上述实施例,本申请中的防火墙的DNS代理的实现更加灵活、精细,进而达到了提高防火墙DNS代理的效率和可靠性的效果。
在一种可选的实施例中,在未存在上述指定出接口的DNS服务器的情况下,在多个代理DNS服务器之间进行轮询确定上述目标代理DNS服务器。
在上述可选的实施例中,若只有普通的代理DNS服务器,则在上述普通的代理DNS服务器之间进行轮询确定上述目标代理DNS服务器。
实施例2
本发明实施例还提供了一种用于实施上述域名解析系统的代理方法的装置,图9是根据本发明实施例的一种域名解析系统的代理装置的结构示意图,如图9所示,上述域名解析系统的代理装置,包括:接收模块90、第一确定模块92、第二确定模块94,其中,
接收模块90,用于接收来自终端设备的域名解析系统DNS请求报文;第一确定模块92,用于确定上述DNS请求报文是否满足预先配置的目标规则;第二确定模块94,用于在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理,上述处理包括:DNS代理、放行、阻塞。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,例如,对于后者,可以通过以下方式实现:上述各个模块可以位于同一处理器中;或者,上述各个模块以任意组合的方式位于不同的处理器中。
此处需要说明的是,上述接收模块90、第一确定模块92、第二确定模块94对应于实施例1中的步骤S102至步骤S106,上述模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在计算机终端中。
在一种可选的实施例中,上述域名解析系统的代理方法的装置还用于在上述DNS请求报文未满足上述目标规则的情况下,确定对上述DNS请求报文进行转发处理。
在一种可选的实施例中,上述域名解析系统的代理方法的装置还用于在确定执行对上述DNS请求报文的DNS代理之后,检测上述DNS请求报文的中携带的域名是否存在于上述网络安全系统中的静态缓存中,得到检测结果,其中,上述静态缓存中存储有至少一个域名及其对应的IP地址;若上述检测结果为上述DNS请求报文中携带的域名存在于上述静态缓存中,则反馈与上述DNS请求报文中携带的域名对应的IP地址至上述终端设备;若上述检测结果为上述DNS请求报文中携带的域名未存在于上述静态缓存中,则在上述目标规则中确定目标代理DNS服务器,并转发与上述DNS请求报文对应的报文至上述目标代理DNS服务器,其中,上述目标代理DNS服务器为被代理的DNS服务器。
在一种可选的实施例中,若未在上述目标规则中确定上述目标代理DNS服务器,则丢弃上述DNS请求报文。
在一种可选的实施例中,上述预先配置的目标规则包括以下至少之一规则项:网络安全系统的入接口、源地址、目的地址、域名、规则匹配后的动作和目标代理DNS服务器的地址。
在一种可选的实施例中,上述DNS代理包括如下至少之一:DNS普通代理、DNS透明代理、DNS多出口代理、DNS代理黑名单和DNS代理白名单;其中,上述DNS普通代理的配置规则为当上述DNS请求报文的目的地址为上述网络安全系统的入接口的网络协议IP地址,对应的规则匹配后的动作为DNS代理,上述网络安全系统接收到上述DNS请求报文之外的其它DNS请求报文,对应的规则匹配后的动作为放行;上述DNS透明代理的配置规则为上述网络安全系统接收到的所有上述DNS请求报文,对应的规则匹配后的动作为DNS代理;上述DNS多出口代理的配置规则为上述网络安全系统接收到的所有上述DNS请求报文,对应的规则匹配后的动作为DNS代理,在上述目标规则中配置上述目标代理DNS服务器的地址,并绑定对应的出接口;上述DNS代理黑名单的配置规则为上述网络安全系统接收到的上述DNS请求报文配置域名组,则对应的规则匹配后的动作为阻塞,上述网络安全系统接收到上述DNS请求报文之外的其它DNS请求报文,对应的规则匹配后的动作为DNS代理;上述DNS代理白名单的配置规则为上述网络安全系统接收到的上述DNS请求报文配置域名组,则对应的规则匹配后的动作为DNS代理,上述网络安全系统接收到上述DNS请求报文之外的其它DNS请求报文,对应的规则匹配后的动作为阻塞。
在一种可选的实施例中,上述入接口对应的配置内容为上述网络安全系统的接口,上述网络安全系统对输入上述入接口的DNS请求报文进行规则匹配,其中,上述入接口用于配置一个或多个接口。
在一种可选的实施例中,上述源地址对应的配置内容为第一网络协议IP地址,上述网络安全系统将源地址为上述第一IP地址的DNS请求报文进行规则匹配,上述源地址用于配置至少一个或任意一个上述第一IP地址,当上述源地址配置任意一个上述第一IP地址时,上述网络安全系统将所有经过上述网络安全系统的DNS流量进行规则匹配。
在一种可选的实施例中,上述目的地址对应的配置内容为第二网络协议IP地址,上述网络安全系统将目的地址为上述第二IP地址的DNS报文进行规则匹配,上述目的地址用于配置为至少一个或任意一个上述第二IP地址,当上述目的地址配置任意一个上述第二IP地址时,上述网络安全系统将所有经过上述网络安全系统的DNS流量进行规则匹配。
在一种可选的实施例中,上述域名对应的配置内容为域名信息,上述网络安全系统将访问域名为上述域名信息的DNS请求报文进行规则匹配,其中,上述域名用于配置一个域名信息或一个域名组,上述域名组包括一组上述域名信息。
在一种可选的实施例中,上述域名信息至少以哈希表的方式存储在网络安全系统中,在上述规则匹配的过程中,上述网络安全系统通过逐级匹配上述哈希表的方式,对上述域名信息进行规则匹配。
在一种可选的实施例中,上述网络安全系统用于依据上述规则匹配后的动作对应的配置内容,对满足上述目标规则的DNS请求报文进行如下至少之一的处理:放行、代理、阻塞。
在一种可选的实施例中,上述目标代理DNS服务器的地址对应的配置内容为上述目标代理DNS服务器的IP地址,网络安全系统用于将与上述IP地址对应的DNS服务器进行DNS代理,上述目标代理DNS服务器的地址至少用于配置一个或多个DNS服务器的IP地址。
在一种可选的实施例中,上述目标代理DNS服务器的地址对应的配置内容为上述网络安全系统的出接口,上述网络安全系统用于通过上述出接口发送上述DNS请求报文至上述目标代理DNS服务器;其中,在已配置上述出接口的情况下,上述目标代理DNS服务器的地址对应的配置内容至少包括:上述出接口的权值,在未配置上述出接口的情况下,上述出接口的权值的默认值为1。
在一种可选的实施例中,上述目标代理DNS服务器的地址对应的配置内容还包括:将至少一个目标代理DNS服务器配置为最高优先级的目标代理DNS服务器。
在一种可选的实施例中,上述网络安全系统还用于对上述DNS代理服务器进行追踪探测,以确定上述目标代理DNS服务器是否处于可用状态。
在一种可选的实施例中,上述域名解析系统的代理方法的装置还用于通过以下方式在上述目标规则中确定目标代理DNS服务器:检测网络安全系统是否已配置有最高优先级的目标代理DNS服务器;若检测结果为是,则确定上述最高优先级的目标代理DNS服务器为目标代理DNS服务器;若检测结果为否,则查询是否存在指定出接口的DNS服务器,并在存在上述指定出接口的DNS服务器的情况下,确定上述指定出接口的DNS服务器为上述目标代理DNS服务器。
在一种可选的实施例中,在未存在上述指定出接口的DNS服务器的情况下,在多个代理DNS服务器之间进行轮询确定上述目标代理DNS服务器。
需要说明的是,本实施例的可选或优选实施方式可以参见实施例1中的相关描述,此处不再赘述。
上述的域名解析系统的代理装置还可以包括处理器和存储器,上述接收模块90、第一确定模块92、第二确定模块94等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元,上述内核可以设置一个或以上。存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
实施例3
本申请实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质包括存储的程序,其中,在上述程序运行时控制上述存储介质所在设备执行上述任意一种域名解析系统的代理方法。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中,上述存储介质包括存储的程序。
可选地,在程序运行时控制存储介质所在设备执行以下功能:接收来自终端设备的域名解析系统DNS请求报文;确定上述DNS请求报文是否满足预先配置的目标规则;在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理,上述处理包括:DNS代理、放行、阻塞。
可选地,在程序运行时控制存储介质所在设备执行以下功能:在上述DNS请求报文未满足上述目标规则的情况下,确定对上述DNS请求报文进行转发处理。
可选地,在程序运行时控制存储介质所在设备执行以下功能:检测上述DNS请求报文的中携带的域名是否存在于上述网络安全系统中的静态缓存中,得到检测结果,其中,上述静态缓存中存储有至少一个域名及其对应的IP地址;若上述检测结果为上述DNS请求报文中携带的域名存在于上述静态缓存中,则反馈与上述DNS请求报文中携带的域名对应的IP地址至上述终端设备;若上述检测结果为上述DNS请求报文中携带的域名未存在于上述静态缓存中,则在上述目标规则中确定目标代理DNS服务器,并转发与上述DNS请求报文对应的报文至上述目标代理DNS服务器,其中,上述目标代理DNS服务器为被代理的DNS服务器。
可选地,在程序运行时控制存储介质所在设备执行以下功能:依据上述规则匹配后的动作对应的配置内容,对满足上述目标规则的DNS请求报文进行如下至少之一的处理:放行、代理、阻塞。
可选地,在程序运行时控制存储介质所在设备执行以下功能:将至少一个目标代理DNS服务器配置为最高优先级的目标代理DNS服务器。
可选地,在程序运行时控制存储介质所在设备执行以下功能:检测网络安全系统是否已配置有最高优先级的目标代理DNS服务器;若检测结果为是,则确定上述最高优先级的目标代理DNS服务器为目标代理DNS服务器;若检测结果为否,则查询是否存在指定出接口的DNS服务器,并在存在上述指定出接口的DNS服务器的情况下,确定上述指定出接口的DNS服务器为上述目标代理DNS服务器。
实施例4
本申请实施例还提供了一种处理器。可选地,在本实施例中,上述处理器用于运行程序,其中,上述程序运行时执行上述任意一种域名解析系统的代理方法。
本申请实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:接收来自终端设备的域名解析系统DNS请求报文;确定上述DNS请求报文是否满足预先配置的目标规则;在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理,上述处理包括:DNS代理、放行、阻塞。
可选地,上述处理器执行程序时,还可以在上述DNS请求报文未满足上述目标规则的情况下,确定对上述DNS请求报文进行转发处理。
可选地,上述处理器执行程序时,还可以检测上述DNS请求报文的中携带的域名是否存在于上述网络安全系统中的静态缓存中,得到检测结果,其中,上述静态缓存中存储有至少一个域名及其对应的IP地址;若上述检测结果为上述DNS请求报文中携带的域名存在于上述静态缓存中,则反馈与上述DNS请求报文中携带的域名对应的IP地址至上述终端设备;若上述检测结果为上述DNS请求报文中携带的域名未存在于上述静态缓存中,则在上述目标规则中确定目标代理DNS服务器,并转发与上述DNS请求报文对应的报文至上述目标代理DNS服务器,其中,上述目标代理DNS服务器为被代理的DNS服务器。
可选地,上述处理器执行程序时,还可以依据上述规则匹配后的动作对应的配置内容,对满足上述目标规则的DNS请求报文进行如下至少之一的处理:放行、代理、阻塞。
可选地,上述处理器执行程序时,还可以将至少一个目标代理DNS服务器配置为最高优先级的目标代理DNS服务器。
可选地,上述处理器执行程序时,还可以检测网络安全系统是否已配置有最高优先级的目标代理DNS服务器;若检测结果为是,则确定上述最高优先级的目标代理DNS服务器为目标代理DNS服务器;若检测结果为否,则查询是否存在指定出接口的DNS服务器,并在存在上述指定出接口的DNS服务器的情况下,确定上述指定出接口的DNS服务器为上述目标代理DNS服务器。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:接收来自终端设备的域名解析系统DNS请求报文;确定上述DNS请求报文是否满足预先配置的目标规则;在上述DNS请求报文满足上述目标规则的情况下,确定对上述DNS请求报文进行相应的处理,上述处理包括:DNS代理、放行、阻塞。
可选地,上述计算机程序产品执行程序时,还可以在上述DNS请求报文未满足上述目标规则的情况下,确定对上述DNS请求报文进行转发处理。
可选地,上述计算机程序产品执行程序时,还可以检测上述DNS请求报文的中携带的域名是否存在于上述网络安全系统中的静态缓存中,得到检测结果,其中,上述静态缓存中存储有至少一个域名及其对应的IP地址;若上述检测结果为上述DNS请求报文中携带的域名存在于上述静态缓存中,则反馈与上述DNS请求报文中携带的域名对应的IP地址至上述终端设备;若上述检测结果为上述DNS请求报文中携带的域名未存在于上述静态缓存中,则在上述目标规则中确定目标代理DNS服务器,并转发与上述DNS请求报文对应的报文至上述目标代理DNS服务器,其中,上述目标代理DNS服务器为被代理的DNS服务器。
可选地,上述计算机程序产品执行程序时,还可以依据上述规则匹配后的动作对应的配置内容,对满足上述目标规则的DNS请求报文进行如下至少之一的处理:放行、代理、阻塞。
可选地,上述计算机程序产品执行程序时,还可以将至少一个目标代理DNS服务器配置为最高优先级的目标代理DNS服务器。
可选地,上述计算机程序产品执行程序时,还可以检测网络安全系统是否已配置有最高优先级的目标代理DNS服务器;若检测结果为是,则确定上述最高优先级的目标代理DNS服务器为目标代理DNS服务器;若检测结果为否,则查询是否存在指定出接口的DNS服务器,并在存在上述指定出接口的DNS服务器的情况下,确定上述指定出接口的DNS服务器为上述目标代理DNS服务器。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (21)
1.一种域名解析系统的代理方法,其特征在于,包括:
接收来自终端设备的域名解析系统DNS请求报文;
确定所述DNS请求报文是否满足预先配置的目标规则;
在所述DNS请求报文满足所述目标规则的情况下,确定对所述DNS请求报文进行相应的处理,所述处理包括:DNS代理、放行、阻塞。
2.根据权利要求1所述的域名解析系统的代理方法,其特征在于,在所述DNS请求报文未满足所述目标规则的情况下,确定对所述DNS请求报文进行转发处理。
3.根据权利要求1所述的域名解析系统的代理方法,其特征在于,在确定执行对所述DNS请求报文的DNS代理之后,所述方法还包括:
检测所述DNS请求报文的中携带的域名是否存在于网络安全系统中的静态缓存中,得到检测结果,其中,所述静态缓存中存储有至少一个域名及其对应的IP地址;
若所述检测结果为所述DNS请求报文中携带的域名存在于所述静态缓存中,则反馈与所述DNS请求报文中携带的域名对应的IP地址至所述终端设备;
若所述检测结果为所述DNS请求报文中携带的域名未存在于所述静态缓存中,则在所述目标规则中确定目标代理DNS服务器,并转发与所述DNS请求报文对应的报文至所述目标代理DNS服务器,其中,所述目标代理DNS服务器为被代理的DNS服务器。
4.根据权利要求3所述的域名解析系统的代理方法,其特征在于,若未在所述目标规则中确定所述目标代理DNS服务器,则丢弃所述DNS请求报文。
5.根据权利要求1所述的域名解析系统的代理方法,其特征在于,所述预先配置的目标规则包括以下至少之一规则项:网络安全系统的入接口、源地址、目的地址、域名、规则匹配后的动作和目标代理DNS服务器的地址。
6.根据权利要求5所述的域名解析系统的代理方法,其特征在于,所述DNS代理包括如下至少之一:DNS普通代理、DNS透明代理、DNS多出口代理、DNS代理黑名单和DNS代理白名单;其中,所述DNS普通代理的配置规则为当所述DNS请求报文的目的地址为所述网络安全系统的入接口的网络协议IP地址,对应的规则匹配后的动作为DNS代理,所述网络安全系统接收到所述DNS请求报文之外的其它DNS请求报文,对应的规则匹配后的动作为放行;所述DNS透明代理的配置规则为所述网络安全系统接收到的所有所述DNS请求报文,对应的规则匹配后的动作为DNS代理;所述DNS多出口代理的配置规则为所述网络安全系统接收到的所有所述DNS请求报文,对应的规则匹配后的动作为DNS代理,在所述目标规则中配置所述目标代理DNS服务器的地址,并绑定对应的出接口;所述DNS代理黑名单的配置规则为所述网络安全系统接收到的所述DNS请求报文配置域名组,则对应的规则匹配后的动作为阻塞,所述网络安全系统接收到所述DNS请求报文之外的其它DNS请求报文,对应的规则匹配后的动作为DNS代理;所述DNS代理白名单的配置规则为所述网络安全系统接收到的所述DNS请求报文配置域名组,则对应的规则匹配后的动作为DNS代理,所述网络安全系统接收到所述DNS请求报文之外的其它DNS请求报文,对应的规则匹配后的动作为阻塞。
7.根据权利要求5所述的域名解析系统的代理方法,其特征在于,所述入接口对应的配置内容为所述网络安全系统的接口,所述网络安全系统对输入所述入接口的DNS请求报文进行规则匹配,其中,所述入接口用于配置一个或多个接口。
8.根据权利要求5所述的域名解析系统的代理方法,其特征在于,所述源地址对应的配置内容为第一网络协议IP地址,所述网络安全系统将源地址为所述第一IP地址的DNS请求报文进行规则匹配,所述源地址用于配置至少一个或任意一个所述第一IP地址,当所述源地址配置任意一个所述第一IP地址时,所述网络安全系统将所有经过所述网络安全系统的DNS流量进行规则匹配。
9.根据权利要求5所述的域名解析系统的代理方法,其特征在于,所述目的地址对应的配置内容为第二网络协议IP地址,所述网络安全系统将目的地址为所述第二IP地址的DNS报文进行规则匹配,所述目的地址用于配置为至少一个或任意一个所述第二IP地址,当所述目的地址配置任意一个所述第二IP地址时,所述网络安全系统将所有经过所述网络安全系统的DNS流量进行规则匹配。
10.根据权利要求5所述的域名解析系统的代理方法,其特征在于,所述域名对应的配置内容为域名信息,所述网络安全系统将访问域名为所述域名信息的DNS请求报文进行规则匹配,其中,所述域名用于配置一个域名信息或一个域名组,所述域名组包括一组所述域名信息。
11.根据权利要求10所述的域名解析系统的代理方法,其特征在于,所述域名信息至少以哈希表的方式存储在网络安全系统中,在所述规则匹配的过程中,所述网络安全系统通过逐级匹配所述哈希表的方式,对所述域名信息进行规则匹配。
12.根据权利要求5所述的域名解析系统的代理方法,其特征在于,所述网络安全系统用于依据所述规则匹配后的动作对应的配置内容,对满足所述目标规则的DNS请求报文进行如下至少之一的处理:放行、代理、阻塞。
13.根据权利要求5所述的域名解析系统的代理方法,其特征在于,所述目标代理DNS服务器的地址对应的配置内容为所述目标代理DNS服务器的IP地址,网络安全系统用于将与所述IP地址对应的DNS服务器进行DNS代理,所述目标代理DNS服务器的地址至少用于配置一个或多个DNS服务器的IP地址。
14.根据权利要求5所述的域名解析系统的代理方法,其特征在于,所述目标代理DNS服务器的地址对应的配置内容为所述网络安全系统的出接口,所述网络安全系统用于通过所述出接口发送所述DNS请求报文至所述目标代理DNS服务器;其中,在已配置所述出接口的情况下,所述目标代理DNS服务器的地址对应的配置内容至少包括:所述出接口的权值,在未配置所述出接口的情况下,所述出接口的权值的默认值为1。
15.根据权利要求14所述的域名解析系统的代理方法,其特征在于,所述目标代理DNS服务器的地址对应的配置内容还包括:将至少一个目标代理DNS服务器配置为最高优先级的目标代理DNS服务器。
16.根据权利要求14所述的域名解析系统的代理方法,其特征在于,所述网络安全系统还用于对所述DNS代理服务器进行追踪探测,以确定所述目标代理DNS服务器是否处于可用状态。
17.根据权利要求3所述的域名解析系统的代理方法,其特征在于,通过以下方式在所述目标规则中确定目标代理DNS服务器:
检测网络安全系统是否已配置有最高优先级的目标代理DNS服务器;
若检测结果为是,则确定所述最高优先级的目标代理DNS服务器为目标代理DNS服务器;
若检测结果为否,则查询是否存在指定出接口的DNS服务器,并在存在所述指定出接口的DNS服务器的情况下,确定所述指定出接口的DNS服务器为所述目标代理DNS服务器。
18.根据权利要求17所述的域名解析系统的代理方法,其特征在于,在未存在所述指定出接口的DNS服务器的情况下,在多个代理DNS服务器之间进行轮询确定所述目标代理DNS服务器。
19.一种域名解析系统的代理装置,其特征在于,包括:
接收模块,用于接收来自终端设备的域名解析系统DNS请求报文;
第一确定模块,用于确定所述DNS请求报文是否满足预先配置的目标规则;
第二确定模块,用于在所述DNS请求报文满足所述目标规则的情况下,确定对所述DNS请求报文进行相应的处理,所述处理包括:DNS代理、放行、阻塞。
20.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行以下功能:接收来自终端设备的域名解析系统DNS请求报文;确定所述DNS请求报文是否满足预先配置的目标规则;在所述DNS请求报文满足所述目标规则的情况下,确定对所述DNS请求报文进行相应的处理,所述处理包括:DNS代理、放行、阻塞。
21.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行以下功能:接收来自终端设备的域名解析系统DNS请求报文;确定所述DNS请求报文是否满足预先配置的目标规则;在所述DNS请求报文满足所述目标规则的情况下,确定对所述DNS请求报文进行相应的处理,所述处理包括:DNS代理、放行、阻塞。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810350290.0A CN108848049A (zh) | 2018-04-18 | 2018-04-18 | 域名解析系统的代理方法及装置、存储介质和处理器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810350290.0A CN108848049A (zh) | 2018-04-18 | 2018-04-18 | 域名解析系统的代理方法及装置、存储介质和处理器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108848049A true CN108848049A (zh) | 2018-11-20 |
Family
ID=64212088
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810350290.0A Pending CN108848049A (zh) | 2018-04-18 | 2018-04-18 | 域名解析系统的代理方法及装置、存储介质和处理器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108848049A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109561172A (zh) * | 2019-01-29 | 2019-04-02 | 迈普通信技术股份有限公司 | 一种dns透明代理方法、装置、设备及存储介质 |
| CN110572377A (zh) * | 2019-08-22 | 2019-12-13 | 网宿科技股份有限公司 | 一种数据转发方法、插件和域名服务器 |
| CN112104744A (zh) * | 2020-03-30 | 2020-12-18 | 厦门网宿有限公司 | 流量代理方法、服务器及存储介质 |
| CN112714078A (zh) * | 2019-10-24 | 2021-04-27 | 中兴通讯股份有限公司 | 网络流量的识别方法、装置、存储介质及服务器 |
| WO2021120970A1 (zh) * | 2020-04-02 | 2021-06-24 | 聚好看科技股份有限公司 | 一种分布式本地dns系统及域名查询方法 |
| CN113691987A (zh) * | 2021-08-30 | 2021-11-23 | 杭州安恒信息技术股份有限公司 | 一种dns请求处理方法、装置及相关设备 |
| CN114124893A (zh) * | 2021-11-24 | 2022-03-01 | 广州方硅信息技术有限公司 | 域名缓存方法、装置、系统、存储介质以及计算机设备 |
| CN115001823A (zh) * | 2022-06-02 | 2022-09-02 | 江苏新质信息科技有限公司 | 基于逐流、逐包过滤的网络透明代理方法及装置 |
| CN115567605A (zh) * | 2022-09-23 | 2023-01-03 | 平安健康保险股份有限公司 | 数据中心用户请求处理方法、系统、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103220372A (zh) * | 2012-01-19 | 2013-07-24 | 中国移动通信集团公司 | 数据业务访问方法及系统 |
| CN103634315A (zh) * | 2013-11-29 | 2014-03-12 | 杜跃进 | 域名服务器的前端控制方法及系统 |
| CN103929507A (zh) * | 2014-04-28 | 2014-07-16 | 广东睿江科技有限公司 | 一种实现可离线化dns服务的方法及装置 |
-
2018
- 2018-04-18 CN CN201810350290.0A patent/CN108848049A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103220372A (zh) * | 2012-01-19 | 2013-07-24 | 中国移动通信集团公司 | 数据业务访问方法及系统 |
| CN103634315A (zh) * | 2013-11-29 | 2014-03-12 | 杜跃进 | 域名服务器的前端控制方法及系统 |
| CN103929507A (zh) * | 2014-04-28 | 2014-07-16 | 广东睿江科技有限公司 | 一种实现可离线化dns服务的方法及装置 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109561172B (zh) * | 2019-01-29 | 2022-02-25 | 迈普通信技术股份有限公司 | 一种dns透明代理方法、装置、设备及存储介质 |
| CN109561172A (zh) * | 2019-01-29 | 2019-04-02 | 迈普通信技术股份有限公司 | 一种dns透明代理方法、装置、设备及存储介质 |
| CN110572377B (zh) * | 2019-08-22 | 2022-02-22 | 网宿科技股份有限公司 | 一种数据转发方法、插件和域名服务器 |
| CN110572377A (zh) * | 2019-08-22 | 2019-12-13 | 网宿科技股份有限公司 | 一种数据转发方法、插件和域名服务器 |
| CN112714078A (zh) * | 2019-10-24 | 2021-04-27 | 中兴通讯股份有限公司 | 网络流量的识别方法、装置、存储介质及服务器 |
| CN112104744A (zh) * | 2020-03-30 | 2020-12-18 | 厦门网宿有限公司 | 流量代理方法、服务器及存储介质 |
| CN112104744B (zh) * | 2020-03-30 | 2022-09-09 | 厦门网宿有限公司 | 流量代理方法、服务器及存储介质 |
| WO2021120970A1 (zh) * | 2020-04-02 | 2021-06-24 | 聚好看科技股份有限公司 | 一种分布式本地dns系统及域名查询方法 |
| CN113691987A (zh) * | 2021-08-30 | 2021-11-23 | 杭州安恒信息技术股份有限公司 | 一种dns请求处理方法、装置及相关设备 |
| CN114124893A (zh) * | 2021-11-24 | 2022-03-01 | 广州方硅信息技术有限公司 | 域名缓存方法、装置、系统、存储介质以及计算机设备 |
| CN115001823A (zh) * | 2022-06-02 | 2022-09-02 | 江苏新质信息科技有限公司 | 基于逐流、逐包过滤的网络透明代理方法及装置 |
| CN115001823B (zh) * | 2022-06-02 | 2024-02-06 | 江苏新质信息科技有限公司 | 基于逐流、逐包过滤的网络透明代理方法及装置 |
| CN115567605A (zh) * | 2022-09-23 | 2023-01-03 | 平安健康保险股份有限公司 | 数据中心用户请求处理方法、系统、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108848049A (zh) | 域名解析系统的代理方法及装置、存储介质和处理器 | |
| US11811657B2 (en) | Updating routing information based on client location | |
| US11632420B2 (en) | Point of presence management in request routing | |
| US10523783B2 (en) | Request routing utilizing client location information | |
| US7457877B1 (en) | System and method for measuring round trip times in a network using a TCP packet | |
| US7904345B2 (en) | Providing website hosting overage protection by transference to an overflow server | |
| JP6105151B2 (ja) | ネットワーク・ノード機能にアクセスするためのクライアント・デバイスの第1ゲートウェイから第2ゲートウェイへのリダイレクト | |
| US9712422B2 (en) | Selection of service nodes for provision of services | |
| US9525659B1 (en) | Request routing utilizing point of presence load information | |
| US6260070B1 (en) | System and method for determining a preferred mirrored service in a network by evaluating a border gateway protocol | |
| US8468247B1 (en) | Point of presence management in request routing | |
| US11218437B2 (en) | Method for network traffic forwarding, request sending, and communication acceleration, forwarding server and node server | |
| CA2968964C (en) | Source ip address transparency systems and methods | |
| US20080243536A1 (en) | Providing website hosting overage protection by storage on an independent data server | |
| CN102195882B (zh) | 根据数据流应用类型选路的方法及装置 | |
| WO2017177437A1 (zh) | 一种域名解析方法、装置及系统 | |
| CN105991793B (zh) | 报文转发的方法和装置 | |
| CN105763666B (zh) | 管理服务器上的通信量过载 | |
| WO2003093975A1 (en) | Single servlets for b2b message routing | |
| CN109302390A (zh) | 一种漏洞检测方法和装置 | |
| US7657643B2 (en) | System and method for determining a preferred mirrored service in a network by evaluating a border gateway protocol | |
| CN110650222B (zh) | 一种网络访问方法及装置 | |
| US10958580B2 (en) | System and method of performing load balancing over an overlay network | |
| CN106685943A (zh) | 服务器soa服务接口暴露的控制方法、系统及服务器 | |
| US20240163689A1 (en) | Management orchestrator for a content-centric network in a 6g network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 215163 No. 181 Jingrun Road, Suzhou High-tech Zone, Suzhou City, Jiangsu Province Applicant after: SHANSHI NETWORK COMMUNICATION TECHNOLOGY CO., LTD. Address before: 215163 No. 181 Jingrun Road, Suzhou High-tech Zone, Suzhou City, Jiangsu Province Applicant before: HILLSTONE NETWORKS |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181120 |
|
| RJ01 | Rejection of invention patent application after publication |