[发明专利]一种域名访问控制的接入方法、装置、设备及介质

说明书

本发明提出了一种域名访问控制的接入方法、装置、设备及介质。本发明对域名的IP转换关系由传统的在控制网关设备自身的部署的方式改变为网关和与外网互通的服务器上，将域名网站网页中涉及的外链IP也纳入控制策略的目的IP中、将整个请求过程中的目的IP也纳入IP集合。本发明通过上述操作解决了防火墙上下行流量为二层部署或者三层部署，管理口为内网IP的场景下，域名访问控制放行失效的大难题，同时生成的IP集合更全面，并减少了因为爬取技术有缺陷导致部分外链的js动态生成的域名遗漏的问题。

技术领域

本发明属于防火墙域名访问控制技术领域，具体地说，涉及一种域名访问控制的接入方法、装置、设备及介质。

背景技术

随着市场对域名访问控制需求的增大，单位在上班时间段为了对内网用户的上网行为达到管的目的，在上班时间，禁止访问与工作无关的互联网。只允许与工作相关的互联网网站可以访问。但是这些互联网网站，为了增加网站的抗压能力提升业务稳定性，往往在不通的省份备有多台服务器，根据负载均衡动态的选择最优的IP反馈给用户。通过配置目的IP地址进行访问控制，会导致网络管理员的手工配置的策略工作量大，服务器IP变动后更新不及时导致自己内网要访问的网站不通的现象。随着互联网网站的发展，网站的网页由静态页面发展为静态页面和动态页面混合的模式，资源大量引用了其他网站的资源，或则多台服务器协同工作的模式，例如zol.com.cn，就引用了如pos.baidu.com、g.cn.miaozhen.com、googleapis.com等资源，甚至有的网站会内嵌其它指明IP地址的网站，例如CSDN博客中经常直接引用其它IP服务器上的博文链接，而这些资源的访问无法事先通过“*.zol.com.cn”通配符匹配来访问。若单独放行zol.com.cn会导致网页内容缺失，若手工配置所有的引用资源，会导致工作量大，变更不及时等问题出现。

以访问zol.com.cn首页为例，首先如图1所示，打开浏览器输入域名，在访问zol.com.cn首页过程中涉及的外链域名如图2所示；接着对访问主页中相关的子页面如图3所示，对于子页面涉及的相关域名如图4所示。若要进行如图1-4的上述操作，会出现对子网页的网页内容缺失，若手工配置所有的引用资源，又会导致工作量大，变更不及时等问题出现。

现有技术中如专利“一种访问控制方法及装置，CN 109600385A”中记载的技术方案，其虽然通过模拟用户上网行为进行域名对应IP集合的计算，从而实现访问控制，但其具有以下缺点：

(1)将域名对应请求的网站首页解析和提取放到了网关设备自己本身内部，只能针对上下行网络流量部署再防火墙三成接口的场景中，针对网络场景部署非常有限。若网关产品本身部署在二层环境下时，为了网关产品自生的网络安全，网关产品的管理口也会被限制在局域网内，这时网关产品对整个外网环境是隔离状态无法通向往外而请求域名对应的网站；

(2)没有将网页中携带的外链IP加入最后形成的IP集合；

(3)未将整个用户模拟过程请求的目的IP纳入IP集合中，有可能因为爬取技术有缺陷导致部分外链的js动态生成的域名遗漏。

发明内容

本发明针对现有技术网关产品对整个外网环境是隔离状态无法通向往外而请求域名对应的网站的缺点，提出了一种域名访问控制的接入方法、装置、设备及介质。本发明对域名的IP转换关系由传统的在控制网关设备自身的部署的方式改变为网关和与外网互通的服务器上，将域名网站网页中涉及的外链IP也纳入控制策略的目的IP中、将整个请求过程中的目的IP也纳入IP集合。本发明通过上述操作解决了防火墙上下行流量为二层部署或者三层部署，管理口为内网IP的场景下，域名访问控制放行失效的大难题，同时生成的IP集合更全面，并减少了因为爬取技术有缺陷导致部分外链的js动态生成的域名遗漏的问题。

本发明具体实现内容如下：