[发明专利]一种ACL配置方法、ACL配置设备及服务器

说明书

技术领域

本发明涉及通信领域，尤其涉及一种ACL配置方法、ACL配置设备及服务器。

背景技术

信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的，且随着通信技术发展以及网络技术应用的不断深入，人们对安全监控的需求进一步加强。由于访问控制列表(英文：Access Control List，简称：ACL)规则能够有效实现网络流量和网络访问权限的控制，因此在安全监控方面得到了越来越广泛的应用。

在现有技术中，当需要控制某用户只能访问或不能访问某些特定的网络资源时，可以基于这些网络资源的域名(英文：Domain Name)对应的互联网协议(英文：Internet Protocol，简称：IP)地址列表手动配置ACL功能。例如，以网络资源为网站为例，假设需要控制公司员工只能访问公司内的网站，那么可以由操作人员获取公司内的网站的域名对应的IP地址列表，并将获取到的IP地址列表手动配置到ACL列表中，在配置成功之后，公司员工就只能访问公司内的网站。

可以得到的是，在现有技术中需进行控制的网络资源的域名对应的IP地址列表是操作人员手动配置到ACL列表中的，这样，在网络资源的域名对应的IP地址列表发生变化时，则需要操作人员根据变化后的IP地址列表手动修改ACL列表，这便容易出现修改不及时的情况，从而造成ACL控制错误。

发明内容

本发明提供一种ACL配置方法、ACL配置设备及服务器，解决了在网络资源的域名对应的IP地址列表发生变化时，由于容易出现修改ACL 列表不及时的情况造成的ACL控制错误的问题。

为达到上述目的，本发明采用如下技术方案：

本发明的第一方面，提供一种ACL配置方法，包括：

ACL配置设备获取包括网络资源的域名的配置命令，该配置命令用于获取与网络资源的域名对应的访问网络资源所需的IP地址列表，以及用于对网络资源进行控制，在获取到包括网络资源的域名的配置命令之后，ACL配置设备生成包括网络资源的域名的第一域名系统(英文：Domain Name System，简称：DNS)解析请求报文，并向DNS服务器发送该第一DNS解析请求报文，以便DNS服务器在接收到第一DNS解析请求报文之后，根据第一DNS解析请求报文对网络资源的域名进行解析，若DNS服务器解析网络资源的域名成功，则会向ACL配置设备发送第一DNS解析成功报文，这样，ACL配置设备便可接收来自DNS服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一IP地址列表的第一DNS解析成功报文，该第一IP地址列表中可以包括至少一个IP地址，并将第一IP地址列表下发到ACL配置设备的ACL列表中，以实现对网络资源的控制。

本发明提供的ACL配置方法，ACL配置设备获取包括网络资源的域名的配置命令，然后将根据配置命令生成的包括网络资源的域名的第一DNS解析请求报文发送至DNS服务器，并接收来自DNS服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一IP地址列表的第一DNS解析成功报文，最后将接收到的第一IP地址列表下发到ACL配置设备的ACL列表中，以实现对该网络资源的控制。通过配置命令使得网络资源的域名对应的IP地址列表可以自动配置到ACL列表中，从而确保了在网络资源的域名对应的IP地址列表发生变化时，能够及时的根据变化后的IP地址列表对ACL列表进行修改，从而避免了ACL控制错误的问题出现。

结合第一方面，在一种可能的实现方式中，所述的网络资源的域名可以包括在网络资源的统一资源定位符(英文：Uniform Resource Locator，简称：URL)中，相应的，在ACL配置设备生成第一DNS解析请求报文之前，所述的ACL配置方法还可以包括：ACL配置设备根据网络资源的 URL获取网络资源的域名。