技術領域

本發明涉及網絡通信領域，特別涉及一種網絡訪問控制的方法、裝置和系統。

背景技術

對于網絡通信來說，在一定的網絡應用場景中，常需要根據不同的安全需要對互聯網的訪問實施不同的訪問控制，例如，基于被訪問的目標對象，實施訪問控制策略。被訪問的目標可能是網絡銀行、門戶網站、公司等機構提供的網站，這些網站通常都使用固定的域名。然而，網站時常需要進行IP地址的調整，這將導致固定域名對應的IP地址經常發生變化，此時需要對網絡的訪問控制策略進行更新。若網絡管理人員未能及時獲悉這些IP地址的變化，沒有對訪問控制策略進行及時更新，不僅可能導致網絡安全的隱患，還可能影響用戶正常的網絡訪問。

例如，在某特定的網絡中，訪問控制策略不允許對域名為www.abcde.com的網站進行訪問，該網站的域名www.abcde.com對應的IP地址為10.10.10.11,10.10.10.13,10.10.10.15,10.10.10.17,10.10.10.19。網絡管理人員根據域名www.abcde.com對應的5個IP地址，添加5條訪問控制列表，以禁止對以上5個IP地址的訪問，并執行至少5條對訪問控制列表的配置命令。然而，一段時間之后，當該域名對應的IP被更換為20.10.10.11,20.10.10.13,20.10.10.15,20.10.10.17,20.10.10.19，網絡管理人員不能及時獲悉網站IP地址已經更換的信息，一方面，導致未禁止對新IP地址的訪問，使得對該網站的訪問控制策略便失去作用，甚至導致網絡的安全隱患，另一方面，若之前使用的舊IP地址被作為其他允許訪問的網站域名使用的IP地址，滯后的訪問控制更新還將影響用戶不能訪問允許訪問的網站。

由此可見，現有技術使用的訪問控制方法需要網絡管理人員時刻關注IP地址的變化信息，在發生變化時，對涉及IP地址的網絡設備進行訪問控制的更新，而不能自動及時地獲知IP地址的變化進行更新。這種方法不僅需要投入網絡管理人員大量的維護工作，還導致了對訪問控制策略更新速度慢，進而還可能影響網絡安全，或影響用戶正常的網絡訪問。

發明內容

本發明針對上述現有技術中的問題，所要解決的一個技術問題是：提供一種網絡訪問控制的方法、裝置和系統，通過基于域名的訪問控制實現對訪問控制的及時更新。

根據本發明的第一個方面，本發明實施例提供了一種網絡訪問控制的方法，所述方法包括：

建立域名訪問控制列表，所述域名訪問控制列表中包括目標網絡的域名、所述域名相對應的一個以上目標IP地址以及對所述目標IP地址的訪問控制操作之間的對應關系，所述目標域名與所述一個以上目標IP地址之間的對應關系根據域名服務器DNS的解析結果進行更新；

響應于接收到訪問請求，根據所述域名訪問控制列表，對所述訪問請求進行訪問控制。

根據本發明的第二個方面，本發明實施例還提供了一種網絡訪問控制的裝置，所述裝置包括：

域名管理單元，用于建立域名訪問控制列表，所述域名訪問控制列表中包括目標網絡的域名、所述域名相對應的一個以上目標IP地址以及對所述目標IP地址的訪問控制操作之間的對應關系，所述目標域名與所述一個以上目標IP地址之間的對應關系根據DNS的解析結果進行更新；

訪問控制執行單元，用于響應于接收到訪問請求，根據所述域名訪問控制列表，對所述訪問請求進行訪問控制。

根據本發明的第三個方面，本發明實施例還提供了一種網絡訪問控制的系統，所述系統包括根據本發明第二個方面所提供的網絡訪問控制的裝置；

域名服務器DNS，用于解析所述目標網絡的域名，向所述網絡訪問控制的裝置返回所述目標網絡的域名對應的目標IP地址。