[发明专利]一种域名解析方法及装置

说明书

本申请实施例提供了一种域名解析方法及装置。该方法包括：网络安全设备获取待解析域名；向负载均衡设备发送携带第一查询类型和待解析域名的第一域名查询请求报文；其中，第一查询类型用于指示负载均衡设备从负载均衡设备连接的所有域名系统DNS服务器中获取待解析域名对应的IP地址；接收负载均衡设备发送的第一域名查询响应报文，第一域名查询响应报文携带负载均衡设备获取到的待解析域名对应的互联网协议IP地址。应用本申请实施例提供的方案，能够提高获取的IP地址的准确性，进而提高报文处理的准确性。

技术领域

本申请涉及通信技术领域，特别是涉及一种域名解析方法及装置。

背景技术

随着互联网的发展，内网设备可能需要频繁地访问外网服务器，内网设备与外网服务器之间的交互正变得越来越频繁。内网设备访问外网服务器时可能会需要进行一定的安全防护。

图1为内网设备通过防火墙访问外网服务器的一种网络架构图，其中，内网设备包括服务器1～3，外网服务器包括服务器A和服务器B。内网设备在访问某一域名对应的服务器时，通常需要通过防火墙和负载均衡(Load Balance，LB)设备向域名系统(Domain NameSystem，DNS)服务器发送域名查询请求报文，以获取该域名对应的互联网协议(InternetProtocol，IP)地址，然后利用该获取到的IP地址访问该域名对应的服务器。其中，负载均衡设备在接收到内网设备发送的域名查询请求报文后，会根据负载均衡算法将该域名查询请求报文发送至某一DNS服务器，并将DNS服务器响应的查询结果通过防火墙发送至内网设备。

为了安全起见，通常会在防火墙上配置内网设备访问外网服务器时的报文处理规则。当防火墙设备接收到来自内网设备的报文时，可以将报文的目的IP地址与规则库中IP地址与规则的对应关系进行匹配，根据匹配的规则对报文执行相应的处理。例如，当匹配的规则为放行时放行报文，当匹配的规则为拦截时，拦截报文。

防火墙在根据配置的域名生成规则库时，需要获得域名对应的IP地址。防火墙可以侦听内网设备向DNS服务器发送的域名查询请求报文，并从侦听的域名查询响应报文中得到域名对应的IP地址。

但是，为了健壮性考虑，同一个域名可能会有多个外网服务器，也就是说，同一个域名会对应多个IP地址，并存储在不同的DNS服务器中。由于域名查询请求报文通常会发送至某一DNS服务器，因此防火墙通过侦听报文通常只能得到域名对应的部分IP地址。这就导致，防火墙的规则库中某一域名对应的IP地址可能是不全的，那么防火墙便可能会对访问该域名的报文执行错误处理，例如访问该域名的报文都应拦截，但由于规则库中该域名对应的IP地址不全，因此可能会放行部分访问该域名的报文。由此可以看出，现有的获取IP地址的方式不够准确，进而会导致对报文的处理不够准确。

发明内容

本申请实施例的目的在于提供了一种域名解析方法及装置，以提高获取的IP地址的准确性，进而提高报文处理的准确性。具体的技术方案如下。

为了达到上述目的，本申请实施例提供了一种域名解析方法，该方法应用于网络安全设备，该方法包括：

获取待解析域名；

向负载均衡设备发送携带第一查询类型和所述待解析域名的第一域名查询请求报文；其中，所述第一查询类型，用于指示所述负载均衡设备从所述负载均衡设备连接的所有域名系统DNS服务器中获取所述待解析域名对应的IP地址；

接收所述负载均衡设备发送的第一域名查询响应报文，所述第一域名查询响应报文携带所述负载均衡设备获取到的所述待解析域名对应的互联网协议IP地址。

本申请实施例提供了另一种域名解析方法，该方法应用于负载均衡设备，该方法包括：

接收网络安全设备发送的携带第一查询类型和待解析域名的第一域名查询请求报文；其中，所述第一查询类型，用于指示所述负载均衡设备从所述负载均衡设备连接的所有域名系统DNS服务器中获取所述待解析域名对应的IP地址；