本發(fā)明公開了一種網(wǎng)絡(luò)訪問控制方法、設(shè)備及存儲介質(zhì)，方法包括：確定用戶發(fā)起的DNS訪問請求；訪問控制模塊響應(yīng)DNS訪問請求；確定DNS訪問請求的響應(yīng)報(bào)文；依據(jù)DNS訪問請求的響應(yīng)報(bào)文，在響應(yīng)報(bào)文中包含預(yù)設(shè)的域名關(guān)鍵字信息時，確定用戶的DNS請求所解析的IP地址，并添加到IP地址列表中；訪問控制模塊放行DNS訪問請求。本方法配置簡單，只需配置域名的關(guān)鍵字即可對所有包含該關(guān)鍵字的域名實(shí)現(xiàn)靈活的訪問控制；并且對所有DNS訪問請求放行，從而提升訪問的速度。并且訪問控制的全部功能由一個內(nèi)核模塊實(shí)現(xiàn)，不需要內(nèi)核和用戶進(jìn)程的通信，不影響數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)效率。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，特別涉及一種網(wǎng)絡(luò)訪問控制方法、設(shè)備及存儲介質(zhì)。

背景技術(shù)

目前隨著國內(nèi)互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)安全的重要性日趨突出，特別是在諸如教育、公共場所之類的實(shí)際場景中，訪問控制已成為網(wǎng)絡(luò)服務(wù)提供者和網(wǎng)絡(luò)監(jiān)管部門所需的必要手段，其目的是通過軟件手段限制終端用戶訪問和獲取非法的網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)安全。目前訪問控制的實(shí)現(xiàn)方式主要使用防火墻技術(shù)。

防火墻通過預(yù)先配置的安全策略，可以控制用戶訪問特定的網(wǎng)絡(luò)服務(wù)，其優(yōu)點(diǎn)是在網(wǎng)絡(luò)接入設(shè)備中已經(jīng)普遍集成，便于集中管理，識別和過濾功能強(qiáng)大。但是其缺點(diǎn)在于安全策略的配置復(fù)雜，且安全策略一旦配置以后就將固化，不能靈活的隨著網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)流量的變化而動態(tài)調(diào)整。

從現(xiàn)實(shí)場景的需求來看，傳統(tǒng)防火墻對多域名或分布式部署的服務(wù)器實(shí)現(xiàn)精準(zhǔn)的訪問控制也是比較難的，對網(wǎng)絡(luò)維護(hù)的成本和運(yùn)維人員的個人素質(zhì)要求都是很高的。

為了解決上述問題，提供了一種基于Linux的動態(tài)域名解析模塊及其黑白名單實(shí)現(xiàn)方法，包括路由器、交換機(jī)、胖AP、瘦AP以及域名解析模塊，所述域名解析模塊包括域名配置模塊、域名攔截模塊、域名判定模塊和數(shù)據(jù)放行模塊。所述域名配置模塊工作于用戶空間，主要是接收用戶從云端發(fā)來的指令配置具體哪些域名要加入黑白名單；所述域名攔截模塊，工作于內(nèi)核空間，其功能是攔截DNS響應(yīng)報(bào)文，并將其通過IP組播的形式發(fā)放到用戶空間的域名判定模塊；所述域名判定模塊，工作于用戶空間，接收從域名攔截模塊發(fā)來的攔截下來的DNS響應(yīng)包，查詢配置下來的黑白名單列表，如果發(fā)現(xiàn)該域名在列表中，就從DNS響應(yīng)包中提取其對應(yīng)的一個或多個IP地址并通知數(shù)據(jù)放行模塊；所述數(shù)據(jù)放行模塊，數(shù)據(jù)放行模塊分為兩個部分，一是當(dāng)上述截獲的DNS響應(yīng)包通過了域名判定模塊的分析后，便將其放行，可利用iptables nf-queue內(nèi)核模塊來實(shí)現(xiàn)。另一個是符合黑白名單的IP地址加入對應(yīng)的IPset后，將前往上述IP地址的數(shù)據(jù)包放行或者阻攔，可利用iptables filter表加ipset模塊來實(shí)現(xiàn)。

上述方案存在以下問題：

(1)域名攔截模塊工作在內(nèi)核空間，域名判定模塊工作在用戶空間，必然需要內(nèi)核態(tài)與用戶態(tài)的數(shù)據(jù)通信，不可避免的降低了數(shù)據(jù)的轉(zhuǎn)發(fā)效率。

(2)數(shù)據(jù)放行模塊使用了iptables和Ipset工具，匹配符合黑白名單的IP地址時，隨著IP地址的數(shù)量遞增，匹配效率會遞降，直接影響數(shù)據(jù)轉(zhuǎn)發(fā)效率。

(3)“放行DNS響應(yīng)的時機(jī)非常重要，一定要在ipset更新以后才可以放行dns響應(yīng)，否則瀏覽器先于ipset更新完成訪問目標(biāo)地址，黑白名單就會失效”，說明放行DNS響應(yīng)需要等待ipset更新，這從專利實(shí)現(xiàn)的原理上就限制了數(shù)據(jù)轉(zhuǎn)發(fā)性能，在網(wǎng)絡(luò)流量大的情況下會極大破環(huán)網(wǎng)絡(luò)用戶的使用體驗(yàn)。

發(fā)明內(nèi)容

本發(fā)明提供的一種網(wǎng)絡(luò)訪問控制方法、設(shè)備及存儲介質(zhì)，解決現(xiàn)有技術(shù)中在對網(wǎng)絡(luò)進(jìn)行控制的轉(zhuǎn)發(fā)效率過低的問題。

本發(fā)明通過下述技術(shù)方案實(shí)現(xiàn)：

第一方面，本發(fā)明提供了一種網(wǎng)絡(luò)訪問控制方法，所述方法包括：

確定用戶發(fā)起的DNS訪問請求；

訪問控制模塊響應(yīng)所述DNS訪問請求；