[发明专利]域名访问控制方法及装置

说明书

本申请公开了一种域名访问控制方法，包括：从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包；根据DNS应答数据包，获得目标域名和所述目标域名对应的目标IP地址；根据所述目标域名和所述目标IP地址，得到目标IP访问规则；根据目标IP访问规则，对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行放行处理或者拦截处理。采用上述方法，以解决现有技术下存在的域名访问规则的粒度不够细致，不能针对不同的应用程序访问相同的域名时进行不同方式的处理的问题。

技术领域

本申请涉及计算机技术领域，具体涉及一种域名访问控制方法和一种域名访问控制装置。

背景技术

在网络安全和数据安全领域，为了防止访问恶意域名导致感染计算机病毒，或者防止员工使用即时聊天软件、邮箱、网盘等软件将内部资料外发出去，企事业单位的信息安全部门通常会限制计算机域名的访问。传统的产品和解决方案是安装部署软硬件网络防火墙，配置域名访问规则。

现有技术下，应用程序访问域名时，使用网络过滤模块，过滤DNS请求数据包(dnsrequest packet)，解析出要访问的域名，匹配域名访问规则，如果命中域名拦截规则，将该DNS请求数据包扔掉，这样就不能将域名解析成IP地址，达到了域名访问控制的目的。

该方案的缺点在于：发送DNS请求数据包的进程，是系统进程，不是真正发起DNS查询的应用进程(比如浏览器进程)，所以在执行拦截操作时，不能区分不同的应用进程。无论是哪个应用程序访问，只要是访问的相同域名，都会根据针对域名配置的域名访问规则，对应用程序的域名访问执行放行或者拦截操作。例如，域名A的域名访问规则中的处理方式为拦截，则无论应用程序1或应用程序2访问域名A，都执行拦截操作。

现有技术下存在域名访问规则的粒度不够细致，不能针对不同的应用程序访问相同的域名时进行不同方式的处理的问题。

发明内容

本申请提供一种域名访问控制方法和一种域名访问控制装置，以解决现有技术下存在的域名访问规则的粒度不够细致，不能针对不同的应用程序访问相同的域名时进行不同方式的处理的问题。

本申请提供一种域名访问控制方法，包括：

从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包；

根据DNS应答数据包，获得目标域名和所述目标域名对应的目标IP地址；

根据所述目标域名和所述目标IP地址，得到目标IP访问规则；

根据目标IP访问规则，对应用程序通过目标IP地址访问网络服务器时发送的网络数据包进行放行处理或者拦截处理。

作为一种实施方式，所述从域名系统服务器获得应用程序访问域名时对应的DNS应答数据包，包括：

获得系统组件发送的应用程序访问域名时的DNS请求数据包；

将所述DNS请求数据包转发给域名系统服务器；

获得域名系统服务器返回的应用程序访问域名时对应的DNS应答数据包。

作为一种实施方式，所述根据所述目标域名和所述目标IP地址，得到目标IP访问规则，包括：

根据所述目标域名、所述目标IP地址和域名访问规则列表，获得目标IP访问规则。

作为一种实施方式，所述根据所述目标域名、所述目标IP地址和域名访问规则列表，获得目标IP访问规则，包括：

将所述目标域名与域名访问规则列表进行匹配，获得域名访问规则列表中与目标域名匹配的目标域名访问规则；

根据所述匹配的目标域名访问规则，生成目标IP访问规则。