本申請實施例提供一種訪問控制方法及裝置，所述訪問控制方法包括：接收流量數據，其中，所述流量數據包括采用https協議封裝的報文；根據基于所述報文獲取的目的IP地址(即互聯網協議地址)確定應用類別，其中，所述應用類別包括：新聞、娛樂或者音樂；根據訪問控制規則和所述應用類別確定阻斷或者放行所述流量數據。本申請的一些實施例通過獲取的基于https協議的報文數據的目的IP地址來確定應用類型來進行基于應用類型的訪問控制，與相關的基于應用類型控制訪問流量的方式相比，有效節省了網關或者防火墻等訪問控制設備的資源消耗，提升了處理速度。

技術領域

本申請涉及安全訪問控制領域，具體而言本申請實施例涉及一種訪問控制方法、裝置及網關。

背景技術

當前網絡攻擊越來越多，網絡安全設備大量被開發出來并應用到實際的環境中，由于當前應用豐富多樣及網絡的普及，在https(Hyper Text Transfer Protocol overSecureSocket Layer)環境下基于應用作訪問控制策略的情況越來越多，但解決方案比較局限。

隨著高性能安全網關越來越普遍，https環境越來越多，這種問題越來越突出。相關技術通過透明代理得到通信數據對https的流量數據進行訪問控制，但是透明代理消耗了大量的系統計算資源。

發明內容

本申請實施例的目的在于提供一種訪問控制方法及裝置，與相關技術需要卸載SSL的技術方案相比，本申請實施例可以在不大量消耗網關設備的性能的基礎上實現基于應用類型的細粒度訪問控制管理。

第一方面，本申請的一些實施例提供一種訪問控制方法，所述訪問控制方法包括：接收流量數據，其中，所述流量數據包括采用https協議封裝的報文；根據所述報文目的IP地址確定應用類別，其中，所述應用類別包括：新聞、娛樂或者音樂；根據訪問控制規則和所述應用類別確定阻斷或者放行所述流量數據。

本申請的一些實施例通過獲取的基于https協議的報文數據的目的IP地址來確定應用類型來進行基于應用類型的訪問控制，與相關的基于應用類型控制訪問流量的方式相比，有效節省了網關或者防火墻等訪問控制設備的資源消耗，提升了處理速度。

在一些實施中，所述根據所述報文的目的IP地址確定應用類別之前，所述訪問控制方法還包括：生成包括多個目的IP地址和與所述多個目的IP地址中各地址對應的應用類別的應用分類信息表。

本申請的一些實施例可以通過預先存儲的應用分類信息表記錄目的IP地址與應用類型的映射關系，方便在網關或者防火墻等訪問控制設備在接收到流量數據時即時查詢應用類型。

在一些實施例中，所述生成包括多個目的IP地址和與所述多個目的IP地址中各地址對應的應用類別的應用分類信息表，包括：從接收的DNS請求報文中獲取域名信息；通過對所述域名信息作域名分類庫查找得到域名網站對應的應用分類；記錄針對所述DNS請求報文的DNS應答包對應的數據報文目的IP地址和所述應用分類，生成所述應用分類信息表中的一條信息。

本申請的一些實施例中采用基于對DNS報文數據的分析來確定應用類型，并基于DNS應答報文來確定目的IP地址進而存儲目的IP地址與應用類別的對應關系表，本申請一些實施例的應用類別信息表的生成簡單快捷且資源消耗量較少。

在一些實施例中，所述訪問控制規則包括至少阻斷與多種應用類別中的一種應用類別對應的所述流量數據。

本申請的一些實施例中訪問控制規則至少包括一條限制某類應用類別的規則，進而提升對應用類別的訪問控制效果。