[go: up one dir, main page]

CN103634314B - 一种基于虚拟路由器vsr的服务访问控制方法及设备 - Google Patents

一种基于虚拟路由器vsr的服务访问控制方法及设备 Download PDF

Info

Publication number
CN103634314B
CN103634314B CN201310618818.5A CN201310618818A CN103634314B CN 103634314 B CN103634314 B CN 103634314B CN 201310618818 A CN201310618818 A CN 201310618818A CN 103634314 B CN103634314 B CN 103634314B
Authority
CN
China
Prior art keywords
domain name
address
client
dns
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310618818.5A
Other languages
English (en)
Other versions
CN103634314A (zh
Inventor
王奕
王伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN201310618818.5A priority Critical patent/CN103634314B/zh
Publication of CN103634314A publication Critical patent/CN103634314A/zh
Application granted granted Critical
Publication of CN103634314B publication Critical patent/CN103634314B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于虚拟路由器VSR的服务访问控制方法和设备,应用于与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS上,技术方案为:域名解析服务器DNS接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的域名信息;所述DNS解析所述域名解析请求报文携带的客户端的源IP地址和域名信息,根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限,如果允许访问,则DNS进一步解析所述域名解析请求报文得到所述域名的IP地址,将所述IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则DNS发送域名解析出错报文给所述客户端。

Description

一种基于虚拟路由器VSR的服务访问控制方法及设备
技术领域
本发明涉及网络通信传输技术,特别是一种基于虚拟路由器VSR的服务访问控制方法和设备。
背景技术
随着虚拟化与云计算技术的不断成熟,越来越多的云服务提供商及电信运营商开始提供公有云服务,允许企业按需租用资源和服务,创建企业自己的虚拟数据中心(Virtual Data Center,VDC)或虚拟私有云(Virtual Private Cloud,VPC),帮助企业节省建设成本、提高业务敏捷性,因此,更多的企业开始将业务应用向公有云迁移。但是,公有云是多租户环境,它的基础设施和资源是所有租户共享的,企业在公有云中无法部署自己的网络设备,从而给企业和服务商带来很多网络方面的挑战和问题。
另外,企业分支机构地域分散,部署网络设备和应用服务器,建设周期长,人力维护成本高,迫切需要精简分支基础设施,提高业务部署能力,节省投资和减少维护。随着应用向云端迁移及服务器和虚拟化技术的快速发展,在一台服务器上同时提供网络功能和IT应用已成为趋势。
现在中小企业的IT信息服务都是租用虚拟空间或者虚拟服务器来建设自己的网站和应用服务,但是网络上总是有一些攻击者或者病毒,它们通过扫描域名来进行网站的无效访问,一般的DNS(Domain Name)都部署在第三方,企业无法在DNS服务器上进行配置,控制对本企业Web服务的访问策略,导致自己的网站或者应用服务器非常脆弱,防攻击能力特别差,同时很多无效的攻击占用了大量的宝贵的服务器带宽,使得中小企业真正服务的用户无法享受好的信息服务。
发明内容
有鉴于此,本发明提出了一种基于虚拟路由器VSR(Virtual Services Router)的服务访问控制方法和设备,整合了VSR及DNS,提供了一种与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS访问控制方法,使得Web服务策略访问控制变成可能。可以使得通过对域名的访问解析控制,限制网站被自己的有效用户访问,从而抑制全世界范围内无效的访问和攻击,进而节约带宽及计算能力。本发明提出的技术方案是:
一种基于虚拟路由器VSR的服务访问控制方法,该方法应用于与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS上,该方法包括:
所述DNS接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的域名信息;
所述DNS解析所述域名解析请求报文携带的客户端的源IP地址和域名信息,根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限,如果允许访问,则DNS进一步解析所述域名解析请求报文得到所述域名的IP地址,将所述IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则DNS发送域名解析出错报文给所述客户端。
上述方案中,所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。
上述方案中,所述DNS查询所述源IP地址对所述域名的访问权限时,该方法进一步包括:
所述DNS根据解析出的所述客户端的源IP地址查询区域对应表,进而根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表,所述区域对应表为IP地址与区域的对应表,所述Web服务访问权限表为区域对域名的访问权限列表。
上述方案中,所述DNS查询不到与所述客户端的源IP地址匹配的区域时,该方法进一步包括:
所述DNS发送域名解析出错报文给所述客户端。
上述方案中,所述DNS查询不到与所述匹配区域匹配的访问权限时,该方法进一步包括:
所述DNS将所述匹配区域匹配默认规则。
一种域名服务器DNS,该DNS与VSR一同部署在公有云中的虚拟数据中心或虚拟私有云中,该DNS包括:
报文接收模块,用于接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的网站域名信息;
解析模块,用于解析所述域名解析请求报文携带的客户端的源IP地址与域名信息,还用于解析所述域名的IP地址。
查询模块,用于根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限。
报文发送模块,如果允许访问,则将解析所得所述域名的IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则发送域名解析出错报文给所述客户端。
上述方案中,所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。
上述方案中,所述查询模块进一步包括区域查询子模块和访问权限查询子模块,
所述区域查询子模块用于,根据解析出的所述客户端的源IP地址查询区域对应表,所述区域对应表为IP地址与区域的对应表;
所述访问权限查询子模块用于,根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表,所述Web服务访问权限表为区域对域名的访问权限列表。
上述方案中,所述区域查询子模块查询不到与所述客户端的源IP地址匹配的区域时,
所述报文发送模块进一步用于,发送域名解析出错报文给所述客户端。
上述方案中,所述访问权限查询子模块查询不到与所述匹配区域匹配的访问权限时,
所述访问权限查询子模块进一步用于,将所述匹配区域匹配默认规则。
综上所述,本发明提出的技术方案能够使与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC上的DNS通过对域名的访问解析进行有效控制,限制网站被自己的有效用户访问,从而抑制全世界范围内无效的访问和攻击,进而节约带宽及计算能力。
附图说明
图1为VSR公有云典型组网。
图2为方法实施例一的流程图。
图3为方法实施例二的流程图。
图4为方法实施例三的流程图。
图5为本发明实施例的DNS设备结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点表达的更加清楚明白,下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明一个实施例的技术方案是:
所述DNS接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的域名信息;
所述DNS解析所述域名解析请求报文携带的客户端的源IP地址和域名信息,根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限,如果允许访问,则DNS进一步解析所述域名解析请求报文得到所述域名的IP地址,将所述IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则DNS发送域名解析出错报文给所述客户端。
为了顺应业界发展趋势及应对发展中面临的问题,通信设备厂商开发出虚拟路由器(Virtual Services Router,VSR)系列产品,它运行在数据中心或分支的服务器虚拟机上,提供和物理路由器相同的功能和体验,包括路由、防火墙、虚拟专用网络(VirtualPrivate Network,VPN)、服务质量(Quality of Service,QoS)、及配置管理等,帮助企业建立安全、统一、可扩展的混合云,同时精简分支基础设施,图1为VSR公有云典型组网结构示意图。
如图1所示,在云中,VSR作为企业网延伸到云端的网关设备,部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC上,为企业VPC和企业总部/分支之间提供VPN,以保证企业租户的安全。
VSR为企业带来的价值:
1)将企业VPC网络作为企业网络的一部分进行管理,确保一致的网络配置、安全策略、管理策略、及IP地址规划等,实现统一的企业网络管理;
2)和企业分支一样,实施统一的流量控制、部署一致的网络业务(如:QoS、防火墙、负载均衡、广域网(Wide Area Network,WAN)优化等),提供一致的网络业务体验;
3)在企业总部、分支和企业VPC之间建立端到端的VPN连接,使得公有云应用访问更安全,同时端到端的访问避免了总部中转,减少了云应用的响应时间,提高了云应用的使用体验。
基于VSR的诞生,企业可以将DNS服务器与VSR一同部署在公有云中的企业的虚拟数据中心VDC或虚拟私有云VPC中,对DNS服务器部署策略,通过对域名的访问解析控制,从而限制网站被有效用户访问,抑制全世界范围内无效的访问和攻击,节约带宽及计算能力,使得用户对Web服务的访问受控。
与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS配置有Web服务访问权限表,访问权限表包含如下字段:规则号、区域名称、Web服务、访问权限,经过查询该访问权限表可得某区域对某Web服务的访问权限,如果是permit则允许访问,如果是deny则禁止访问。如表1所示,A区域匹配第1条访问权限规则,表示A区域允许访问Web服务1;B区域匹配第2条访问权限规则,表示B区域禁止访问Web服务2;第3条访问权限规则为默认规则,除A区域和B区域之外的其他区域匹配第3条默认规则,表示此DNS禁止除A区域和B区域之外的其他区域访问任何Web服务。
表1
规则号 区域名称 Web服务 访问权限
1 Site A Web1 permit
2 Site B Web2 deny
3 Any Any deny
除Web服务访问权限表外,与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS还维护一个区域对应表,用于检测提出域名解析请求的客户端的源IP地址所属的区域,对应规则包含如下字段:区域名称,IP地址、子网掩码。DNS接收到客户端发送的域名解析请求报文后,解析所述域名解析请求报文携带的客户端的源IP地址与域名信息,根据解析所得源IP地址查询自身维护的区域对应表,即可检测出所述源IP地址所属的区域。如表2所示,网段10.1.1.1/255.255.255.0属于A区域,网段10.2.1.1/255.255.255.0属于B区域。
表2
区域名称 IP 子网掩码
Site A 10.1.1.1 255.255.255.0
Site B 10.2.1.1 255.255.255.0
具体访问权限查询过程为:DNS接到客户端发来的域名解析请求报文后,解析出域名解析请求报文携带的源IP地址和域名信息,然后根据源IP地址查找区域对应表,查询所述源IP地址所属区域,再根据查询所得的所属区域查找Web服务访问权限表,从而得到所述客户端对域名解析请求报文中携带的域名的访问权限,如果为permit,则DNS进一步解析所述域名的IP地址,将其携带于域名解析回应报文中发送给所述客户端;如果是deny,则DNS发送域名解析出错报文给所述客户端,意为禁止该客户端访问所述域名。如果Web服务访问权限表的区域字段没有与所述源IP地址所属区域相同的区域,则将所述源IP地址所属区域匹配Web服务访问权限表中的默认规则,根据默认规则对应的访问权限作出相应处理。
在DNS根据源IP地址查找区域对应表时,如果区域对应表中没有与所述源IP地址匹配的区域,则DNS直接发送域名解析出错报文给所述客户端,意为禁止该客户端访问所述域名。
方法实施例一
本实施例中,以一个本地生活服务网站为例,该本地生活服务网站希望访问的用户是本地城市的人们。该服务网站域名为www.service.com,本地联通的IP网段为10.10.1.1/255.255.0.0,本地移动的IP网段为20.10.1.1/255.255.0.0;部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS维护下述两个表格:Web服务访问权限表(表3)和区域对应表(表4)。
表3
规则号 Site Web Service Action
1 Site A www.service.com Permit
2 Site B www.service.com Permit
3 Any Any Deny
表4
Site IP Mask
Site A 10.10.1.1 255.255.0.0
Site B 20.10.1.1 255.255.0.0
Site C 30.10.1.1 255.255.0.0
Site D 40.10.1.1 255.255.0.0
图2为本实施例的流程图,以本地联通用户(IP地址为10.10.1.88)试图访问网站www.service.com为例对本发明技术方案进行说明,包括以下步骤:
步骤201:DNS接收到客户端发送来的域名解析请求报文,所述域名解析请求报文携带有所述客户端的源IP地址以及该客户端请求访问的域名信息。
本步骤中,DNS接收到本地联通用户(IP地址为10.10.1.88)发送来的域名解析请求报文,所述域名解析请求报文携带有所述客户端的源IP地址10.10.1.88以及该客户端请求访问的域名信息www.service.com。
步骤202:DNS解析出所述域名解析请求报文携带的源IP地址和域名信息。
本步骤中,DNS解析所述域名解析请求报文,得到其携带的源IP地址10.10.1.88和域名信息www.service.com。
步骤203:DNS根据源IP地址查找表2区域对应表。
本步骤中,DNS根据步骤202中解析出的源IP地址10.10.1.88查询表2,查询到该IP地址所属区域为Site A。
步骤204:DNS根据源IP地址所属区域查找表1Web服务访问权限表。
本步骤中,DNS根据步骤203中查询到的源IP地址10.10.1.88所属区域Site A查询表1Web服务访问权限表,对应第一条访问规则,Site A对www.service.com的访问权限为permit,则说明允许该本地联通用户(IP地址为10.10.1.88)对本地生活服务网站进行访问。
步骤205:DNS进一步解析域名解析请求报文,得到所述域名的IP地址,将其携带于域名解析回应报文中发送给本地联通用户。
本步骤中,DNS进一步解析域名解析请求报文,将解析得到的www.service.com的IP地址携带于域名解析回应报文中发送给本地联通用户(IP地址为10.10.1.88),使得该用户可以访问本地生活服务网站。
应用本实施例技术方案,能够使部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS通过对域名的访问解析进行有效控制,只对特定用户进行域名解析,使得自己的带宽和计算能力被有效的用户使用。
方法实施例二
方法实施例一以本地联通用户试图访问本地生活服务网站为例对本发明技术方案进行介绍,本实施例则从外地联通用户(IP地址为30.10.1.88)试图访问本地生活服务网站www.service.com角度对本发明技术方案作进一步说明,仍然沿用方法实施例一中的区域对应表和Web服务访问权限表。图3为本实施例的流程图,包括以下步骤:
步骤301:DNS接收到客户端发送来的域名解析请求报文,所述域名解析请求报文携带有所述客户端的源IP地址以及该客户端请求访问的域名信息。
本步骤中,DNS接收到外地联通用户(IP地址为30.10.1.88)发送来的域名解析请求报文,所述域名解析请求报文携带有所述客户端的源IP地址30.10.1.88以及该客户端请求访问的域名信息www.service.com。
步骤302:DNS解析出所述域名解析请求报文携带的源IP地址和域名信息。
本步骤中,DNS解析所述域名解析请求报文,得到其携带的源IP地址30.10.1.88和域名信息www.service.com。
步骤303:DNS根据源IP地址查找表2区域对应表。
本步骤中,DNS根据步骤302中解析出的源IP地址30.10.1.88查询表2,查询到该IP地址所属区域为Site C。
步骤304:DNS根据源IP地址所属区域查找表1Web服务访问权限表。
本步骤中,DNS根据步骤303中查询到的源IP地址30.10.1.88所属区域Site C查询表1Web服务访问权限表,没有与Site C对应的访问权限规则,则将Site C匹配表1中的第3条默认规则,该默认规则意为除Site A与Site B之外的其他任何区域对任意网站的访问权限为deny,则Site C对www.service.com的访问权限为deny,说明禁止该外地联通用户(IP地址为30.10.1.88)对本地生活服务网站进行访问。
步骤305:DNS发送域名解析出错报文给外地联通用户。
本步骤中,DNS发送域名解析出错报文给外地联通用户(IP地址为30.10.1.88),意为禁止该外地联通用户对本地生活服务网站进行访问。
应用本实实施例方案,可以有效屏蔽掉无效的访问和攻击访问,从访问域名的源头进行了攻击和无效访问控制,节省了DNS的带宽和计算能力。方法实施例三
方法实施例一和方法实施例二均能在表2中查询到与域名解析请求报文中携带的源IP地址对应的区域,本实施例则从表2中不存在与域名解析请求报文中携带的源IP地址对应的区域角度对本发明实施例进行说明,以外地联通用户(IP地址为50.10.1.88)试图访问本地生活服务网站www.service.com为例,仍然沿用方法实施例一中的区域对应表和Web服务访问权限表。图4为本实施例的流程图,包括以下步骤:
步骤401:DNS接收到客户端发送来的域名解析请求报文,所述域名解析请求报文携带有所述客户端的源IP地址以及该客户端请求访问的域名信息。
本步骤中,DNS接收到外地联通用户(IP地址为50.10.1.88)发送来的域名解析请求报文,所述域名解析请求报文携带有所述客户端的源IP地址50.10.1.88以及该客户端请求访问的域名信息www.service.com。
步骤402:DNS解析出所述域名解析请求报文携带的源IP地址和域名信息。
本步骤中,DNS解析所述域名解析请求报文,得到其携带的源IP地址50.10.1.88和域名信息www.service.com。
步骤403:DNS根据源IP地址查找表2区域对应表。
本步骤中,DNS根据步骤402中解析出的源IP地址50.10.1.88查询表2,发现表2中没有IP地址50.10.1.88所属的区域。
步骤404:DNS发送域名解析出错报文给外地联通用户。
基于步骤403查询不到IP地址50.10.1.88所属的区域,说明该用户不在本DNS需要判断权限的用户范围内,则进一步可知禁止该用户访问本地生活服务网站www.service.com,则DNS发送域名解析出错报文给外地联通用户(IP地址50.10.1.88)。
针对上述方法,本发明还公开一种域名服务器DNS,该DNS与VSR一同部署在公有云中的虚拟数据中心或虚拟私有云中。本发明公开的设备如图5所示,包括:
报文接收模块510,用于接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的网站域名信息。
解析模块520,用于解析所述域名解析请求报文携带的客户端的源IP地址与域名信息,还用于解析所述域名的IP地址。
查询模块530,用于根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限。
报文发送模块540,如果允许访问,则将解析所得所述域名的IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则发送域名解析出错报文给所述客户端。
所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。
所述查询模块530进一步包括区域查询子模块531和访问权限查询子模块532,
所述区域查询子模块531用于,根据解析出的所述客户端的源IP地址查询区域对应表,所述区域对应表为IP地址与区域的对应表;
所述访问权限查询子模块532用于,根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表,所述Web服务访问权限表为区域对域名的访问权限列表。
所述区域查询子模块531查询不到与所述客户端的源IP地址匹配的区域时,所述报文发送模块540进一步用于,发送域名解析出错报文给所述客户端。
所述访问权限查询子模块532查询不到与所述匹配区域匹配的访问权限时,所述访问权限查询子模块532进一步用于,将所述匹配区域匹配默认规则。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (8)

1.一种基于虚拟路由器VSR的服务访问控制方法,其特征在于,该方法应用于与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS上,该方法包括:
所述DNS接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的域名信息;
所述DNS解析所述域名解析请求报文携带的客户端的源IP地址和域名信息,根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限,如果允许访问,则DNS进一步解析所述域名解析请求报文得到所述域名的IP地址,将所述IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则DNS发送域名解析出错报文给所述客户端;
所述DNS查询所述源IP地址对所述域名的访问权限时,该方法进一步包括:
所述DNS根据解析出的所述客户端的源IP地址查询区域对应表,进而根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表,所述区域对应表为IP地址与区域的对应表,所述Web服务访问权限表为区域对域名的访问权限列表。
2.根据权利要求1所述的方法,其特征在于,所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。
3.根据权利要求1所述的方法,其特征在于,所述DNS查询不到与所述客户端的源IP地址匹配的区域时,该方法进一步包括:
所述DNS发送域名解析出错报文给所述客户端。
4.根据权利要求1所述的方法,其特征在于,所述DNS查询不到与所述匹配区域匹配的访问权限时,该方法进一步包括:
所述DNS将所述匹配区域匹配默认规则。
5.一种域名服务器DNS,其特征在于,该DNS与VSR一同部署在公有云中的虚拟数据中心或虚拟私有云中,该DNS包括:
报文接收模块,用于接收客户端发送来的域名解析请求报文,所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的网站域名信息;
解析模块,用于解析所述域名解析请求报文携带的客户端的源IP地址与域名信息,还用于解析所述域名的IP地址;
查询模块,用于根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限;
报文发送模块,如果允许访问,则将解析所得所述域名的IP地址携带于域名解析回应报文中发送给客户端,如果禁止访问,则发送域名解析出错报文给所述客户端;
所述查询模块进一步包括区域查询子模块和访问权限查询子模块,
所述区域查询子模块用于,根据解析出的所述客户端的源IP地址查询区域对应表,所述区域对应表为IP地址与区域的对应表;
所述访问权限查询子模块用于,根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表,所述Web服务访问权限表为区域对域名的访问权限列表。
6.根据权利要求5所述的域名服务器DNS,其特征在于,所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。
7.根据权利要求5所述的域名服务器DNS,其特征在于,所述区域查询子模块查询不到与所述客户端的源IP地址匹配的区域时,
所述报文发送模块进一步用于,发送域名解析出错报文给所述客户端。
8.根据权利要求5所述的域名服务器DNS,其特征在于,所述访问权限查询子模块查询不到与所述匹配区域匹配的访问权限时,
所述访问权限查询子模块进一步用于,将所述匹配区域匹配默认规则。
CN201310618818.5A 2013-11-28 2013-11-28 一种基于虚拟路由器vsr的服务访问控制方法及设备 Active CN103634314B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310618818.5A CN103634314B (zh) 2013-11-28 2013-11-28 一种基于虚拟路由器vsr的服务访问控制方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310618818.5A CN103634314B (zh) 2013-11-28 2013-11-28 一种基于虚拟路由器vsr的服务访问控制方法及设备

Publications (2)

Publication Number Publication Date
CN103634314A CN103634314A (zh) 2014-03-12
CN103634314B true CN103634314B (zh) 2017-06-16

Family

ID=50214941

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310618818.5A Active CN103634314B (zh) 2013-11-28 2013-11-28 一种基于虚拟路由器vsr的服务访问控制方法及设备

Country Status (1)

Country Link
CN (1) CN103634314B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104219162A (zh) * 2014-09-10 2014-12-17 汉柏科技有限公司 基于dns的分组负载均衡方法、设备及系统
CN105120010B (zh) * 2015-09-18 2019-01-22 华北电力科学研究院有限责任公司 一种云环境下虚拟机防窃取方法
CN108881501B (zh) * 2017-05-12 2021-07-06 阿里巴巴集团控股有限公司 一种实现网页应用域名跳转的方法及装置
CN107689987B (zh) * 2017-08-11 2021-01-08 东软集团股份有限公司 虚拟网络服务暴露方法及装置
CN107508739B (zh) * 2017-09-06 2020-08-11 成都佑勤网络科技有限公司 一种通过vpn隧道传输数据的鉴权方法
CN113726918B (zh) * 2017-10-11 2024-01-05 华为云计算技术有限公司 基于云计算网络的域名解析方法及相关系统和装置
CN111742524B (zh) * 2018-02-20 2021-12-14 华为技术有限公司 企业虚拟专用网络(vpn)与虚拟私有云(vpc)粘连
CN108833424B (zh) * 2018-06-25 2020-11-03 哈尔滨工业大学 一种获取域名所有资源记录的系统
CN109192262B (zh) * 2018-09-17 2020-11-20 北京惠每云科技有限公司 一种数据传输方法及装置
CN109889621B (zh) * 2019-01-18 2021-07-16 北京百度网讯科技有限公司 虚拟私有云服务的配置方法和装置
CN109729189B (zh) * 2019-03-14 2021-11-12 北京百度网讯科技有限公司 用于配置域名的方法和装置
CN111277611B (zh) * 2020-02-25 2022-11-22 深信服科技股份有限公司 一种虚拟机联网控制方法、装置、电子设备及存储介质
CN111405079A (zh) * 2020-03-06 2020-07-10 深圳市宝能投资集团有限公司 一种域名解析方法、装置、存储介质及电子设备
CN111385203B (zh) * 2020-03-19 2022-02-22 上海东普信息科技有限公司 基于混合云的数据传输方法、装置、设备及存储介质
CN112671579A (zh) * 2020-12-23 2021-04-16 安徽长泰信息安全服务有限公司 一种基于云管理的远程网关管理系统
CN112910919B (zh) * 2021-02-26 2023-04-07 北京百度网讯科技有限公司 解析方法、装置、电子设备及存储介质
CN112968966B (zh) * 2021-02-26 2023-05-02 北京百度网讯科技有限公司 调度方法、装置、电子设备及存储介质
CN115826444A (zh) * 2021-09-18 2023-03-21 上海云盾信息技术有限公司 基于dns解析的安全访问控制方法、系统、装置及设备
CN114553821B (zh) * 2022-02-24 2023-06-27 杭州迪普科技股份有限公司 Vpn客户端代理dns解析方法及装置
CN115801729A (zh) * 2022-11-15 2023-03-14 北京有竹居网络技术有限公司 Dns请求处理方法、装置、电子设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6961783B1 (en) * 2001-12-21 2005-11-01 Networks Associates Technology, Inc. DNS server access control system and method
CN101084657A (zh) * 2004-12-21 2007-12-05 松下电器产业株式会社 网关、网络系统以及控制访问Web服务器的方法
CN101841521A (zh) * 2010-01-22 2010-09-22 中国科学院计算机网络信息中心 对dns报文中的身份信息进行认证的方法、服务器和系统
CN102006286A (zh) * 2010-10-29 2011-04-06 北京星网锐捷网络技术有限公司 信息系统的访问管理方法、装置、系统和接入设备
CN102075589A (zh) * 2009-11-19 2011-05-25 国际商业机器公司 基于用户的dns服务器访问控制的方法和系统
CN102884764A (zh) * 2012-06-30 2013-01-16 华为技术有限公司 一种报文接收方法、深度包检测设备及系统
CN103152256A (zh) * 2013-02-22 2013-06-12 浪潮电子信息产业股份有限公司 一种基于云计算数据中心的路由虚拟网络设计方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6961783B1 (en) * 2001-12-21 2005-11-01 Networks Associates Technology, Inc. DNS server access control system and method
CN101084657A (zh) * 2004-12-21 2007-12-05 松下电器产业株式会社 网关、网络系统以及控制访问Web服务器的方法
CN102075589A (zh) * 2009-11-19 2011-05-25 国际商业机器公司 基于用户的dns服务器访问控制的方法和系统
CN101841521A (zh) * 2010-01-22 2010-09-22 中国科学院计算机网络信息中心 对dns报文中的身份信息进行认证的方法、服务器和系统
CN102006286A (zh) * 2010-10-29 2011-04-06 北京星网锐捷网络技术有限公司 信息系统的访问管理方法、装置、系统和接入设备
CN102884764A (zh) * 2012-06-30 2013-01-16 华为技术有限公司 一种报文接收方法、深度包检测设备及系统
CN103152256A (zh) * 2013-02-22 2013-06-12 浪潮电子信息产业股份有限公司 一种基于云计算数据中心的路由虚拟网络设计方法

Also Published As

Publication number Publication date
CN103634314A (zh) 2014-03-12

Similar Documents

Publication Publication Date Title
CN103634314B (zh) 一种基于虚拟路由器vsr的服务访问控制方法及设备
CN113949573B (zh) 一种零信任的业务访问控制系统及方法
CN101729531B (zh) 网络安全策略分发方法、装置及系统
US8566474B2 (en) Methods, systems, and computer readable media for providing dynamic origination-based routing key registration in a diameter network
CN104662873B (zh) 用于减少由迁移引起的核心网络流量的方法和装置
CN109587135A (zh) 基于内外网隔离的服务交互平台系统
US20120044914A1 (en) System and method for wi-fi roaming
US9973590B2 (en) User identity differentiated DNS resolution
CN104769909A (zh) 网间认证
PT2443875E (pt) Ponto de acesso, servidor e sistema para distribuição de um número ilimitado de redes virtuais sem fios ieee 802.11 através de uma infraestrutura heterogénea
JP5157626B2 (ja) ウェブサーバへのアクセス制限方法、フェムトセル基地局装置及びアクセス制限判断装置
CN104135541B (zh) 资源共享方法和资源共享系统
CN107819732A (zh) 用户终端访问本地网络的方法和装置
US20170180382A1 (en) Method and Apparatus for Using Software Defined Networking and Network Function Virtualization to Secure Residential Networks
US20160345170A1 (en) Wireless network segmentation for internet connected devices using disposable and limited security keys and disposable proxies for management
CN105187380A (zh) 一种安全访问方法及系统
CN104253798A (zh) 一种网络安全监控方法和系统
CN102130803A (zh) 一种局域网网站安全架构系统
Dolnák et al. An overview of DNS security in V2X networks
US20170013524A1 (en) Methods and system in user service enhancement for roaming in wireless mesh networks
US20180220477A1 (en) Mobile communication system and pre-authentication filters
CN101426030A (zh) 一种获取网络地址的方法和终端
CN107770745A (zh) 一种无线领域计费平台的无线终端入网方法
Lewis Virtual private cloud security
Kuntz et al. An improved network mobility service for intelligent transportation systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base

Applicant before: Huasan Communication Technology Co., Ltd.

GR01 Patent grant