技術領域

本發明涉及通信領域，尤其涉及一種ACL配置方法、ACL配置設備及服務器。

背景技術

信息點間通信，內外網絡的通信都是企業網絡中必不可少的業務需求，但是為了保證內網的安全性，需要通過安全策略來保障非授權用戶只能訪問特定的網絡資源，從而達到對訪問進行控制的目的，且隨著通信技術發展以及網絡技術應用的不斷深入，人們對安全監控的需求進一步加強。由于訪問控制列表(英文：Access Control List，簡稱：ACL)規則能夠有效實現網絡流量和網絡訪問權限的控制，因此在安全監控方面得到了越來越廣泛的應用。

在現有技術中，當需要控制某用戶只能訪問或不能訪問某些特定的網絡資源時，可以基于這些網絡資源的域名(英文：Domain Name)對應的互聯網協議(英文：Internet Protocol，簡稱：IP)地址列表手動配置ACL功能。例如，以網絡資源為網站為例，假設需要控制公司員工只能訪問公司內的網站，那么可以由操作人員獲取公司內的網站的域名對應的IP地址列表，并將獲取到的IP地址列表手動配置到ACL列表中，在配置成功之后，公司員工就只能訪問公司內的網站。

可以得到的是，在現有技術中需進行控制的網絡資源的域名對應的IP地址列表是操作人員手動配置到ACL列表中的，這樣，在網絡資源的域名對應的IP地址列表發生變化時，則需要操作人員根據變化后的IP地址列表手動修改ACL列表，這便容易出現修改不及時的情況，從而造成ACL控制錯誤。

發明內容

本發明提供一種ACL配置方法、ACL配置設備及服務器，解決了在網絡資源的域名對應的IP地址列表發生變化時，由于容易出現修改ACL 列表不及時的情況造成的ACL控制錯誤的問題。

為達到上述目的，本發明采用如下技術方案：

本發明的第一方面，提供一種ACL配置方法，包括：

ACL配置設備獲取包括網絡資源的域名的配置命令，該配置命令用于獲取與網絡資源的域名對應的訪問網絡資源所需的IP地址列表，以及用于對網絡資源進行控制，在獲取到包括網絡資源的域名的配置命令之后，ACL配置設備生成包括網絡資源的域名的第一域名系統(英文：Domain Name System，簡稱：DNS)解析請求報文，并向DNS服務器發送該第一DNS解析請求報文，以便DNS服務器在接收到第一DNS解析請求報文之后，根據第一DNS解析請求報文對網絡資源的域名進行解析，若DNS服務器解析網絡資源的域名成功，則會向ACL配置設備發送第一DNS解析成功報文，這樣，ACL配置設備便可接收來自DNS服務器的包括網絡資源的域名，以及與網絡資源的域名對應的訪問網絡資源所需的第一IP地址列表的第一DNS解析成功報文，該第一IP地址列表中可以包括至少一個IP地址，并將第一IP地址列表下發到ACL配置設備的ACL列表中，以實現對網絡資源的控制。

本發明提供的ACL配置方法，ACL配置設備獲取包括網絡資源的域名的配置命令，然后將根據配置命令生成的包括網絡資源的域名的第一DNS解析請求報文發送至DNS服務器，并接收來自DNS服務器的包括網絡資源的域名，以及與網絡資源的域名對應的訪問網絡資源所需的第一IP地址列表的第一DNS解析成功報文，最后將接收到的第一IP地址列表下發到ACL配置設備的ACL列表中，以實現對該網絡資源的控制。通過配置命令使得網絡資源的域名對應的IP地址列表可以自動配置到ACL列表中，從而確保了在網絡資源的域名對應的IP地址列表發生變化時，能夠及時的根據變化后的IP地址列表對ACL列表進行修改，從而避免了ACL控制錯誤的問題出現。

結合第一方面，在一種可能的實現方式中，所述的網絡資源的域名可以包括在網絡資源的統一資源定位符(英文：Uniform Resource Locator，簡稱：URL)中，相應的，在ACL配置設備生成第一DNS解析請求報文之前，所述的ACL配置方法還可以包括：ACL配置設備根據網絡資源的 URL獲取網絡資源的域名。