一种网络访问的控制方法及相关装置

一种网络访问的控制方法及相关装置

　　技术领域

　　本申请涉及网络访问技术领域，特别涉及一种网络访问的控制方法、控制装置、设备以及计算机可读存储介质。

　　背景技术

　　随着信息技术的不断发展，为了提高网络中设备网络访问的安全性，需要对访问网络的数据流进行控制，以便提高访问网络的安全性。目前，进行网络访问的过程首先是向DNS(Domain Name System域名系统服务协议)服务器发送数据，以便通过DNS服务器获取到对应的IP(Internet Protocol网际互连协议)地址，然后再通过获取到的IP地址进行网络访问，例如，发送HTTP(HyperText Transfer Protocol超文本传输协议)请求。其中，DNS是一种分布式网络目录服务，主要用于域名与IP地址的相互转换，以及控制因特网的电子邮件的发送。

　　现有技术中，对网络访问的数据进行安全管控的方式一般是DNS数据流和IP数据流都经过防火墙设备后，才能对网络访问进行相应的管理和控制。但是，当用户的设备对应的DNS服务器在内网中，相应的DNS数据流不通过该防火墙设备。或者，该用户设备对应的DNS服务器在外网，但是对应的DNS数据流未经过该防火墙设备。此时，现有技术无法对对该过程进行相应的域名控制，也就无法保持网络访问的安全性，降低了防火墙设备的功能性，导致出现网络安全问题。

　　因此，如何在DNS数据流不经过设备的情况下对网络访问进行管控是本领域技术人员关注的重点问题。

　　发明内容

　　本申请的目的是提供一种网络访问的控制方法、控制装置、设备以及计算机可读存储介质，通过首先对转发包的网络地址进行判断再执行限制操作，然后再对解析出的域名执行限制操作，从而实现对仅有转发包的情况下进行网络访问控制，避免DNS数据流不经过网关设备导致的管控问题。

　　为解决上述技术问题，本申请提供一种网络访问的控制方法，包括：

　　判断接收到的转发包的网络地址是否为限制网络地址；

　　当该网络地址为限制网络地址的情况下，根据预设策略对所述转发包执行限制操作；

　　当该网络地址不为限制网络地址的情况下，对所述转发包执行协议解析操作，得到域名；

　　判断所述域名是否为限制域名；

　　当所述域名为限制域名的情况下，根据所述预设策略对所述转发包执行限制操作。

　　可选的，还包括：

　　根据所述域名向多个DNS服务器发送网络地址请求，以便所述多个DNS服务器返回多个网络地址；

　　根据所述多个网络地址对所述转发包执行所述判断接收到的转发包的网络地址是否为限制网络地址至所述根据所述预设策略对所述转发包执行限制操作之间的所有步骤。

　　可选的，还包括：

　　当接收到本机数据包的情况下，判断所述本机数据包是否为网络地址请求回包；

　　当所述本机数据包为所述网络地址请求回包的情况下，判断所述网络地址请求回包对应的域名是否为限制域名；

　　当所述网络地址请求回包对应的域名为限制域名的情况下，将所述网络地址请求回包中的网络地址记录为限制网络地址。

　　可选的，当该网络地址不为限制网络地址的情况下，对所述转发包执行协议解析操作，得到域名，包括：

　　当该网络地址不为限制网络地址的情况下，根据流式协议对所述转发包执行协议解析操作，得到所述域名。

　　可选的，所述转发包为加密转发包；

　　相应的，当该网络地址不为限制网络地址的情况下，对所述转发包执行协议解析操作，得到域名，包括：

　　当该网络地址不为限制网络地址的情况下，对所述加密转发包进行解密，得到解密转发包；

　　根据超文本传输协议对所述解密转发包执行协议解析操作，得到所述域名。

　　可选的，当该网络地址不为限制网络地址的情况下，对所述转发包执行协议解析操作，得到域名，包括：

　　当该网络地址不为限制网络地址的情况下，对所述转发包中的网页标签进行域名解析，得到多个域名。

　　可选的，还包括：

　　根据所述多个域名发送网络地址请求，以便DNS服务器返回多个网络地址；

　　根据所述多个网络地址对所述转发包执行所述判断接收到的转发包的网络地址是否为限制网络地址至所述根据所述预设策略对所述转发包执行限制操作之间的所有步骤。

　　本申请还提供一种网络访问的控制装置，包括：

　　网络地址判断模块，用于判断接收到的转发包的网络地址是否为限制网络地址；

　　第一访问限制模块，用于当该网络地址为限制网络地址的情况下，根据预设策略对所述转发包执行限制操作；

　　域名信息解析模块，用于当该网络地址不为限制网络地址的情况下，对所述转发包执行协议解析操作，得到域名；

　　域名判断模块，用于判断所述域名是否为限制域名；

　　第二访问限制模块，用于当所述域名为限制域名的情况下，根据所述预设策略对所述转发包执行限制操作。

　　本申请还提供一种设备，包括：

　　存储器，用于存储计算机程序；

　　处理器，用于执行所述计算机程序的情况下实现如上所述的控制方法的步骤。

　　本申请还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行的情况下实现如上所述的控制方法的步骤。

　　本申请所提供的一种网络访问的控制方法，包括：判断接收到的转发包的网络地址是否为限制网络地址；当该网络地址为限制网络地址的情况下，根据预设策略对所述转发包执行限制操作；当该网络地址不为限制网络地址的情况下，对所述转发包执行协议解析操作，得到域名；判断所述域名是否为限制域名；当所述域名为限制域名的情况下，根据所述预设策略对所述转发包执行限制操作。

　　首先判断接收到的转发包的网络地址是否为限制网络地址，若是则对该转发包执行网络限制操作，若否，则继续判断解析出的域名是否为限制域名，当该域名为限制域名时，即可对该转发包进行限制操作，实现了通过网络地址和域名两个层面对转发包的网络访问执行对应的限制操作，实现了在不接收DNS数据流的情况下进行网络访问控制，解决了DNS数据流不经过网关设备无法进行网络控制的问题，提高了多种情况下的网络数据流管控效果，保持了网络安全性。

　　本申请还提供一种网络访问的控制装置、设备以及计算机可读存储介质，具有以上有益效果，在此不做赘述。

　　附图说明

　　为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

　　图1为本申请实施例所提供的一种网络访问的控制方法的流程图；

　　图2为本申请实施例所提供的另一种网络访问的控制方法的流程图；

　　图3为本申请实施例所提供的一种网络访问的控制方法的限制地址记录过程的流程图；

　　图4为本申请实施例所提供的一种网络访问的控制装置的结构示意图。

　　具体实施方式

　　本申请的核心是提供一种网络访问的控制方法、控制装置、设备以及计算机可读存储介质，通过首先对转发包的网络地址进行判断再执行限制操作，然后再对解析出的域名执行限制操作，从而实现对仅有转发包的情况下进行网络访问控制，避免DNS数据流不经过网关设备导致的管控问题。

　　为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

　　现有技术中，对网络访问的数据进行安全管控的方式一般是DNS数据流和IP数据流都经过防火墙设备后，才能对网络访问进行相应的管理和控制。但是，当用户的设备对应的DNS服务器在内网中，相应的DNS数据流不通过该防火墙设备。或者，该用户设备对应的DNS服务器在外网，但是对应的DNS数据流未经过该防火墙设备。此时，现有技术无法对对该过程进行相应的域名控制，也就无法保持网络访问的安全性，降低了防火墙设备的功能性，导致出现网络安全问题。

　　因此，本申请提供一种网络访问的控制方法，首先判断接收到的转发包的网络地址是否为限制网络地址，若是则对该转发包执行网络限制操作，若否，则继续判断解析出的域名是否为限制域名，当该域名为限制域名时，即可对该转发包进行限制操作，实现了通过网络地址和域名两个层面对转发包的网络访问执行对应的限制操作，实现了在不接收DNS数据流的情况下进行网络访问控制，解决了DNS数据流不经过网关设备无法进行网络控制的问题，提高了多种情况下的网络数据流管控效果，保持了网络安全性。

　　以下通过一个实施例，对本申请提供的一种网络访问的控制方法进行说明。

　　请参考图1，图1为本申请实施例所提供的一种网络访问的控制方法的流程图。

　　本实施例中，该方法可以包括：

　　S101，判断接收到的转发包的网络地址是否为限制网络地址；若是，则执行S102；若否，则执行S103；

　　本步骤旨在判断接收到的转发包的网络地址是否为限制网络地址，也就是在网络地址这个层面对该转发包执行访问过滤。

　　由于目前对网络访问的控制一般是在接收到DNS数据包的基础上，通过DNS数据包中的数据信息对对应的网络进行控制，以便达到流量控制的目的。而在具体的使用场景中，还存在DNS数据包不经过安全设备的情况。通过现有的控制方法就无法执行相应的控制操作。

　　因此，本实施例中首先对获取到的数据包进行判断，判断是否为本机数据包。也就是判断是否为通过本设备的其他设备请求的数据包，一般来说此类数据包由本设备进行安全控制，此外还有可能是本设备请求的数据包。当判定为转发包的情况下，也就是判定为其他设备请求的数据包的情况下，判断该转发包的网络地址是否为限制网络地址，即通过网络地址进行相应的判断操作，以便对该转发包的网络访问进行控制操作。

　　其中，网络地址即为IP地址，是TCP/IP体系中的网络层协议。在网络数据请求的过程中，客户端先向DNS服务器发送DNS数据包，以便获取到对应的IP地址，然后该客户端再通过该IP地址发送数据包。因此，在本实施例的安全设备或网关设备中接收到的转发包就包含有网络地址。在此基础上，就可以提取出该转发包的网络地址，然后判断该网络地址是否为限制网络地址。

　　其中，限制网络地址是指受到网络访问限制的网络地址，相当于网络地址的黑名单。通常来说本步骤的判断操作室通过限制网络地址的集合进行判断，判断转发包的网络地址是否与限制网络地址的集合匹配。该限制网络地址的集合可以通过技术人员的经验进行设备，也可以通过网关设备或安全设备根据危险访问库的数据进行确定，还可以是以上两种方式的结合。

　　S102，当该网络地址为限制网络地址的情况下，根据预设策略对转发包执行限制操作；

　　在S101的基础上，本步骤旨在当该网络地址为限制网络地址的情况下，根据预设策略对转发包执行限制操作，也就是对此的情况下的网络访问操作进行控制。

　　其中，限制操作是指对网络访问进行控制的操作。包括但不限于网络数据拦截、网络数据带宽控制以及网络数据访问检查。可见，以上操作无论如何均会对此的情况下的网络访问操作进行限制，以便将该网络访问保持在可控状态下，提高网络访问的安全性和可靠性。

　　其中，预设策略限定了对网络访问执行的方式。可以是根据的情况下间执行限制操作，也可以是根据设备当前限定的安全等级执行限制操作，还可以是根据应用情况执行限制操作。

　　S103，当该网络地址不为限制网络地址的情况下，对转发包执行协议解析操作，得到域名；

　　在S101的基础上，本步骤旨在当该网络地址不为限制网络地址的情况下，对转发包执行协议解析操作，得到域名。也就是在判断网络地址通过的情况下，执行协议解析操作，以便通过域名再判断是否执行限制操作。

　　其中，本步骤中执行的协议解析操作可以采用现有技术提供的任意一种协议解析操作。也可以参考以下可选方案中提供的协议解析操作。

　　可选的，本步骤可以包括：

　　当该网络地址不为限制网络地址的情况下，根据流式协议对转发包执行协议解析操作，得到域名。

　　可见，本可选方案中主要是对如何执行协议解析操作进行说明。具体的，本可选方案中主要是根据流式协议对该转发包执行对应的协议解析操作，得到域名。其中，采用的流式协议执行解析提高了协议解析的效率以及解析的数量。当安全设备或网关设备接收到大量转发包的情况下，保持转发包的解析速度，避免出现拥堵的情况。

　　可选的，转发包为加密转发包；本步骤可以包括：

　　当该网络地址不为限制网络地址的情况下，对加密转发包进行解密，得到解密转发包；根据超文本传输协议对解密转发包执行协议解析操作，得到域名。

　　可见，本可选方案中主要是当转发包为解密转发包的情况下，对该加密转发包执行的解析操作进行说明。具体的，当该网络地址不为限制网络地址的情况下，首先对加密转发包进行解密，得到解密转发包；可以是以https代理解密后得到http；然后，根据超文本传输协议对解密转发包执行协议解析操作，得到域名。也就是，当转发包为加密转发包的情况下，首先进行解密操作然后在解析出对应的域名。

　　可选的，本步骤可以包括：

　　当该网络地址不为限制网络地址的情况下，对转发包中的网页标签进行域名解析，得到多个域名。

　　可见，本可选方案中通过转发包中的网页标签解析出对应的域名。由于在网页中存在各种各样的可以点击的链接，每个链接中就包含了一个对应的域名。一般来说，网页中的链接标签的域名与该网站的域名相关，或成域名与子域名的关系。因此，对转发包中的网页标签进行解析就可以获取到多个域名，然后再采用该域名执行对应的访问控制操作。

　　此外，上一可选方案的基础上，还可以包括：

　　根据多个域名发送网络地址请求，以便DNS服务器返回多个网络地址；根据多个网络地址对转发包执行访问控制操作。

　　可见，本可选方案中还可以向多个域名发送对应的网络地址请求，以便返回多个网络地址，再根据该网络地址执行访问控制操作。其中，该网络访问操作可以是本实施例中的S101至S105，通过该网络访问操作进一步对网络访问进行控制。其中，访问控制操作是指本实施例中所述判断接收到的转发包的网络地址是否为限制网络地址至所述根据所述预设策略对所述转发包执行限制操作之间的所有步骤。

　　具体的，主要是由于存在别名域名，即多个域名可能指向同一个服务器的网络地址。那么如果该域名没有被记录为限制域名的情况下，就可以通过本可选方案获取到这些域名对应的网络地址，然后再根据获取到的网络地址执行访问控制操作。

　　S104，判断域名是否为限制域名；若是，则执行S105；

　　在S103的基础上，本步骤旨在判断获取到的域名是否为限制域名。

　　其中，限制域名是指受到网络访问限制的域名，相当于域名的黑名单。通常来说本步骤的判断操作是通过限制域名的集合进行判断，判断转发包的域名是否与限制域名的集合匹配。该限制域名的集合可以通过技术人员的需求进行配置，也可以通过网关设备或安全设备根据危险访问库的数据进行确定，还可以是以上两种方式的结合。

　　S105，当域名为限制域名的情况下，根据预设策略对转发包执行限制操作。

　　在S104的基础上，当该域名为限制域名的情况下，则根据预设策略对该转发包执行限制操作。具体的，可以是当所述域名为限制域名的情况下，对所述转发包执行拒绝操作。

　　本步骤中根据预设策略对转发包执行限制操作与S102的执行方式大体相同，具体可以参考S102的说明，在此不做赘述。

　　综上，本实施例首先判断接收到的转发包的网络地址是否为限制网络地址，若是则对该转发包执行网络限制操作，若否，则继续判断解析出的域名是否为限制域名，当该域名为限制域名的情况下，即可对该转发包进行限制操作，实现了通过网络地址和域名两个层面对转发包的网络访问执行对应的限制操作，实现了在不接收DNS数据流的情况下进行网络访问控制，解决了DNS数据流不经过网关设备无法进行网络控制的问题，提高了多种情况下的网络数据流管控效果，保持了网络安全性。

　　以下通过另一个实施例，对本申请提供的一种网络访问的控制方法进行说明。

　　请参考图2，图2为本申请实施例所提供的另一种网络访问的控制方法的流程图。

　　本实施例中，该方法可以包括：

　　S201，判断接收到的转发包的网络地址是否为限制网络地址；

　　S202，当该网络地址为限制网络地址的情况下，根据预设策略对转发包执行限制操作；

　　S203，当该网络地址不为限制网络地址的情况下，对转发包执行协议解析操作，得到域名；

　　S204，判断域名是否为限制域名；

　　S205，当域名为限制域名的情况下，根据预设策略对转发包执行限制操作。

　　S206，根据域名向多个DNS服务器发送网络地址请求，以便多个DNS服务器返回多个网络地址；

　　S207，根据多个网络地址对转发包执行访问控制操作。

　　可见，在本实施例中，主要是通过S206和S207对在获取到域名的情况下提供另一种根据域名进行网络访问的控制操作。其中，访问控制操作与本实施例中的S201与S205说明的步骤大体相同，具体的可以参考本实施例或上一实施例，在此不做赘述。

　　需要说明的是，图2中所示的S206与S207执行的的情况下间仅仅是所示的一种情况。S206与S207还可以在获取到域名的情况下执行，也可以在S204之后执行，还可以在当判定该域名不为限制域名后执行。

　　具体的，主要是由于存在一个域名在不同的DNS服务器中对应了不同的网络地址，也就是在不同的DNS服务商下针对该域名存在不同的线路。不同的线路之间可能指向同一个网络地址，也可能指向不同的网络地址。通过S206和S207就可以获取该域名对应的所有网络地址，以便对该域名进行全面的访问控制操作。

　　再次进行说明的是，本实施例中对S206与S207执行的情况下刻并不做限定。可以是当执行协议解析操作得到域名后，就可以并行得执行S206与S207，以便保持对该域名进行更全面的访问控制操作。也可以是，当判断该域名是否为限制域名的情况下，执行S206与S207，无论判断结果如何都根据返回的多个网络地址。还可以是，当判定该域名为限制域名或判定该域名不为限制域名后，执行S206与S207，提高域名控制的准确性。

　　其中，访问控制操作是指上述实施例中所述判断接收到的转发包的网络地址是否为限制网络地址至所述根据所述预设策略对所述转发包执行限制操作之间的所有步骤。

　　可见，本实施例中通过域名向多个DNS服务器发送网络地址请求，获取到多个DNS服务器返回的多个网络地址，根据多个网络地址对转发包执行访问控制操作，保持了获取到全面的网络地址，提高了网络访问控制的有效程度。

　　以下通过另一个实施例，对本申请提供的一种网络访问的控制方法进行说明。

　　请参考图3，图3为本申请实施例所提供的一种网络访问的控制方法的限制地址记录过程的流程图。

　　本实施例中，该方法可以包括：

　　S301，当接收到本机数据包的情况下，判断本机数据包是否为网络地址请求回包；

　　S302，当本机数据包为网络地址请求回包的情况下，判断网络地址请求回包对应的域名是否为限制域名；

　　S303，当网络地址请求回包对应的域名为限制域名的情况下，将网络地址请求回包中的网络地址记录为限制网络地址。

　　本实施例中，主要是对设备当接收到本机数据包的情况下的操作进行说明。该设备接收到的本机数据包，即为该设备向外界服务器进行请求的数据包，包括网络地址请求回包。该网络地址请求回包中包含了该设备请求的域名对应的网络地址。因此，首先判断该本机数据包是否为网络地址请求回包。然后，当该本机数据包为网络地址请求回包的情况下，就可以判定是否需要进行记录，也就是判断该网络地址请求回包对应的域名是否为限制域名。若是，则可以将该对应的网络地址记录为限制网络地址。

　　上述实施例中，均包括了设备向DNS服务器请求网络地址请求回包的操作。当设备接收到服务器发送的结果的情况下，即可通过本实施例中将对应的网络地址记录为限制网络地址，以便对限制网络地址进行更新，保持网络访问的控制操作的实的情况下性和有效性。

　　下面对本申请实施例提供的一种网络访问的控制装置进行介绍，下文描述的一种网络访问的控制装置与上文描述的一种网络访问的控制方法可相互对应参照。

　　请参考图4，图4为本申请实施例所提供的一种网络访问的控制装置的结构示意图。

　　本实施例中，该装置可以包括：

　　网络地址判断模块100，用于判断接收到的转发包的网络地址是否为限制网络地址；

　　第一访问限制模块200，用于当该网络地址为限制网络地址的情况下，根据预设策略对转发包执行限制操作；

　　域名信息解析模块300，用于当该网络地址不为限制网络地址的情况下，对转发包执行协议解析操作，得到域名；

　　域名判断模块400，用于判断域名是否为限制域名；

　　第二访问限制模块500，用于当域名为限制域名的情况下，根据预设策略对转发包执行限制操作。

　　本申请实施例还提供一种设备，包括：

　　存储器，用于存储计算机程序；

　　处理器，用于执行所述计算机程序时实现如以上实施例所述的控制方法的步骤。

　　本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如以上实施例所述的控制方法的步骤。

　　说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

　　专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

　　结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

　　以上对本申请所提供的一种网络访问的控制方法、控制装置、设备以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。