本發(fā)明涉及網(wǎng)絡(luò)流量過(guò)濾和監(jiān)控技術(shù)領(lǐng)域,具體而言,本發(fā)明涉及一種基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng)與方法。
背景技術(shù):
目前移動(dòng)終端通過(guò)3G或4G信號(hào)連接互聯(lián)網(wǎng)時(shí),由于用戶(hù)流量費(fèi)用是根據(jù)流量的使用多少來(lái)計(jì)算的,因此在日常的使用中,往往很多無(wú)用的域名、站點(diǎn)會(huì)占用寶貴的流量資源從而使用戶(hù)流量費(fèi)提高,或者沒(méi)到月底由于上述流量消耗,用戶(hù)無(wú)法再使用流量。
申請(qǐng)?zhí)枮?01080034533.1,發(fā)明名稱(chēng)為《用于過(guò)濾網(wǎng)絡(luò)流量的方法和系統(tǒng)》的中國(guó)專(zhuān)利申請(qǐng),公開(kāi)了一種過(guò)濾多個(gè)DNS查詢(xún)的方法,其中每個(gè)DNS查詢(xún)包括查詢(xún)名稱(chēng)和資源記錄類(lèi)型,該方法包括確定包括域名、過(guò)濾類(lèi)型以及節(jié)流率的過(guò)濾規(guī)則并形成包括過(guò)濾規(guī)則的過(guò)濾文件。該方法還包括將過(guò)濾文件從服務(wù)器傳送到多個(gè)過(guò)濾代理,將過(guò)濾文件從多個(gè)過(guò)濾代理的每個(gè)傳送到一個(gè)或多個(gè)處理引擎,并在所述一個(gè)或多個(gè)處理引擎之一接收所述多個(gè)DNS查詢(xún)。該方法包括對(duì)于所述多個(gè)DNS查詢(xún)的子集確定域名和查詢(xún)名稱(chēng)之間以及資源記錄類(lèi)型和過(guò)濾類(lèi)型之間的匹配,并阻止預(yù)定百分比(等于節(jié)流率)的多個(gè)DNS查詢(xún)的子集。通過(guò)該發(fā)明可以實(shí)現(xiàn)相對(duì)于常規(guī)技術(shù)的許多優(yōu)勢(shì)。例如,本發(fā)明實(shí)施例提供用于快速高效地將分組過(guò)濾器分配到位于多個(gè)遠(yuǎn)程站點(diǎn)的多個(gè)處理引擎的方法和系統(tǒng)。此外,實(shí)施例提供的分組過(guò)濾器能使系統(tǒng)操作員根據(jù)多種網(wǎng)絡(luò)標(biāo)準(zhǔn)完全地或部分地阻止惡意網(wǎng)絡(luò)流量。而且,分組過(guò)濾器的自動(dòng)期滿能使遠(yuǎn)程站點(diǎn)在預(yù)定時(shí)間段之后返回常規(guī)操作,即使解析站點(diǎn)和中央數(shù)據(jù)中心之間的聯(lián)系已丟失。
申請(qǐng)?zhí)枮?00710178851.5,發(fā)明名稱(chēng)為《一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法和系統(tǒng)》的中國(guó)專(zhuān)利申請(qǐng),公開(kāi)了一種適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)方法和系統(tǒng),是一種適于高速局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)的方法和系統(tǒng)。本發(fā)明包括網(wǎng)絡(luò)終端、局域網(wǎng),所述方法的步驟:數(shù)據(jù)獲取步驟;DNS解析監(jiān)控步驟;可疑網(wǎng)絡(luò)訪問(wèn)過(guò)濾步驟;可疑網(wǎng)絡(luò)訪問(wèn)統(tǒng)計(jì)步驟;網(wǎng)絡(luò)掃描檢測(cè)步驟。該發(fā)明通過(guò)將各主機(jī)節(jié)點(diǎn)發(fā)出的所有網(wǎng)絡(luò)訪問(wèn)請(qǐng)求與本局域網(wǎng)中最近DNS解析過(guò)的IP地址列表進(jìn)行關(guān)聯(lián),最大限度的過(guò)濾掉那些與正常網(wǎng)絡(luò)訪問(wèn)流量相關(guān)的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。采用可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求連接響應(yīng)率和可疑網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目標(biāo)IP地址發(fā)散度為網(wǎng)絡(luò)掃描檢測(cè)指標(biāo),適于局域網(wǎng)環(huán)境的網(wǎng)絡(luò)節(jié)點(diǎn)掃描檢測(cè)系統(tǒng)對(duì)局域網(wǎng)絡(luò)中各主機(jī)節(jié)點(diǎn)的掃描行為進(jìn)行監(jiān)控的網(wǎng)絡(luò)安全產(chǎn)品中。
然而上述現(xiàn)有技術(shù)均無(wú)法在以Linux系統(tǒng)為基礎(chǔ)的安卓手機(jī)上進(jìn)行應(yīng)用,依然無(wú)法過(guò)濾無(wú)用的域名,保證手機(jī)流量的合理使用。
技術(shù)實(shí)現(xiàn)要素:
鑒于上述問(wèn)題,提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾的系統(tǒng)及方法。
依據(jù)本發(fā)明的一個(gè)方面,提供了一種基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述系統(tǒng)包括如下模塊:
配置處理模塊,用來(lái)接收并保存用戶(hù)配置的域名白名單,檢查配置域名的合法性;
DNS處理模塊,與配置處理模塊及DNS服務(wù)器連接,用于獲取用戶(hù)配置的域名白名單,并向DNS服務(wù)器查詢(xún)上述用戶(hù)配置的域名白名單,以獲取域名和IP的映射表;
IP池模塊,用于存儲(chǔ)上述映射表中的IP;
規(guī)則處理模塊,用于根據(jù)上述配置觸發(fā)的上述映射表中的IP,組合成網(wǎng)絡(luò)流量過(guò)濾規(guī)則。
可選地,如上所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述系統(tǒng)進(jìn)一步包括UI用戶(hù)配置模塊,用于根據(jù)用戶(hù)操作配置域名白名單。
可選地,如上所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述DNS處理模塊包括:實(shí)時(shí)查詢(xún)模塊或者定時(shí)查詢(xún)模塊;所述DNS處理模塊還用于將域名和IP的映射表中的全部或部分變化的IP發(fā)送至IP池。
可選地,如上所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述DNS服務(wù)器為公用DNS服務(wù)器。
可選地,如上所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述規(guī)則處理模塊將形成的網(wǎng)絡(luò)流量過(guò)濾規(guī)則發(fā)送內(nèi)核空間,由內(nèi)核根據(jù)網(wǎng)絡(luò)流量過(guò)濾規(guī)則來(lái)過(guò)濾網(wǎng)絡(luò)流量。
可選地,如上所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述系統(tǒng)進(jìn)一步包括數(shù)據(jù)庫(kù)模塊,用于存儲(chǔ)IP池模塊中的IP并在系統(tǒng)啟動(dòng)時(shí)提供IP給所述IP池模塊。
依據(jù)本發(fā)明的另一個(gè)方面,還提供了一種基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾方法,包括如下步驟:
接收并保存用戶(hù)配置的域名白名單,檢查配置域名的合法性;
向DNS服務(wù)器查詢(xún)上述用戶(hù)配置的域名白名單,以獲取域名和IP的映射表;
存儲(chǔ)上述映射表中的IP;
根據(jù)上述配置觸發(fā)的上述映射表中的IP,組合成網(wǎng)絡(luò)流量過(guò)濾規(guī)則;
將形成的網(wǎng)絡(luò)流量過(guò)濾規(guī)則發(fā)送內(nèi)核空間,由內(nèi)核根據(jù)網(wǎng)絡(luò)流量過(guò)濾規(guī)則來(lái)過(guò)濾網(wǎng)絡(luò)流量。
可選地,如上所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾方法,所述方法進(jìn)一步包括UI用戶(hù)配置步驟,用于根據(jù)用戶(hù)操作配置域名白名單。
可選地,如上所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾方法,所述查詢(xún)?yōu)閷?shí)時(shí)或者定時(shí)查詢(xún)。
可選地,如上所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾方法,所述DNS服務(wù)器為公用DNS服務(wù)器。
可選地,如上所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾方法,所述映射表中的IP存儲(chǔ)在數(shù)據(jù)庫(kù)中并在系統(tǒng)啟動(dòng)時(shí)提供所述IP。
本發(fā)明的有益效果如下:該發(fā)明能夠提高網(wǎng)絡(luò)設(shè)備的處理性能和效率,能夠根據(jù)用戶(hù)的設(shè)置白名單而僅允許白名單上的域名訪問(wèn)網(wǎng)絡(luò)資源,不允許訪問(wèn)白名單之外的無(wú)用域名或有風(fēng)險(xiǎn)的域名,從而防止一些無(wú)用域名占用網(wǎng)絡(luò)資源和用戶(hù)的使用時(shí)間。
上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的具體實(shí)施方式。
附圖說(shuō)明
通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件。在附圖中:
圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾的系統(tǒng)的結(jié)構(gòu)示意圖;
圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾的方法的流程示意圖。
圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的另一種基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾的方法的流程示意圖。
具體實(shí)施方式
下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施例。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施例,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施例所限制。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開(kāi),并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。
本發(fā)明涉及一種基于域名的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng)與方法,該系統(tǒng)可以根據(jù)域名來(lái)過(guò)濾網(wǎng)絡(luò)流量,只有特定的域名可以經(jīng)過(guò)該系統(tǒng)訪問(wèn),其他的網(wǎng)絡(luò)流量則不能通過(guò)該系統(tǒng)。具體的,本發(fā)明的具體實(shí)施例,是在Linux系統(tǒng)下的研究開(kāi)發(fā)。
首先,本發(fā)明的過(guò)濾系統(tǒng)和方法啟動(dòng)前,需要在Linux系統(tǒng)初始化時(shí)將所有IPTABLES的規(guī)則清空。本發(fā)明所使用的IPTABLES的概念和工作原理如下:
IPTABLES是與最新的3.5版本Linux內(nèi)核集成的IP信息包過(guò)濾系統(tǒng)。如果Linux系統(tǒng)連接到因特網(wǎng)或LAN、服務(wù)器或連接LAN和因特網(wǎng)的代理服務(wù)器,則該系統(tǒng)有利于在Linux系統(tǒng)上更好地控制IP信息包過(guò)濾和防火墻配置。
防火墻在做信息包過(guò)濾決定時(shí),有一套遵循和組成的規(guī)則,這些規(guī)則存儲(chǔ)在專(zhuān)用的信息包過(guò)濾表中,而這些表集成在Linux內(nèi)核中。在信息包過(guò)濾表中,規(guī)則被分組放在所謂的鏈(chain)中。而netfilter/IPTABLES IP信息包過(guò)濾系統(tǒng)是一款功能強(qiáng)大的工具,可用于添加、編輯和移除規(guī)則。
雖然netfilter/IPTABLES IP信息包過(guò)濾系統(tǒng)被稱(chēng)為單個(gè)實(shí)體,但它實(shí)際上由兩個(gè)組件netfilter和IPTABLES組成。
netfilter組件也稱(chēng)為內(nèi)核空間(kernelspace),是內(nèi)核的一部分,由一些信息包過(guò)濾表組成,這些表包含內(nèi)核用來(lái)控制信息包過(guò)濾處理的規(guī)則集。
IPTABLES組件是一種工具,也稱(chēng)為用戶(hù)空間(userspace),它使插入、修改和除去信息包過(guò)濾表中的規(guī)則變得容易。除非正在使用Red Hat Linux 7.1或更高版本,否則需要下載該工具并安裝使用它。
netfilter/IPTABLES的最大優(yōu)點(diǎn)是它可以配置有狀態(tài)的防火墻,這是ipfwadm、pchains等以前的工具都無(wú)法提供的一種重要功能。有狀態(tài)的防火墻能夠指定并記住為發(fā)送或接收信息包所建立的連接的狀態(tài)。防火墻可以從信息包的連接跟蹤狀態(tài)獲得該信息。在決定新的信息包過(guò)濾時(shí),防火墻所使用的這些狀態(tài)信息可以增加其效率和速度。這里有四種有效狀態(tài),名稱(chēng)分別為ESTABLISHED、INVALID、NEW和RELATED。
狀態(tài)ESTABLISHED指出該信息包屬于已建立的連接,該連接一直用于發(fā)送和接收信息包并且完全有效。INVALID狀態(tài)指出該信息包與任何已知的流或連接都不相關(guān)聯(lián),它可能包含錯(cuò)誤的數(shù)據(jù)或頭。狀態(tài)NEW意味著該信息包已經(jīng)或?qū)?dòng)新的連接,或者它與尚未用于發(fā)送和接收信息包的連接相關(guān)聯(lián)。最后,RELATED表示該信息包正在啟動(dòng)新連接,以及它與已建立的連接相關(guān)聯(lián)。
netfilter/IPTABLES的另一個(gè)重要優(yōu)點(diǎn)是,它使用戶(hù)可以完全控制防火墻配置和信息包過(guò)濾??梢远ㄖ谱约旱囊?guī)則來(lái)滿足特定需求,從而只允許想要的網(wǎng)絡(luò)流量進(jìn)入系統(tǒng)。
另外,netfilter/IPTABLES是免費(fèi)的,這對(duì)于那些想要節(jié)省費(fèi)用的人來(lái)說(shuō)十分理想,它可以代替昂貴的防火墻解決方案。
圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾的系統(tǒng)的結(jié)構(gòu)示意圖;如圖1所示,所述系統(tǒng)包括如下模塊:
配置處理模塊110,用來(lái)接收并保存用戶(hù)配置的域名白名單,檢查配置域名的合法性。因此本發(fā)明的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng)能夠根據(jù)用戶(hù)的設(shè)置白名單而僅允許白名單上的域名訪問(wèn)網(wǎng)絡(luò)資源,不允許訪問(wèn)白名單之外的無(wú)用域名或有風(fēng)險(xiǎn)的域名,從而防止一些無(wú)用域名占用網(wǎng)絡(luò)資源和用戶(hù)的使用時(shí)間。
DNS處理模塊120,與配置處理模塊110及DNS服務(wù)器連接,用于獲取用戶(hù)配置的域名白名單,并向DNS服務(wù)器查詢(xún)上述用戶(hù)配置的域名白名單,以獲取域名和IP的映射表;根據(jù)本發(fā)明的額一個(gè)優(yōu)選實(shí)施例,所述DNS處理模塊120包括實(shí)時(shí)查詢(xún)模塊121或者定時(shí)查詢(xún)模塊122。其中,實(shí)時(shí)查詢(xún)模塊121對(duì)于用戶(hù)配置的域名,實(shí)時(shí)查詢(xún)指定的DNS服務(wù)器來(lái)獲取域名和IP的映射表,并將映射表里的IP存儲(chǔ)到IP池中。定時(shí)查詢(xún)模塊122對(duì)于用戶(hù)配置的域名,定時(shí)查詢(xún)指定的DNS服務(wù)器來(lái)獲取域名和IP的映射表,并將映射表里的IP存儲(chǔ)到IP池中。所述DNS處理模塊還用于將域名和IP的映射表中的全部或變化部分的IP發(fā)送至IP池。
所述DNS服務(wù)器為公用DNS服務(wù)器。DNS(Domain Name Server,域名服務(wù)器)是進(jìn)行域名(domain name)和與之相對(duì)應(yīng)的IP地址(IP address)轉(zhuǎn)換的服務(wù)器。DNS中保存了一張域名(domain name)和與之相對(duì)應(yīng)的IP地址(IP address)的表,以解析消息的域名。域名是Internet上某一臺(tái)計(jì)算機(jī)或計(jì)算機(jī)組的名稱(chēng),用于在數(shù)據(jù)傳輸時(shí)標(biāo)識(shí)計(jì)算機(jī)的電子方位(有時(shí)也指地理位置)。域名是由一串用點(diǎn)分隔的名字組成的,通常包含組織名,而且始終包括兩到三個(gè)字母的后綴,以指明組織的類(lèi)型或該域所在的國(guó)家或地區(qū)。
DNS是計(jì)算機(jī)域名系統(tǒng)(Domain Name System或Domain Name Service)的縮寫(xiě),它是由域名解析器和域名服務(wù)器組成的。域名服務(wù)器是指保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對(duì)應(yīng)IP地址,并具有將域名轉(zhuǎn)換為IP地址功能的服務(wù)器。其中域名必須對(duì)應(yīng)一個(gè)IP地址,一個(gè)IP地址可以有多個(gè)域名,而IP地址不一定有域名。域名系統(tǒng)采用類(lèi)似目錄樹(shù)的等級(jí)結(jié)構(gòu)。域名服務(wù)器通常為客戶(hù)機(jī)/服務(wù)器模式中的服務(wù)器方,它主要有兩種形式:主服務(wù)器和轉(zhuǎn)發(fā)服務(wù)器。將域名映射為IP地址的過(guò)程就稱(chēng)為“域名解析”。
IP池模塊130,用于存儲(chǔ)上述映射表中的IP。所述IP是查詢(xún)DNS服務(wù)器時(shí)查詢(xún)到的IP(公網(wǎng)IP),或者虛擬IP??梢愿鶕?jù)上述公網(wǎng)IP或者虛擬IP共同生成IPTABLES的規(guī)則。虛擬IP是指由總部(mdlan)指定總部空閑的一段IP作為移動(dòng)用戶(hù)接入時(shí)的虛擬IP池。當(dāng)移動(dòng)用戶(hù)接入后,分配一個(gè)虛擬IP給移動(dòng)用戶(hù),移動(dòng)用戶(hù)對(duì)總部的任何操作都是以分配的IP作為源IP、就完全和在總部局域網(wǎng)內(nèi)一樣。例如使用虛擬IP的移動(dòng)接入后,可以訪問(wèn)總部局域網(wǎng)內(nèi)的任何一臺(tái)計(jì)算機(jī),即使該計(jì)算機(jī)沒(méi)有把網(wǎng)關(guān)指向總部(mdlan);可以為接入的移動(dòng)用戶(hù)指定dns等網(wǎng)絡(luò)屬性。配置虛擬IP的步驟如下:1、創(chuàng)建虛擬IP池,虛擬IP池中的IP是總部空閑的IP。2、指定移動(dòng)用戶(hù)使用虛擬IP。如果設(shè)置虛擬IP為0.0.0.0表示自動(dòng)分配虛擬IP,當(dāng)移動(dòng)用戶(hù)接入后,mdlan從虛擬IP池中選擇一個(gè)空閑IP分配給移動(dòng)。也可以為移動(dòng)用戶(hù)指定虛擬IP(例如與該移動(dòng)用戶(hù)在局域網(wǎng)內(nèi)的內(nèi)網(wǎng)IP一致作為虛擬IP)。通過(guò)網(wǎng)關(guān)設(shè)置的DLAN下的虛擬IP池創(chuàng)建虛擬IP范圍,用戶(hù)設(shè)置分支用戶(hù)連接之后分配IP;通過(guò)網(wǎng)關(guān)設(shè)置的DLAN下的用戶(hù)管理創(chuàng)建用戶(hù),定義用戶(hù)驗(yàn)證及權(quán)限的設(shè)置,可以導(dǎo)入分支生成的硬件證書(shū)。
規(guī)則處理模塊140,用于根據(jù)上述配置觸發(fā)的上述映射表中的IP,組合成網(wǎng)絡(luò)流量過(guò)濾規(guī)則。所述規(guī)則處理模塊140將形成的網(wǎng)絡(luò)流量過(guò)濾規(guī)則發(fā)送內(nèi)核空間,由內(nèi)核根據(jù)網(wǎng)絡(luò)流量過(guò)濾規(guī)則來(lái)過(guò)濾網(wǎng)絡(luò)流量。
所述規(guī)則處理模塊140根據(jù)用戶(hù)配置觸發(fā)的實(shí)時(shí)或者定時(shí)的從IP池中獲取到新的IP,組合成IPTABLES的規(guī)則,這些規(guī)則為IPTABLES的IP白名單。規(guī)則處理模塊140將IPTABLES的規(guī)則下發(fā)到內(nèi)核中,在系統(tǒng)內(nèi)由內(nèi)核根據(jù)IP白名單來(lái)過(guò)濾網(wǎng)絡(luò)流量或者監(jiān)控網(wǎng)絡(luò)流量。
所述系統(tǒng)還進(jìn)一步包括UI用戶(hù)配置模塊150,用于根據(jù)用戶(hù)操作配置域名白名單。根據(jù)用戶(hù)配置的域名來(lái)指定哪些域名的流量可以通過(guò)該系統(tǒng),哪些域名的流量不可以通過(guò)該系統(tǒng)。
所述系統(tǒng)還進(jìn)一步包括數(shù)據(jù)庫(kù)模塊160,用于存儲(chǔ)IP池模塊中的IP并在系統(tǒng)啟動(dòng)時(shí)提供IP給所述IP池模塊。在數(shù)據(jù)庫(kù)中新建一個(gè)映射表時(shí),存儲(chǔ)數(shù)據(jù)類(lèi)型對(duì)性能有比較大的影響,其中包括數(shù)據(jù)的存儲(chǔ)空間,查詢(xún)的開(kāi)銷(xiāo)等。對(duì)于IP地址的存儲(chǔ)方式,也會(huì)影響到一些邏輯操作,比如比較大小之類(lèi),當(dāng)然對(duì)于IP地址來(lái)說(shuō),有時(shí)候可讀性也應(yīng)該考慮。
以ipv4為例,例如192.168.23.98,長(zhǎng)度大小為32位(4字節(jié)),從三方面考慮如何選擇存儲(chǔ)方式:可讀性,存儲(chǔ)效率,查詢(xún)效率。
因此,可以用下列方式進(jìn)行存儲(chǔ)IP:
1.varchar(15),可讀性好,192.168.23.98.的存儲(chǔ)空間最大。
2.bigint(8字節(jié)),存儲(chǔ)為1921682398,可讀性差,費(fèi)空間,易混淆。
3.tinyint(4字節(jié)),用4個(gè)字段分開(kāi)存儲(chǔ),可讀性差,存儲(chǔ)占用少。
4.varbinary(4),可讀性差,占用少。
圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾的方法的流程示意圖。所述方法包括如下步驟:
S210、接收并保存用戶(hù)配置的域名白名單,檢查配置域名的合法性;因此本發(fā)明的網(wǎng)絡(luò)流量過(guò)濾方法能夠根據(jù)用戶(hù)的設(shè)置白名單而僅允許白名單上的域名訪問(wèn)網(wǎng)絡(luò)資源,不允許訪問(wèn)白名單之外的無(wú)用域名或有風(fēng)險(xiǎn)的域名,從而防止一些無(wú)用域名占用網(wǎng)絡(luò)資源和用戶(hù)的使用時(shí)間。
S220、向DNS服務(wù)器查詢(xún)上述用戶(hù)配置的域名白名單,以獲取域名和IP的映射表;根據(jù)本發(fā)明的一個(gè)優(yōu)選實(shí)施例,所述查詢(xún)包括實(shí)時(shí)查詢(xún)或者定時(shí)查詢(xún)。其中,實(shí)時(shí)查詢(xún)對(duì)于用戶(hù)配置的域名,實(shí)時(shí)查詢(xún)指定的DNS服務(wù)器來(lái)獲取域名和IP的映射表,并將映射的IP存儲(chǔ)到IP池中。定時(shí)查詢(xún)對(duì)于用戶(hù)配置的域名,定時(shí)查詢(xún)指定的DNS服務(wù)器來(lái)獲取域名和IP的映射表,并將映射的IP存儲(chǔ)到IP池中。域名和IP的映射表中的全部或變化部分的IP均可以發(fā)送至IP池。
所述DNS服務(wù)器為公用DNS服務(wù)器。DNS(Domain Name Server,域名服務(wù)器)是進(jìn)行域名(domain name)和與之相對(duì)應(yīng)的IP地址(IP address)轉(zhuǎn)換的服務(wù)器。DNS中保存了一張域名(domain name)和與之相對(duì)應(yīng)的IP地址(IP address)的表,以解析消息的域名。域名是Internet上某一臺(tái)計(jì)算機(jī)或計(jì)算機(jī)組的名稱(chēng),用于在數(shù)據(jù)傳輸時(shí)標(biāo)識(shí)計(jì)算機(jī)的電子方位(有時(shí)也指地理位置)。域名是由一串用點(diǎn)分隔的名字組成的,通常包含組織名,而且始終包括兩到三個(gè)字母的后綴,以指明組織的類(lèi)型或該域所在的國(guó)家或地區(qū)。
DNS是計(jì)算機(jī)域名系統(tǒng)(Domain Name System或Domain Name Service)的縮寫(xiě),它是由域名解析器和域名服務(wù)器組成的。域名服務(wù)器是指保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對(duì)應(yīng)IP地址,并具有將域名轉(zhuǎn)換為IP地址功能的服務(wù)器。其中域名必須對(duì)應(yīng)一個(gè)IP地址,一個(gè)IP地址可以有多個(gè)域名,而IP地址不一定有域名。域名系統(tǒng)采用類(lèi)似目錄樹(shù)的等級(jí)結(jié)構(gòu)。域名服務(wù)器通常為客戶(hù)機(jī)/服務(wù)器模式中的服務(wù)器方,它主要有兩種形式:主服務(wù)器和轉(zhuǎn)發(fā)服務(wù)器。將域名映射為IP地址的過(guò)程就稱(chēng)為“域名解析”。
S230、存儲(chǔ)上述映射表中的IP;所述映射表中的IP存儲(chǔ)在數(shù)據(jù)庫(kù)中并在系統(tǒng)啟動(dòng)時(shí)提供所述IP。所述IP是查詢(xún)DNS服務(wù)器時(shí)查詢(xún)到的IP(公網(wǎng)IP),或者虛擬IP。可以根據(jù)上述公網(wǎng)IP或者虛擬IP共同生成IPTABLES的規(guī)則。虛擬IP是指由總部(mdlan)指定總部空閑的一段IP作為移動(dòng)用戶(hù)接入時(shí)的虛擬IP池。當(dāng)移動(dòng)用戶(hù)接入后,分配一個(gè)虛擬IP給移動(dòng)用戶(hù),移動(dòng)用戶(hù)對(duì)總部的任何操作都是以分配的IP作為源IP、就完全和在總部局域網(wǎng)內(nèi)一樣。例如使用虛擬IP的移動(dòng)接入后,可以訪問(wèn)總部局域網(wǎng)內(nèi)的任何一臺(tái)計(jì)算機(jī),即使該計(jì)算機(jī)沒(méi)有把網(wǎng)關(guān)指向總部(mdlan);可以為接入的移動(dòng)用戶(hù)指定dns等網(wǎng)絡(luò)屬性。配置虛擬IP的步驟如下:1、創(chuàng)建虛擬IP池,虛擬IP池中的IP是總部空閑的IP。2、指定移動(dòng)用戶(hù)使用虛擬IP。如果設(shè)置虛擬IP為0.0.0.0表示自動(dòng)分配虛擬IP,當(dāng)移動(dòng)用戶(hù)接入后,mdlan從虛擬IP池中選擇一個(gè)空閑IP分配給移動(dòng)。也可以為移動(dòng)用戶(hù)指定虛擬IP(例如與該移動(dòng)用戶(hù)在局域網(wǎng)內(nèi)的內(nèi)網(wǎng)IP一致作為虛擬IP)。通過(guò)網(wǎng)關(guān)設(shè)置的DLAN下的虛擬IP池創(chuàng)建虛擬IP范圍,用戶(hù)設(shè)置分支用戶(hù)連接之后分配IP;通過(guò)網(wǎng)關(guān)設(shè)置的DLAN下的用戶(hù)管理創(chuàng)建用戶(hù),定義用戶(hù)驗(yàn)證及權(quán)限的設(shè)置,可以導(dǎo)入分支生成的硬件證書(shū)。
在數(shù)據(jù)庫(kù)中新建一個(gè)映射表時(shí),存儲(chǔ)數(shù)據(jù)類(lèi)型對(duì)性能有比較大的影響,其中包括數(shù)據(jù)的存儲(chǔ)空間,查詢(xún)的開(kāi)銷(xiāo)等。對(duì)于IP地址的存儲(chǔ)方式,也會(huì)影響到一些邏輯操作,比如比較大小之類(lèi),當(dāng)然對(duì)于IP地址來(lái)說(shuō),有時(shí)候可讀性也應(yīng)該考慮。
以ipv4為例,例如192.168.23.98,長(zhǎng)度大小為32位(4字節(jié)),從三方面考慮如何選擇存儲(chǔ)方式:可讀性,存儲(chǔ)效率,查詢(xún)效率。
因此,可以用下列方式進(jìn)行存儲(chǔ):
1.varchar(15),可讀性好,192.168.23.98.的存儲(chǔ)空間最大。
2.bigint(8字節(jié)),存儲(chǔ)為1921682398,可讀性差,費(fèi)空間,易混淆。
3.tinyint(4字節(jié)),用4個(gè)字段分開(kāi)存儲(chǔ),可讀性差,存儲(chǔ)占用少。
4.varbinary(4),可讀性差,占用少。
S240、根據(jù)上述配置觸發(fā)的上述映射表中的IP,組合成網(wǎng)絡(luò)流量過(guò)濾規(guī)則。將形成的網(wǎng)絡(luò)流量過(guò)濾規(guī)則發(fā)送內(nèi)核空間,由內(nèi)核根據(jù)網(wǎng)絡(luò)流量過(guò)濾規(guī)則來(lái)過(guò)濾網(wǎng)絡(luò)流量。此時(shí),根據(jù)配置觸發(fā)的實(shí)時(shí)或者定時(shí)的從IP池中獲取到新的IP,組合成IPTABLES的規(guī)則,這些規(guī)則為IPTABLES的IP白名單。然后,將IPTABLES的規(guī)則下發(fā)到內(nèi)核中,在系統(tǒng)內(nèi)由內(nèi)核根據(jù)IP白名單來(lái)過(guò)濾網(wǎng)絡(luò)流量或者監(jiān)控網(wǎng)絡(luò)流量。
S250、將形成的網(wǎng)絡(luò)流量過(guò)濾規(guī)則發(fā)送內(nèi)核空間,由內(nèi)核根據(jù)網(wǎng)絡(luò)流量過(guò)濾規(guī)則來(lái)過(guò)濾網(wǎng)絡(luò)流量。根據(jù)用戶(hù)配置的域名來(lái)指定哪些域名的流量可以通過(guò)該系統(tǒng),那些域名的流量不可以通過(guò)該系統(tǒng)。
根據(jù)本發(fā)明的一個(gè)優(yōu)選實(shí)施例,如圖3所示,所述方法包括如下步驟:
S300、根據(jù)用戶(hù)操作配置域名白名單。例如在移動(dòng)終端中,可以在移動(dòng)終端的屏幕上通過(guò)輸入法輸入移動(dòng)終端來(lái)設(shè)置上述域名白名單。
S10、接收并保存用戶(hù)配置的域名白名單,檢查配置域名的合法性;因此本發(fā)明的網(wǎng)絡(luò)流量過(guò)濾方法能夠根據(jù)用戶(hù)的設(shè)置白名單而僅允許白名單上的域名訪問(wèn)網(wǎng)絡(luò)資源,不允許訪問(wèn)白名單之外的無(wú)用域名或有風(fēng)險(xiǎn)的域名,從而防止一些無(wú)用域名占用網(wǎng)絡(luò)資源和用戶(hù)的使用時(shí)間。
S320、向DNS服務(wù)器查詢(xún)上述用戶(hù)配置的域名白名單,以獲取域名和IP的映射表;根據(jù)本發(fā)明的額一個(gè)優(yōu)選實(shí)施例,所述查詢(xún)包括實(shí)時(shí)查詢(xún)或者定時(shí)查詢(xún)。其中,實(shí)時(shí)查詢(xún)對(duì)于用戶(hù)配置的域名,實(shí)時(shí)查詢(xún)指定的DNS服務(wù)器來(lái)獲取域名和IP的映射表,并將映射的IP存儲(chǔ)到IP池中。定時(shí)查詢(xún)對(duì)于用戶(hù)配置的域名,定時(shí)查詢(xún)指定的DNS服務(wù)器來(lái)獲取域名和IP的映射表,并將映射的IP存儲(chǔ)到IP池中。域名和IP的映射表中的全部或變化部分的IP均可以發(fā)送至IP池。
所述DNS服務(wù)器為公用DNS服務(wù)器。DNS(Domain Name Server,域名服務(wù)器)是進(jìn)行域名(domain name)和與之相對(duì)應(yīng)的IP地址(IP address)轉(zhuǎn)換的服務(wù)器。DNS中保存了一張域名(domain name)和與之相對(duì)應(yīng)的IP地址(IP address)的表,以解析消息的域名。域名是Internet上某一臺(tái)計(jì)算機(jī)或計(jì)算機(jī)組的名稱(chēng),用于在數(shù)據(jù)傳輸時(shí)標(biāo)識(shí)計(jì)算機(jī)的電子方位(有時(shí)也指地理位置)。域名是由一串用點(diǎn)分隔的名字組成的,通常包含組織名,而且始終包括兩到三個(gè)字母的后綴,以指明組織的類(lèi)型或該域所在的國(guó)家或地區(qū)。
DNS是計(jì)算機(jī)域名系統(tǒng)(Domain Name System或Domain Name Service)的縮寫(xiě),它是由域名解析器和域名服務(wù)器組成的。域名服務(wù)器是指保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對(duì)應(yīng)IP地址,并具有將域名轉(zhuǎn)換為IP地址功能的服務(wù)器。其中域名必須對(duì)應(yīng)一個(gè)IP地址,一個(gè)IP地址可以有多個(gè)域名,而IP地址不一定有域名。域名系統(tǒng)采用類(lèi)似目錄樹(shù)的等級(jí)結(jié)構(gòu)。域名服務(wù)器通常為客戶(hù)機(jī)/服務(wù)器模式中的服務(wù)器方,它主要有兩種形式:主服務(wù)器和轉(zhuǎn)發(fā)服務(wù)器。將域名映射為IP地址的過(guò)程就稱(chēng)為“域名解析”。
S330、存儲(chǔ)上述映射表中的IP;所述映射表中的IP存儲(chǔ)在數(shù)據(jù)庫(kù)中并在系統(tǒng)啟動(dòng)時(shí)提供所述IP。所述IP是查詢(xún)DNS服務(wù)器時(shí)查詢(xún)到的IP(公網(wǎng)IP),或者虛擬IP??梢愿鶕?jù)上述公網(wǎng)IP或者虛擬IP共同生成IPTABLES的規(guī)則。虛擬IP是指由總部(mdlan)指定總部空閑的一段IP作為移動(dòng)用戶(hù)接入時(shí)的虛擬IP池。當(dāng)移動(dòng)用戶(hù)接入后,分配一個(gè)虛擬IP給移動(dòng)用戶(hù),移動(dòng)用戶(hù)對(duì)總部的任何操作都是以分配的IP作為源IP、就完全和在總部局域網(wǎng)內(nèi)一樣。例如使用虛擬IP的移動(dòng)接入后,可以訪問(wèn)總部局域網(wǎng)內(nèi)的任何一臺(tái)計(jì)算機(jī),即使該計(jì)算機(jī)沒(méi)有把網(wǎng)關(guān)指向總部(mdlan);可以為接入的移動(dòng)用戶(hù)指定dns等網(wǎng)絡(luò)屬性。配置虛擬IP的步驟如下:1、創(chuàng)建虛擬IP池,虛擬IP池中的IP是總部空閑的IP。2、指定移動(dòng)用戶(hù)使用虛擬IP。如果設(shè)置虛擬IP為0.0.0.0表示自動(dòng)分配虛擬IP,當(dāng)移動(dòng)用戶(hù)接入后,mdlan從虛擬IP池中選擇一個(gè)空閑IP分配給移動(dòng)。也可以為移動(dòng)用戶(hù)指定虛擬IP(例如與該移動(dòng)用戶(hù)在局域網(wǎng)內(nèi)的內(nèi)網(wǎng)IP一致作為虛擬IP)。通過(guò)網(wǎng)關(guān)設(shè)置的DLAN下的虛擬IP池創(chuàng)建虛擬IP范圍,用戶(hù)設(shè)置分支用戶(hù)連接之后分配IP;通過(guò)網(wǎng)關(guān)設(shè)置的DLAN下的用戶(hù)管理創(chuàng)建用戶(hù),定義用戶(hù)驗(yàn)證及權(quán)限的設(shè)置,可以導(dǎo)入分支生成的硬件證書(shū)。
在數(shù)據(jù)庫(kù)中新建一個(gè)映射表時(shí),存儲(chǔ)數(shù)據(jù)類(lèi)型對(duì)性能有比較大的影響,其中包括數(shù)據(jù)的存儲(chǔ)空間,查詢(xún)的開(kāi)銷(xiāo)等。對(duì)于IP地址的存儲(chǔ)方式,也會(huì)影響到一些邏輯操作,比如比較大小之類(lèi),當(dāng)然對(duì)于IP地址來(lái)說(shuō),有時(shí)候可讀性也應(yīng)該考慮。
以ipv4為例,例如192.168.23.98,長(zhǎng)度大小為32位(4字節(jié)),從三方面考慮如何選擇存儲(chǔ)方式:可讀性,存儲(chǔ)效率,查詢(xún)效率。
因此,可以用下列方式進(jìn)行存儲(chǔ):
1.varchar(15),可讀性好,192.168.23.98.的存儲(chǔ)空間最大。
2.bigint(8字節(jié)),存儲(chǔ)為1921682398,可讀性差,費(fèi)空間,易混淆。
3.tinyint(4字節(jié)),用4個(gè)字段分開(kāi)存儲(chǔ),可讀性差,存儲(chǔ)占用少。
4.varbinary(4),可讀性差,占用少。
S340、根據(jù)上述配置觸發(fā)的上述映射表中的IP,組合成網(wǎng)絡(luò)流量過(guò)濾規(guī)則。將形成的網(wǎng)絡(luò)流量過(guò)濾規(guī)則發(fā)送內(nèi)核空間,由內(nèi)核根據(jù)網(wǎng)絡(luò)流量過(guò)濾規(guī)則來(lái)過(guò)濾網(wǎng)絡(luò)流量。此時(shí),根據(jù)配置觸發(fā)的實(shí)時(shí)或者定時(shí)的從IP池中獲取到新的IP,組合成IPTABLES的規(guī)則,這些規(guī)則為IPTABLES的IP白名單。然后,將IPTABLES的規(guī)則下發(fā)到內(nèi)核中,在系統(tǒng)內(nèi)由內(nèi)核根據(jù)IP白名單來(lái)過(guò)濾網(wǎng)絡(luò)流量或者監(jiān)控網(wǎng)絡(luò)流量。
S350、將形成的網(wǎng)絡(luò)流量過(guò)濾規(guī)則發(fā)送內(nèi)核空間,由內(nèi)核根據(jù)網(wǎng)絡(luò)流量過(guò)濾規(guī)則來(lái)過(guò)濾網(wǎng)絡(luò)流量。根據(jù)用戶(hù)配置的域名來(lái)指定哪些域名的流量可以通過(guò)該系統(tǒng),那些域名的流量不可以通過(guò)該系統(tǒng)。
需要說(shuō)明的是:
在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬裝置或者其它設(shè)備固有相關(guān)。各種通用裝置也可以與基于在此的示教一起使用。根據(jù)上面的描述,構(gòu)造這類(lèi)裝置所要求的結(jié)構(gòu)是顯而易見(jiàn)的。此外,本發(fā)明也不針對(duì)任何特定編程語(yǔ)言。應(yīng)當(dāng)明白,可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。
在此處所提供的說(shuō)明書(shū)中,說(shuō)明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對(duì)本說(shuō)明書(shū)的理解。
類(lèi)似地,應(yīng)當(dāng)理解,為了精簡(jiǎn)本公開(kāi)并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè),在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而,并不應(yīng)將該公開(kāi)的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說(shuō),如下面的權(quán)利要求書(shū)所反映的那樣,發(fā)明方面在于少于前面公開(kāi)的單個(gè)實(shí)施例的所有特征。因此,遵循具體實(shí)施方式的權(quán)利要求書(shū)由此明確地并入該具體實(shí)施方式,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。
本領(lǐng)域那些技術(shù)人員可以理解,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中。可以把實(shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外,可以采用任何組合對(duì)本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的所有特征以及如此公開(kāi)的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合。除非另外明確陳述,本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來(lái)代替。
此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如,在下面的權(quán)利要求書(shū)中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用。
本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的虛擬機(jī)的創(chuàng)建裝置中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號(hào)上提供,或者以任何其他形式提供。
應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱(chēng)。
本發(fā)明的實(shí)施例公開(kāi)了A1、一種基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述系統(tǒng)包括如下模塊:
配置處理模塊,用來(lái)接收并保存用戶(hù)配置的域名白名單,檢查配置域名的合法性;
DNS處理模塊,與配置處理模塊及DNS服務(wù)器連接,用于獲取用戶(hù)配置的域名白名單,并向DNS服務(wù)器查詢(xún)上述用戶(hù)配置的域名白名單,以獲取域名和IP的映射表;
IP池模塊,用于存儲(chǔ)上述映射表中的IP;
規(guī)則處理模塊,用于根據(jù)上述配置觸發(fā)的上述映射表中的IP,組合成網(wǎng)絡(luò)流量過(guò)濾規(guī)則。
A2、如A1所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述系統(tǒng)進(jìn)一步包括UI用戶(hù)配置模塊,用于根據(jù)用戶(hù)操作配置域名白名單。
A3、如A1所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述DNS處理模塊包括:實(shí)時(shí)查詢(xún)模塊或者定時(shí)查詢(xún)模塊;
所述DNS處理模塊還用于將域名和IP的映射表中的全部或變化部分的IP發(fā)送至IP池。
A4、如A1所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述DNS服務(wù)器為公用DNS服務(wù)器。
A5、如A1-A4任意一項(xiàng)所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述規(guī)則處理模塊將形成的網(wǎng)絡(luò)流量過(guò)濾規(guī)則發(fā)送內(nèi)核空間,由內(nèi)核根據(jù)網(wǎng)絡(luò)流量過(guò)濾規(guī)則來(lái)過(guò)濾網(wǎng)絡(luò)流量。
A6、如A4所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述系統(tǒng)進(jìn)一步包括數(shù)據(jù)庫(kù)模塊,用于存儲(chǔ)IP池模塊中的IP并在系統(tǒng)啟動(dòng)時(shí)提供IP給所述IP池模塊。
本發(fā)明的實(shí)施例還公開(kāi)了:A7、一種基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾方法,包括如下步驟:
接收并保存用戶(hù)配置的域名白名單,檢查配置域名的合法性;
向DNS服務(wù)器查詢(xún)上述用戶(hù)配置的域名白名單,以獲取域名和IP的映射表;
存儲(chǔ)上述映射表中的IP;
根據(jù)上述配置觸發(fā)的上述映射表中的IP,組合成網(wǎng)絡(luò)流量過(guò)濾規(guī)則;
將形成的網(wǎng)絡(luò)流量過(guò)濾規(guī)則發(fā)送內(nèi)核空間,由內(nèi)核根據(jù)網(wǎng)絡(luò)流量過(guò)濾規(guī)則來(lái)過(guò)濾網(wǎng)絡(luò)流量。
A8、如A7所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述方法進(jìn)一步包括UI用戶(hù)配置步驟,用于根據(jù)用戶(hù)操作配置域名白名單。
A9、如A7所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述查詢(xún)?yōu)閷?shí)時(shí)或者定時(shí)查詢(xún)。
A10、如A7所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述DNS服務(wù)器為公用DNS服務(wù)器。
A11、如A10所述的基于域名規(guī)則的網(wǎng)絡(luò)流量過(guò)濾系統(tǒng),所述映射表中的IP存儲(chǔ)在數(shù)據(jù)庫(kù)中并在系統(tǒng)啟動(dòng)時(shí)提供所述IP。
顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若對(duì)本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其同等技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。