域名系统DNS访问控制方法、装置、设备和存储介质与流程

域名系统dns访问控制方法、装置、设备和存储介质
技术领域
1.本发明涉及计算机技术领域，尤其涉及一种域名系统dns访问控制方法、装置、设备和存储介质。


背景技术：

2.随着宽带技术的发展，上网(访问域名)已经成为人们必不可少的日常行为之一。但是基于各种原因，网络管理者很多情况下需要限制上网用户的上网行为，例如禁止访问或者只允许访问一些特定的域名。
3.传统的解决方案是安装部署软硬件网络防火墙，配置域名访问规则，通常是对不同的域名对应的ip地址实施防护，而要对具有公共部分的不同域名的访问进行防护，需要逐一配置相应的ip地址防护规则，操作繁琐。


技术实现要素：

4.本发明实施例提供一种域名系统dns访问控制方法、装置、设备和存储介质，以解决的技术问题。
5.具体地，本发明实施例提供了以下技术方案：
6.第一方面，本发明实施例提供了一种域名系统dns访问控制方法，包括：
7.获取访问请求；所述访问请求包括：dns域名；
8.将所述访问请求中的dns域名与预设的至少一个通配域名进行匹配，得到与所述dns域名匹配的通配域名，并将与所述dns域名匹配的通配域名对应的ip地址作为所述dns域名对应的ip地址；
9.根据所述ip地址和防火墙规则对所述访问请求进行处理。
10.可选地，所述根据所述ip地址和防火墙规则对所述访问请求进行处理，包括：
11.根据所述防火墙规则，确定所述ip地址是否为白名单地址；
12.若确定所述ip地址为白名单地址，则对所述访问请求进行放行处理；
13.若确定所述ip地址不为白名单地址，则对所述访问请求进行拦截处理。
14.可选地，所述方法还包括：
15.从dns服务器获取所述dns域名对应的ip地址；
16.将所述dns域名对应的ip地址更新至所述防火墙规则中。
17.可选地，所述将所述dns域名对应的ip地址更新至所述防火墙规则中，包括：
18.将所述dns域名与所述防火墙规则中的通配域名进行匹配，得到与所述dns域名匹配的通配域名，并将与所述dns域名匹配的通配域名对应的ip地址更新为所述dns域名对应的ip地址。
19.可选地，应用于电子设备，所述电子设备包括驱动层模块、应用层模块和防火墙模块；
20.所述将所述访问请求中的dns域名与预设的至少一个通配域名进行匹配，得到与
所述dns域名匹配的通配域名，包括：
21.所述驱动层模块将所述访问请求发送至所述应用层模块；
22.所述应用层模块将所述访问请求中的dns域名与预设的至少一个通配域名进行匹配，得到与所述dns域名匹配的通配域名；
23.所述得到所述通配域名对应的ip地址之后，还包括：
24.所述应用层模块将所述通配域名对应的ip地址发送至所述防火墙模块；
25.根据所述ip地址和防火墙规则对所述访问请求进行处理，包括：
26.所述防火墙模块根据所述ip地址和防火墙规则对所述访问请求进行处理。
27.可选地，所述从dns服务器获取所述dns域名对应的ip地址，包括：
28.基于预设周期从dns服务器获取所述dns域名对应的ip地址；或，
29.在所述dns域名和/或所述dns域名对应的ip地址发生变化的情况下，从dns服务器获取所述dns域名对应的ip地址。
30.可选地，应用于电子设备，所述电子设备包括驱动层模块、应用层模块和防火墙模块；
31.所述从dns服务器获取所述dns域名对应的ip地址，包括：
32.所述驱动层模块从dns服务器获取所述dns域名对应的ip地址；
33.所述驱动层模块从dns服务器获取所述dns域名对应的ip地址之后，还包括：所述驱动层模块将所述dns域名对应的ip地址发送至所述应用层模块；
34.所述将所述dns域名对应的ip地址更新至所述防火墙规则中，包括：
35.所述应用层模块将所述dns域名对应的ip地址更新至所述防火墙模块的防火墙规则中。
36.第二方面，本发明实施例提供了一种域名系统dns访问控制装置，包括：
37.获取模块，用于获取访问请求；所述访问请求包括：dns域名；
38.处理模块，用于将所述访问请求中的dns域名与预设的至少一个通配域名进行匹配，得到与所述dns域名匹配的通配域名，并将与所述dns域名匹配的通配域名对应的ip地址作为所述dns域名对应的ip地址；
39.所述处理模块，还用于根据所述ip地址和防火墙规则对所述访问请求进行处理。
40.第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述域名系统dns访问控制方法的步骤。
41.第四方面，本发明实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面所述域名系统dns访问控制方法的步骤。
42.第五方面，本发明实施例还提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如第一方面所述域名系统dns访问控制方法的步骤。
43.本发明实施例提供的域名系统dns访问控制方法、装置、设备和存储介质，通过预先获取至少一个通配域名以及各个所述通配域名对应的ip地址，并将访问请求中的dns域名与至少一个通配域名进行匹配，得到与dns域名匹配的通配域名，并将该通配域名对应的ip地址作为dns域名对应的ip地址；进一步，根据ip地址和防火墙规则对访问请求进行处
理，从而使得dns域名无需精确匹配，即可实现防火墙的dns访问控制，操作简便，灵活性较大。
附图说明
44.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
45.图1是本发明实施例提供的域名系统dns访问控制方法的流程示意图之一；
46.图2是本发明实施例提供的域名系统dns访问控制方法的实现原理图之一；
47.图3是本发明实施例提供的域名系统dns访问控制方法的实现原理图之二；
48.图4是本发明提供的域名系统dns访问控制装置的结构示意图；
49.图5是本发明提供的电子设备的结构示意图。
具体实施方式
50.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
51.首先对本发明实施例中涉及的相关概念进行介绍：
52.域名系统(domain name system，dns)，用于命名组织到域层次结构中的计算机和网络服务。dns命名用于internet等tcp/ip网络中，通过用户友好的域名查找计算机和服务。域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的ip地址，在因特网(internet)上域名与ip地址之间是一一对应的。dns域名解析协议，实现域名(例如www.baibaidu.com)到ip地址(211.91.76.24)地址的转换。
53.通配:通配是一种特殊语句，主要有星号(*)和问号(？)，用来模糊搜索。当查找时，可以使用它来代替一个或多个真正字符；当不知道真正字符或者可匹配的名称太多时，常常使用通配代替一个或多个真正的字符。
54.本发明实施例的方法应用于网络安全防护场景中，例如防火墙对用户的访问控制。
55.本发明实施例的方法，可以适用于windows、linux或安卓等系统，本发明实施例对此并不限定。
56.下面结合图1-图5以具体的实施例对本发明实施例的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。
57.图1是本发明实施例提供的域名系统dns访问控制方法的流程示意图之一。如图1所示，本实施例提供的方法，包括：
58.步骤101、获取访问请求；访问请求包括：dns域名；
59.具体的，例如用户通过浏览器发起访问请求，该访问请求包括dns域名，例如
www.balala.com。
60.步骤102、将访问请求中的dns域名与预设的至少一个通配域名进行匹配，得到与dns域名匹配的通配域名，并将与dns域名匹配的通配域名对应的ip地址作为dns域名对应的ip地址；
61.具体的，可以预先存储一个或多个通配域名以及各个通配域名对应的ip地址；将当前访问请求的dns域名与通配域名进行匹配，例如与dns域名匹配的通配域名为*.balala.com。将该通配域名对应的ip地址作为该dns域名对应的ip地址，通配域名对应的ip地址可以是一个或多个。
62.可选地，若没有与该dns域名匹配的通配域名，则可以对该访问请求进行放行。
63.步骤103、根据ip地址和防火墙规则对访问请求进行处理。
64.具体的，防火墙规则例如包括不同的ip地址的处理规则，例如哪些ip地址可以放行，哪些ip地址需要拦截等。防火墙规则例如可以通过白名单或黑名单的方式实现，白名单中存储可以放行的ip地址，黑名单中存储需要拦截的ip地址。
65.将通配域名对应的ip地址利用防火墙规则进行判定，是否进行拦截处理，若不需要拦截处理，则对该访问请求进行放行，若需要拦截处理，则对该访问请求进行拦截处理，进一步还可以对访问请求的信息进行上报。
66.本实施例的方法，通过预先获取一个或多个通配域名以及各个所述通配域名对应的ip地址，并将访问请求中的dns域名与一个或多个通配域名进行匹配，得到与dns域名匹配的通配域名，并将该通配域名对应的ip地址作为dns域名对应的ip地址；进一步，根据ip地址和防火墙规则对访问请求进行处理，从而使得dns域名无需精确匹配，即可实现防火墙的dns访问控制，操作简便，灵活性较大。
67.可选地，步骤103可以通过如下方式实现：
68.根据防火墙规则，确定ip地址是否为白名单地址；
69.若确定ip地址为白名单地址，则对访问请求进行放行处理；
70.若确定ip地址不为白名单地址，则对访问请求进行拦截处理。
71.具体的，防火墙规则例如包括不同的ip地址的处理规则，例如哪些ip地址可以放行，哪些ip地址需要拦截等。根据防火墙规则，确定该ip地址是否需要拦截，若是则对该访问请求拦截处理，若否则对该访问请求进行放行。
72.可选地，如图2所示，该方法可以应用于电子设备，电子设备包括驱动层模块、应用层模块和防火墙模块；
73.步骤102可以通过如下方式实现：
74.驱动层模块将访问请求发送至应用层模块；
75.应用层模块将访问请求中的dns域名与多个通配域名进行匹配，得到通配域名对应的ip地址；
76.应用层模块将所述通配域名对应的ip地址发送至所述防火墙模块；
77.步骤103可以通过如下方式实现：
78.防火墙模块根据ip地址和防火墙规则对访问请求进行处理。
79.具体的，驱动层模块对访问请求进行拦截，并将访问请求的请求数据包，发给应用层模块，应用层模块解析请求数据包，解析出要查询的dns域名，应用层模块将dns域名与多
个通配域名进行匹配，得到通配域名对应的ip地址；防火墙模块利用防火墙规则对通配域名对应的ip地址进行判定，根据判定结果对访问请求进行处理，即是否需要进行拦截。
80.图2中的应用程序例如为浏览器等应用程序。
81.上述实施方式中，应用层模块可以预先获取并存储多个通配域名以及各个所述通配域名对应的ip地址，应用层模块将访问请求中的dns域名与多个通配域名进行匹配，得到通配域名对应的ip地址；进一步，防火墙模型根据ip地址和防火墙规则对访问请求进行处理，从而使得dns域名无需精确匹配，即可实现防火墙的dns访问控制，操作简便，灵活性较大。
82.可选地，该方法还包括：
83.从dns服务器获取dns域名对应的ip地址；
84.将dns域名对应的ip地址更新至防火墙规则中。
85.具体的，在实际应用中，随着时间的推移，dns域名以及对应的ip地址可能会发生变化，因此为了提高安全性，需要对防火墙规则进行更新。
86.在接收到访问请求后，基于访问请求中包括的dns域名向dns服务器发起查询请求，以获取该dns域名对应的ip地址；将该dns域名对应的ip地址更新至防火墙规则中。
87.可选地，上述“从dns服务器获取dns域名对应的ip地址”可以通过如下几种方式实现：
88.基于预设周期从dns服务器获取dns域名对应的ip地址；或，
89.在dns域名和/或dns域名对应的ip地址发生变化的情况下，从dns服务器获取dns域名对应的ip地址。
90.具体的，可以按照预设周期获取dns域名对应的ip地址，例如在接收到访问请求，确定上一次基于该访问请求包括的dns域名发起的ip地址的查询请求的时刻，当前时刻与上一次的时刻之间的时间间隔是否大于或等于预设周期，若是，则向dns服务器发起查询请求，获取该dns域名对应的ip地址。
91.或，可以在dns域名和/或dns域名对应的ip地址发生变化的情况下，向dns服务器发起查询请求，获取该dns域名对应的ip地址。例如可以在dns域名和/或dns域名对应的ip地址发生变化时通知该电子设备，或者，该电子设备检测dns域名和/或dns域名对应的ip地址是否与之前存储的dns域名和/或dns域名对应的ip地址相同。
92.上述实施方式中，通过对防火墙规则进行更新，提高了访问控制的安全性。
93.可选地，将dns域名对应的ip地址更新至防火墙规则中，包括：
94.将dns域名与防火墙规则中的通配域名进行匹配，得到与dns域名匹配的通配域名，并将与dns域名匹配的通配域名对应的ip地址更新为dns域名对应的ip地址。
95.具体的，防火墙规则中可以是按照通配域名对应的ip地址进行防护，因此可以通过获取到的dns域名对应的ip地址更新与该dns域名匹配的通配域名对应的ip地址。
96.可选地，如图3所示，驱动层模块从dns服务器获取所述dns域名对应的ip地址；
97.所述驱动层模块将所述dns域名对应的ip地址发送至所述应用层模块；
98.所述应用层模块将所述dns域名对应的ip地址更新至所述防火墙模块的防火墙规则中。
99.具体的，如图3所示，驱动层模块可以对携载dns协议的udp数据包进行内容提取，
驱动层模块将dns协议数据包(例如响应数据包)上抛至应用层模块。应用层模块获取dns协议数据包进行dns解包，提取dns数据包里的ip地址，对防火墙规则进行更新。
100.上述实施方式中，防火墙规则为基于通配域名对应的ip地址设置的，操作简便，效率较高。
101.下面对本发明提供的域名系统dns访问控制装置进行描述，下文描述的域名系统dns访问控制装置与上文描述的域名系统dns访问控制方法可相互对应参照。
102.图4是本发明提供的域名系统dns访问控制装置的结构示意图。如图4所示，本实施例提供的域名系统dns访问控制装置，包括：
103.获取模块210，用于获取访问请求；所述访问请求包括：dns域名；
104.处理模块220，用于将所述访问请求中的dns域名与预设的至少一个通配域名进行匹配，得到与所述dns域名匹配的通配域名，并将与所述dns域名匹配的通配域名对应的ip地址作为所述dns域名对应的ip地址；
105.所述处理模块220，还用于根据所述ip地址和防火墙规则对所述访问请求进行处理。
106.可选地，所述处理模块220，具体用于：
107.根据所述防火墙规则，确定所述ip地址是否为白名单地址；
108.若确定所述ip地址为白名单地址，则对所述访问请求进行放行处理；
109.若确定所述ip地址不为白名单地址，则对所述访问请求进行拦截处理。
110.可选地，所述处理模块220，还用于：
111.从dns服务器获取所述dns域名对应的ip地址；
112.将所述dns域名对应的ip地址更新至所述防火墙规则中。
113.可选地，所述处理模块220，具体用于：
114.将所述dns域名与所述防火墙规则中的通配域名进行匹配，得到与所述dns域名匹配的通配域名，并将与所述dns域名匹配的通配域名对应的ip地址更新为所述dns域名对应的ip地址。
115.可选地，应用于电子设备，所述电子设备包括驱动层模块、应用层模块和防火墙模块；
116.所述处理模块220，具体用于：
117.通过所述驱动层模块将所述访问请求发送至所述应用层模块；
118.通过所述应用层模块将所述访问请求中的dns域名与预设的至少一个通配域名进行匹配，得到与所述dns域名匹配的通配域名；
119.通过所述应用层模块将所述dns域名对应的ip地址发送至所述防火墙模块；
120.通过所述防火墙模块根据所述ip地址和防火墙规则对所述访问请求进行处理。
121.可选地，所述处理模块220，具体用于：
122.基于预设周期从dns服务器获取所述dns域名对应的ip地址；或，
123.在所述dns域名和/或所述dns域名对应的ip地址发生变化的情况下，从dns服务器获取所述dns域名对应的ip地址。
124.可选地，应用于电子设备，所述电子设备包括驱动层模块、应用层模块和防火墙模块；
125.所述处理模块220，具体用于：
126.通过所述驱动层模块从dns服务器获取所述dns域名对应的ip地址；
127.通过所述驱动层模块将所述dns域名对应的ip地址发送至所述应用层模块；
128.通过所述应用层模块将所述dns域名对应的ip地址更新至所述防火墙模块的防火墙规则中。
129.本实施例的装置，可以用于执行前述方法实施例中任一实施例的方法，其具体实现过程与技术效果与方法实施例中相同，具体可以参见方法实施例中的详细介绍，此处不再赘述。
130.图5示例了一种电子设备的实体结构示意图，如图5所示，该电子设备可以包括：处理器(processor)810、通信接口(communications interface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令，以执行域名系统dns访问控制方法，该方法包括：
131.获取访问请求；所述访问请求包括：dns域名；
132.将所述访问请求中的dns域名与预设的至少一个通配域名进行匹配，得到与所述dns域名匹配的通配域名，并将与所述dns域名匹配的通配域名对应的ip地址作为所述dns域名对应的ip地址；
133.根据所述ip地址和防火墙规则对所述访问请求进行处理。
134.此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
135.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的域名系统dns访问控制方法，该方法包括：获取访问请求；所述访问请求包括：dns域名；
136.将所述访问请求中的dns域名与预设的至少一个通配域名进行匹配，得到与所述dns域名匹配的通配域名，并将与所述dns域名匹配的通配域名对应的ip地址作为所述dns域名对应的ip地址；
137.根据所述ip地址和防火墙规则对所述访问请求进行处理。
138.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各提供的域名系统dns访问控制方法，该方法包括：
139.获取访问请求；所述访问请求包括：dns域名；
140.将所述访问请求中的dns域名与预设的至少一个通配域名进行匹配，得到与所述
dns域名匹配的通配域名，并将与所述dns域名匹配的通配域名对应的ip地址作为所述dns域名对应的ip地址；
141.根据所述ip地址和防火墙规则对所述访问请求进行处理。
142.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
143.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
144.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。