[发明专利]一种IP白名单生成方法和装置

说明书

本发明提供了一种IP白名单生成方法和装置。涉及网络安全领域；解决了IP白名单与网络外部环境不匹配的问题。该方法包括：实时监听发出的DNS请求包，获取所述DNS请求包访问的域名信息；判断所述域名信息是否存在于域名白名单中；在所述域名信息存在于所述域名白名单中时，将所述域名信息解析后得到的IP地址信息记录到IP白名单中。本发明提供的技术方案适用于防火墙拦截，实现了动态可更新的IP白名单维护机制。

技术领域

本发明涉及网络安全领域，尤其涉及一种IP白名单生成方法和装置。

背景技术

在云分发网络中，当节点中没有缓存内容时，需要回源获取，此时“源”的目标地址主要有三种类型：(1)云分发系统内的中转节点(如父节点)；(2)源站IP(可以是客户自己的源站或者云分发系统内设置的源站)；(3)客户的二层CDN节点(通过多级CDN层次结构回源)。对于前两种类型，目标地址是相对固定的，而第三种由于连接的是客户或第三方的系统，云分发厂商无法明确知晓外部网络相关设备的地址信息，而且访问地址的不断变化容易造成干扰，导致节点被黑客入侵并进一步远程操控而不自知。因此，如何精准判断“源”的目标地址为安全的访问地址还是恶意地址，特别是在多级组网的情况下，能快速识别出互联系统的设备为可信、安全的，成为关键问题。

现有的防火墙技术多数采用黑名单的形式对有安全威胁的访问进行限制，黑名单的数据量一般较大，且白名单中的主机发生任何危险行为都会被列入黑名单，导致黑名单机制不可控，拦截欠准确。而通过白名单来限制不在白名单内的目标地址的访问，能起到更好的防御效果。现有的白名单通常是通过事先配置生成，由于一项业务往往依赖多个系统互联后以达到更好的效果，网络外部环境存在复杂性，难以迅速更新该白名单列表，容易给系统的带来干扰，造成对访问拦截的误判。

发明内容

本发明旨在解决上面描述的问题。

根据本发明的一方面，提供了一种IP白名单生成方法，包括：

实时监听发出的DNS请求包，获取所述DNS请求包访问的域名信息；

判断所述域名信息是否存在于域名白名单中；

在所述域名信息存在于所述域名白名单中时，将所述域名信息解析后得到的IP地址信息记录到IP白名单中。

优选的，所述域名白名单至少包含以下域名中的任一种或任意多种：

云分发系统中转节点的域名，客户源的域名，合作方子系统中相关设备的域名。

优选的，该方法还包括：

维护域名白名单。

优选的，所述IP白名单至少包含以下IP地址中的任一种或任意多种：

云分发系统中设备的IP地址，客户源IP地址，合作方子系统的设备的IP地址。

优选的，所述合作方子系统具体为二层CDN子系统。

优选的，所述IP地址信息来自所述域名信息解析后关联到的A记录信息。

优选的，将所述域名信息解析后得到的IP地址信息记录到IP白名单中的步骤具体通过记录到内存和/或记录到文件中的方式完成。

根据本发明的另一方面，提供了一种IP白名单生成装置，该装置包括：

监听模块，用于实时监听发出的DNS请求包，获取所述DNS请求包访问的域名信息；

判断模块，用于判断所述域名信息是否存在于域名白名单中；

IP白名单维护模块，用于在所述域名信息存在于所述域名白名单中时，将所述域名信息解析后得到的IP地址信息记录到IP白名单中。

优选的，所述域名白名单至少包含以下域名中的任一种或任意多种：