CN104202307B - 数据转发方法及装置 - Google Patents
数据转发方法及装置 Download PDFInfo
- Publication number
- CN104202307B CN104202307B CN201410404513.9A CN201410404513A CN104202307B CN 104202307 B CN104202307 B CN 104202307B CN 201410404513 A CN201410404513 A CN 201410404513A CN 104202307 B CN104202307 B CN 104202307B
- Authority
- CN
- China
- Prior art keywords
- domain name
- request data
- forwarding
- data package
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000001514 detection method Methods 0.000 claims abstract description 58
- 230000006870 function Effects 0.000 claims description 42
- 230000005540 biological transmission Effects 0.000 claims description 16
- 238000012546 transfer Methods 0.000 claims description 9
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 8
- 230000000694 effects Effects 0.000 abstract description 7
- 238000004458 analytical method Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000010009 beating Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 206010022000 influenza Diseases 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开关于一种数据转发方法及装置,属于网络技术领域。所述方法应用于路由器中,包括:接收用户设备发送的请求数据包;获取请求数据包的域名;检测域名是否满足预设的转发条件;若检测出域名满足转发条件,则将请求数据包发送给远程服务器,远程服务器是请求数据包中携带的URL所指示的服务器;接收远程服务器根据请求数据包发送的反馈数据包,将反馈数据包发送给用户设备。所述装置包括:数据接收模块、域名获取模块、条件检测模块、第一转发模块和数据反馈模块。本公开可解决接入到路由器的终端都能访问网络资源,导致网络资源的安全性较低的问题,可达到限制终端访问网络资源,提高网络安全性的效果。
Description
技术领域
本公开涉及网络技术领域,特别涉及一种数据转发方法及装置。
背景技术
路由器是连接因特网中各局域网、广域网的设备,它可以根据信道的情况自动选择和设定路由,以最佳路径顺序发送数据。在信息化极度发展的今天,路由器已经广泛应用于网络中。
相关技术提供的一种数据转发方法包括:路由器接收用户设备发送的访问数据包;路由器根据信道情况以最佳路径转发该访问数据包至远程服务器;路由器接收远程服务器返回的反馈数据包,并将该反馈数据包发送给发起访问的用户设备。
公开人在实现本公开的过程中,发现相关技术中至少存在以下缺陷:
由于路由器可以提供数据转发的功能,接入到路由器的用户设备都能访问网络资源,导致网络资源的安全性较低。
发明内容
为解决接入到路由器的用户设备都能访问网络资源,导致网络资源的安全性较低的问题,本公开提供了一种数据转发方法及装置。
根据本公开实施例的第一方面,提供一种数据转发方法,应用于路由器中,包括:
接收用户设备发送的请求数据包;
获取所述请求数据包的域名;
检测所述域名是否满足预设的转发条件;
若检测出所述域名满足所述转发条件,则将所述请求数据包发送给远程服务器,所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器;
接收所述远程服务器根据所述请求数据包发送的反馈数据包,将所述反馈数据包发送给所述用户设备。
可选的,若所述请求数据包是传输控制协议TCP数据包,则所述获取所述请求数据包的域名,包括:
将所述TCP数据包解析成超文本传输协议HTTP数据包;
从所述HTTP数据包中读取所述域名。
可选的,所述检测所述域名是否满足预设的转发条件,包括:
检测预存的转发域名列表中是否包括所述域名,所述转发域名列表所包括的域名是允许所述用户设备访问的远程服务器的域名;
若检测出所述转发域名列表中包括所述域名,确定所述域名满足所述转发条件。
可选的,所述获取所述请求数据包的域名之前,还包括:
获取所述请求数据包的协议类型和端口信息;
检测所述协议类型和端口信息是否满足丢弃条件;
若检测出所述协议类型和所述端口信息均不满足所述丢弃条件,则触发执行所述获取所述请求数据包的域名的步骤。
可选的,所述方法还包括:
确定所述路由器上是否开启了域名控制的功能,所述域名控制的功能的开启和关闭由连接至所述路由器的所述用户设备控制;
若确定所述路由器上开启了所述域名控制的功能,则触发执行所述获取所述请求数据包的协议类型和端口信息的步骤;
若确定所述路由器上未开启所述域名控制的功能,则将所述请求数据包发送给远程服务器,所述远程服务器是所述请求数据包中携带的URL所指示的服务器,接收所述远程服务器根据所述请求数据包发送的反馈数据包,将所述反馈数据包发送给所述用户设备。
可选的,所述方法还包括:
若检测出所述域名不满足所述转发条件,则向所述用户设备发送禁止访问所述远程服务器的提示信息。
根据本公开实施例的第二方面,提供一种数据转发装置,用于路由器中,包括:
数据接收模块,被配置为接收用户设备发送的请求数据包;
域名获取模块,被配置为获取所述数据接收模块接收到的所述请求数据包的域名;
条件检测模块,被配置为检测所述域名获取模块获取到的所述域名是否满足预设的转发条件;
第一转发模块,被配置为在所述条件检测模块检测出所述域名满足所述转发条件时,将所述请求数据包发送给远程服务器,所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器;
数据反馈模块,被配置为接收所述远程服务器根据所述第一转发模块发送的所述请求数据包发送的反馈数据包,将所述反馈数据包发送给所述用户设备。
可选的,若所述请求数据包是传输控制协议TCP数据包,则所述域名获取模块,包括:
数据解析子模块,被配置为将所述TCP数据包解析成超文本传输协议HTTP数据包;
域名读取子模块,被配置为从所述数据解析子模块解析出的所述HTTP数据包中读取所述域名。
可选的,所述条件检测模块,包括:
列表检测子模块,被配置为检测预存的转发域名列表中是否包括所述域名,所述转发域名列表所包括的域名是允许所述用户设备访问的远程服务器的域名;
域名确定子模块,被配置为在所述列表检测子模块检测出所述转发域名列表中包括所述域名时,确定所述域名满足所述转发条件。
可选的,所述装置还包括:
数据获取模块,被配置为在所述域名获取模块获取所述请求数据包的域名之前,获取所述请求数据包的协议类型和端口信息;
丢弃检测模块,被配置为检测所述数据获取模块获取到的所述协议类型和端口信息是否满足丢弃条件;
转发触发模块,被配置为在所述丢弃检测模块检测出所述协议类型和所述端口信息均不满足所述丢弃条件,则触发执行所述获取所述请求数据包的域名的操作。
可选的,所述装置还包括:
功能确定模块,被配置为确定所述路由器上是否开启了域名控制的功能,所述域名控制的功能的开启和关闭由连接至所述路由器的所述用户设备控制;
获取触发模块,被配置为在所述功能确定模块确定所述路由器上开启了所述域名控制的功能时,触发执行所述获取所述请求数据包的协议类型和端口信息的操作;
第二转发模块,被配置为在所述功能确定模块确定所述路由器上未开启所述域名控制的功能时,将所述请求数据包发送给远程服务器,所述远程服务器是所述请求数据包中携带的URL所指示的服务器,接收所述远程服务器根据所述请求数据包发送的反馈数据包,将所述反馈数据包发送给所述用户设备。
可选的,所述装置还包括:
信息发送模块,被配置为在所述条件检测模块检测出所述域名不满足所述转发条件时,向所述用户设备发送禁止访问所述远程服务器的提示信息。
根据本公开实施例的第三方面,提供一种数据转发装置,应用于路由器中,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
接收用户设备发送的请求数据包;
获取所述请求数据包的域名;
检测所述域名是否满足预设的转发条件;
若检测出所述域名满足所述转发条件,则将所述请求数据包发送给远程服务器,所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器;
接收所述远程服务器根据所述请求数据包发送的反馈数据包,将所述反馈数据包发送给所述用户设备。
本公开的实施例提供的技术方案可以包括以下有益效果:
通过获取请求数据包的域名;检测域名是否满足预设的转发条件;若检测出域名满足转发条件,则将请求数据包发送给远程服务器;接收远程服务器根据请求数据包发送的反馈数据包,将反馈数据包发送给用户设备,可以通过路由器直接解析请求数据包得到域名,并在该域名是否满足转发条件时转发请求数据包,解决接入到路由器的用户设备都能访问网络资源,导致网络资源的安全性较低的问题,可达到限制用户设备访问网络资源,提高网络安全性的效果。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本公开说明书的一部分,示出了符合本公开的实施例,并于说明书一起用于解释本公开的原理。
图1是根据部分示例性实施例示出的一种数据转发方法所涉及的实施环境的示意图。
图2是根据一示例性实施例示出的一种数据转发方法的流程图。
图3是根据另一示例性实施例示出的一种数据转发方法的流程图。
图4是根据一示例性实施例示出的一种数据转发装置的框图。
图5是根据另一示例性实施例示出的一种数据转发装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
图1是本公开各个实施例所涉及的一种实施环境的结构示意图。该实施环境包括:用户设备110、路由器120和远程服务器130。
用户设备110包括通信组件,该通信组件用于与其它设备之间通过有线或者无线的方式进行通信。用户设备110可以是电话机、手机、计算机或者平板电脑等。至少一个用户设备110与路由器120之间通过有线或无线的方式相连。
路由器120用于为用户设备110和远程服务器130之间建立通信连接,实现用户设备110与远程服务器130之间的信息交换。路由器120与远程服务器130之间可以通过有线或者无线的方式相连。
远程服务器130包括通信组件,该通信组件用于与其它设备之间通过有线或者无线的方式进行通信。远程服务器130可以是电话机、手机、计算机或者平板电脑等。
图2是根据一示例性实施例示出的一种数据转发方法的流程图,该数据转发方法应用于图1所示的路由器中,如图2所示,该数据转发方法包括以下步骤。
在步骤201中,接收用户设备发送的请求数据包。
请求数据包是用户设备发送至路由器,将要由路由器转发给远程服务器的数据包,用于向远程服务器请求网络资源。
在步骤202中,获取请求数据包的域名。
当路由器接收到用户设备发送的请求数据包时,路由器可以对请求数据包进行解析得到域名。其中,域名是一串用点分隔的名字组成的远程服务器的名称,用于在传输数据时标识远程服务器。
在步骤203中,检测域名是否满足预设的转发条件。
远程服务器中存储了网络资源,但是,一些网络资源是保密的,为了保护这些保密的网络资源,路由器可以根据域名对请求数据包进行过滤,即对过滤的请求数据包所访问的网络资源进行保护。本实施例中,路由器可以根据请求数据包的域名和转发条件对请求数据包进行过滤,来实现对用户设备访问网络资源的控制。
在步骤204中,若检测出域名满足转发条件,则将请求数据包发送给远程服务器,该远程服务器是请求数据包中携带的URL(Uniform Resource Locator,统一资源定位符)所指示的服务器。
若路由器检测出请求数据包的域名满足转发条件,则确定与该域名对应的网络资源是公开的网络资源,路由器可以读取请求数据包中携带的URL,确定该URL所指示的远程服务器,将该请求数据包转发给该远程服务器。
在步骤205中,接收远程服务器根据该请求数据包发送的反馈数据包,将该反馈数据包发送给用户设备。
远程服务器在接收到请求数据包后,确定该请求数据包所访问的网络资源,根据该网络资源生成反馈数据包,并将该反馈数据包发送给路由器,由路由器将该反馈数据包转发至用户设备。
综上所述,本公开提供的数据转发方法,通过获取请求数据包的域名;检测域名是否满足预设的转发条件;若检测出域名满足转发条件,则将请求数据包发送给远程服务器;接收远程服务器根据请求数据包发送的反馈数据包,将反馈数据包发送给用户设备,可以通过路由器直接解析请求数据包得到域名,并在该域名是否满足转发条件时转发请求数据包,解决接入到路由器的用户设备都能访问网络资源,导致网络资源的安全性较低的问题,可达到限制用户设备访问网络资源,提高网络安全性的效果。
图3是根据另一示例性实施例示出的一种数据转发方法的流程图,该数据转发方法应用于图1所示的路由器中,如图3所示,该数据转发方法包括如下步骤。
在步骤301中,接收用户设备发送的请求数据包。
请求数据包是用户设备发送至路由器,将要由路由器转发给远程服务器的数据包,用于向远程服务器请求网络资源。其中,用户设备可以为手机、计算机、平板电脑等电子设备。
在步骤302中,确定路由器上是否开启了域名控制的功能,该域名控制的功能的开启和关闭由连接至路由器的用户设备控制;若确定路由器上开启了域名控制的功能,则执行步骤303;若确定路由器上未开启域名控制的功能,则将请求数据包发送给远程服务器,远程服务器是请求数据包中携带的URL所指示的服务器,接收远程服务器根据请求数据包发送的反馈数据包,将反馈数据包发送给用户设备。
其中,域名控制的功能用于控制路由器对接收到的请求数据包进行过滤。比如,若在路由器上开启了域名控制的功能,则路由器需要对请求数据包进行过滤,即执行步骤303;若在路由器上未开启域名控制功能,则路由器不需要对请求数据包进行过滤,直接读取请求数据包中携带的URL,确定该URL所指示的远程服务器,将该请求数据包转发给该远程服务器。
其中,域名控制的功能的开启和关闭可以通过路由器上设置的选项控制,也可以通过连接至路由器的用户设备控制。若通过用户设备控制,则可以在用户设备上安装预定应用程序,该预定应用程序用于通过近距离或远程控制域名控制功能的开启和关闭。
在控制路由器时,预定应用程序可以向路由器发送控制指令,路由器根据控制指令执行对应的操作。比如,预定应用程序可以向路由器发送打开指令,则路由器可以根据打开指令打开域名控制的功能;或,预定应用程序可以向路由器发送关闭指令,则路由器可以根据关闭指令关闭域名控制的功能。
在步骤303中,获取请求数据包的协议类型和端口信息。
本实施例中,若打开指令用于指示路由器对请求数据包进行过滤,则路由器还需要获取请求数据包的协议类型和端口信息,或,若路由器中设置了防火墙,则路由器还可以根据打开指令开启防火墙,并通过防火墙获取请求数据包的协议类型和端口信息。其中,协议类型和端口信息用于对请求数据包进行过滤。协议类型可以是路由器用于传输请求数据包的协议,比如,协议类型可以是TCP(Transmission Control Protocol传输控制协议)类型、FTP(File Transfer Protocol,文件传输协议)类型等,端口信息可以是80端口、21端口等。本实施例中,防火墙可以是iptable。
本实施例以路由器通过防火墙获取请求数据包的协议类型和端口信息为例进行说明,则防火墙可以对请求数据包进行解析,从解析得到的协议头中获取到协议类型和端口信息。
本实施例以请求数据包是IP(Internet Protocol,因特网协议)数据包为例进行说明,则防火墙可以对IP数据包进行解析,得到IP头和TCP数据包;再对TCP数据包进行解析,得到TCP头,防火墙可以从TCP头中读取到协议类型和端口信息。
在步骤304中,检测协议类型和端口信息是否满足丢弃条件,若检测出协议类型和端口信息均不满足丢弃条件,则执行步骤305。
丢弃条件用于对请求数据包进行过滤,即,路由器对不满足丢弃条件的请求数据包进行转发,对满足丢弃条件的请求数据包进行丢弃。本实施例中,丢弃条件是根据协议类型和端口信息中的至少一种设置的。本实施例仅以协议类型是TCP类型、FTP类型,端口信息是端口80、端口21为例对丢弃条件的检测进行举例说明,则检测过程如下:
比如,可以将丢弃条件设置为丢弃非TCP类型的请求数据包。此时,路由器通过防火墙检测获取到的协议类型是否是TCP类型;若检测出获取到的协议类型是TCP类型,由于不管端口信息是什么都不满足丢弃条件,则确定该请求数据包不满足丢弃条件。若检测出获取到的协议类型不是TCP类型,则确定该请求数据包是需要丢弃的请求数据包。
又比如,可以将丢弃条件设置为丢弃非TCP类型且非80端口的请求数据包。此时,路由器通过防火墙检测获取到的协议类型是否是TCP类型且获取到的端口信息是否是80;若检测出获取到的协议类型是TCP类型且端口信息是80,则确定该请求数据包不满足丢弃条件。若检测出获取到的协议类型不是TCP类型和端口信息不是80中的至少一种,则确定该请求数据包是需要丢弃的请求数据包。
又比如,可以将丢弃条件设置为丢弃非FTP类型且非21端口的请求数据包。此时,路由器通过防火墙检测获取到的协议类型是否是FTP类型且获取到的端口信息是否是21;若检测出获取到的协议类型是FTP类型且端口信息是21,则确定该请求数据包不满足丢弃条件。若检测出获取到的协议类型不是FTP类型和端口信息不是21中的至少一种,则确定该请求数据包是需要丢弃的请求数据包。
在步骤305中,获取请求数据包的域名。
在路由器根据丢弃条件确定出接收到的请求数据包不满足丢弃条件后,路由器可以对该请求数据包的域名进行解析。由于路由器可以直接对请求数据包进行解析得到域名,从而实现根据域名过滤请求数据包,而不需要将域名解析成IP地址,根据IP地址过滤请求数据包,既节省了对域名进行解析所占用的资源,也可以提高对请求数据包的过滤效率。
本实施例以请求数据包是TCP数据包为例对解析域名的过程进行说明,则若请求数据包是TCP数据包,则获取请求数据包的域名,包括:
1)将TCP数据包解析成超文本传输协议HTTP(Hyper Text Transfer Protocol,超文本传输协议)数据包;
2)从HTTP数据包中读取域名。
其中,TCP数据包包括TCP头和HTTP数据包,因此,路由器可以对TCP数据包进行解析,得到HTTP数据包。由于域名存储在HTTP头中,因此,路由器还需要对HTTP数据包进行解析,从解析得到的HTTP头中读取域名。
在实际实现时,路由器可以通过后台运行的web服务器对请求数据包的域名进行解析,则防火墙在确定请求数据包不满足丢弃条件后,还需要将请求数据包转发给web服务器,由web服务器对请求数据包的域名进行解析和过滤。其中,web服务器是设置在路由器中的应用层的服务器。比如,web服务器可以是nginx。
在步骤306中,检测域名是否满足预设的转发条件;若检测出域名满足转发条件,则执行步骤307;若检测出域名不满足转发条件,则执行步骤309。
转发条件用于过滤路由器转发的请求数据包,由于请求数据包用于访问网络资源,因此,转发条件可以限制用户设备对网络资源的访问。即,路由器对满足转发条件的请求数据包进行转发,对不满足转发条件的请求数据包进行丢弃。
本实施例中,转发条件是根据域名设置的。比如,可以根据允许访问的网络资源所对应的域名生成转发条件。即,可以将允许访问的网络资源所对应的域名添加到转发域名列表中,则检测域名是否满足预设的转发条件,包括:
1)检测预存的转发域名列表中是否包括域名,该转发域名列表所包括的域名是允许用户设备访问的远程服务器的域名;
2)若检测出转发域名列表中包括域名,则确定域名满足转发条件。
路由器可以获取预存的域名转发列表,由于域名转发列表中存储的域名是允许用户设备访问的网络资源所在的远程服务器的域名,因此,路由器可以检测该域名转发列表是否包括该域名。若路由器检测出该域名转发列表包括该域名,则确定该请求数据包满足转发条件;若路由器检测出该域名转发列表不包括该域名,则确定该请求数据包不满足转发条件。
在实际实现时,路由器还可以通过web服务器检测域名是否满足转发条件。即,web服务器检测预存的转发域名列表中是否包括域名,该转发域名列表所包括的域名是允许用户设备访问的远程服务器的域名;若检测出转发域名列表中包括域名,则web服务器确定域名满足转发条件。
在步骤307中,将请求数据包发送给远程服务器,该远程服务器是请求数据包中携带的URL所指示的服务器,执行步骤308。
在将请求数据包转发给远程服务器时,路由器可以读取请求数据包中携带的URL,确定该URL所指示的远程服务器,通过反向代理将该请求数据包转发给该远程服务器。
在步骤308中,接收远程服务器根据请求数据包发送的反馈数据包,将反馈数据包发送给用户设备,流程结束。
远程服务器在接收到请求数据包后,确定该请求数据包所访问的网络资源,根据该网络资源生成反馈数据包,并将该反馈数据包发送给路由器,由路由器将该反馈数据包转发至用户设备。
步骤309,向用户设备发送禁止访问远程服务器的提示信息。
若路由器丢弃了请求数据包,则路由器可以向用户设备发送提示信息,该提示信息用于提示禁止用户设备访问远程服务器。比如,路由器可以向用户设备发送包含提示信息的网页,该提示信息可以是“对不起,您没有访问该网站的权限”。
需要补充说明的是,还可以将禁止访问的网络资源所对应的域名添加到禁止转发域名列表中。此时,web服务器可以检测该禁止转发域名列表中是否包括获取到的域名。若web服务器检测出禁止转发域名列表中不包括获取到的域名,则确定该请求数据包满足转发条件,将该请求数据包转发给域名对应的远程服务器,以实现对网络资源的访问;若web服务器检测出禁止转发域名列表中包括获取到的域名,则确定该请求数据包不满足转发条件,丢弃该请求数据包。
综上所述,本公开提供的数据转发方法,通过获取请求数据包的域名;检测域名是否满足预设的转发条件;若检测出域名满足转发条件,则将请求数据包发送给远程服务器;接收远程服务器根据请求数据包发送的反馈数据包,将反馈数据包发送给用户设备,可以通过路由器直接解析请求数据包得到域名,并在该域名是否满足转发条件时转发请求数据包,解决接入到路由器的终端都能访问网络资源,导致网络资源的安全性较低的问题,可达到限制终端访问网络资源,提高网络安全性的效果。
另外,通过将TCP数据包解析成HTTP数据包;从HTTP数据包中读取域名,可以直接对请求数据包进行解析得到域名,从而实现根据域名过滤请求数据包,而不需要将域名解析成IP地址,根据IP地址过滤请求数据包,既节省了对域名进行解析所占用的资源,也可以提高对请求数据包的过滤效率。
图4是根据一示例性实施例示出的一种数据转发装置的框图,该数据转发装置应用于图1所示的路由器中,如图4所示,该数据转发装置包括:数据接收模块401、域名获取模块402、条件检测模块403、第一转发模块404和数据反馈模块405。
该数据接收模块401,被配置为接收用户设备发送的请求数据包;
该域名获取模块402,被配置为获取数据接收模块401接收到的请求数据包的域名;
该条件检测模块403,被配置为检测域名获取模块402获取到的域名是否满足预设的转发条件;
该第一转发模块404,被配置为在条件检测模块403检测出域名满足转发条件时,将请求数据包发送给远程服务器,远程服务器是请求数据包中携带的URL所指示的服务器;
该数据反馈模块405,被配置为接收远程服务器根据第一转发模块404发送的请求数据包发送的反馈数据包,将反馈数据包发送给用户设备。
综上所述,本公开提供的数据转发装置,通过获取请求数据包的域名;检测域名是否满足预设的转发条件;若检测出域名满足转发条件,则将请求数据包发送给远程服务器;接收远程服务器根据请求数据包发送的反馈数据包,将反馈数据包发送给用户设备,可以通过路由器直接解析请求数据包得到域名,并在该域名是否满足转发条件时转发请求数据包,解决接入到路由器的终端都能访问网络资源,导致网络资源的安全性较低的问题,可达到限制终端访问网络资源,提高网络安全性的效果。
图5是根据另一示例性实施例示出的一种数据转发装置的框图,该数据转发装置应用于图1所示的路由器中,如图5所示,该数据转发装置包括:数据接收模块401、域名获取模块402、条件检测模块403、第一转发模块404和数据反馈模块405。
该数据接收模块401,被配置为接收用户设备发送的请求数据包;
该域名获取模块402,被配置为获取数据接收模块401接收到的请求数据包的域名;
该条件检测模块403,被配置为检测域名获取模块402获取到的域名是否满足预设的转发条件;
该第一转发模块404,被配置为在条件检测模块403检测出域名满足转发条件时,将请求数据包发送给远程服务器,远程服务器是请求数据包中携带的URL所指示的服务器;
该数据反馈模块405,被配置为接收远程服务器根据第一转发模块404发送的请求数据包发送的反馈数据包,将反馈数据包发送给用户设备;
可选的,若请求数据包是TCP数据包,则域名获取模块402,包括:数据解析子模块4021和域名读取子模块4022。
该数据解析子模块4021,被配置为将TCP数据包解析成HTTP数据包;
该域名读取子模块4022,被配置为从数据解析子模块4021解析出的HTTP数据包中读取域名。
可选的,条件检测模块403,包括:列表检测子模块4031和域名确定子模块4032。
该列表检测子模块4031,被配置为检测预存的转发域名列表中是否包括域名,转发域名列表所包括的域名是允许用户设备访问的远程服务器的域名;
域名确定子模块4032,被配置为在列表检测子模块4031检测出转发域名列表中包括域名时,确定域名满足转发条件。
可选的,本实施例提供的数据转发装置还包括:数据获取模块409、丢弃检测模块410和转发触发模块411。
该数据获取模块409,被配置为在域名获取模块402获取请求数据包的域名之前,获取请求数据包的协议类型和端口信息;
该丢弃检测模块410,被配置为检测数据获取模块409获取到的协议类型和端口信息是否满足丢弃条件;
该转发触发模块411,被配置为在丢弃检测模块410检测出协议类型和端口信息均不满足丢弃条件,则触发执行获取请求数据包的域名的操作。
可选的,本实施例提供的数据转发装置还包括:功能确定模块406、获取触发模块407和第二转发模块408。
该功能确定模块406,被配置为确定路由器上是否开启了域名控制的功能,域名控制的功能的开启和关闭由连接至路由器的用户设备控制;
该获取触发模块407,被配置为在功能确定模块406确定路由器上开启了域名控制的功能时,触发执行获取请求数据包的协议类型和端口信息的操作;
该第二转发模块408,被配置为在功能确定模块406确定路由器上未开启域名控制的功能时,将请求数据包发送给远程服务器,远程服务器是请求数据包中携带的URL所指示的服务器,接收远程服务器根据请求数据包发送的反馈数据包,将反馈数据包发送给用户设备。
可选的,本实施例提供的数据转发装置还包括:信息发送模块412。
该信息发送模块412,被配置为在条件检测模块403检测出域名不满足转发条件时,向用户设备发送禁止访问远程服务器的提示信息。
综上所述,本公开提供的数据转发装置,通过获取请求数据包的域名;检测域名是否满足预设的转发条件;若检测出域名满足转发条件,则将请求数据包发送给远程服务器;接收远程服务器根据请求数据包发送的反馈数据包,将反馈数据包发送给用户设备,可以通过路由器直接解析请求数据包得到域名,并在该域名是否满足转发条件时转发请求数据包,解决接入到路由器的终端都能访问网络资源,导致网络资源的安全性较低的问题,可达到限制终端访问网络资源,提高网络安全性的效果。
另外,通过将TCP数据包解析成HTTP数据包;从HTTP数据包中读取域名,可以直接对请求数据包进行解析得到域名,从而实现根据域名过滤请求数据包,而不需要将域名解析成IP地址,根据IP地址过滤请求数据包,既节省了对域名进行解析所占用的资源,也可以提高对请求数据包的过滤效率。
本公开一示例性实施例还提供了一种数据转发装置,该数据转发装置应用于路由器中,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,处理器被配置为:
接收用户设备发送的请求数据包;
获取请求数据包的域名;
检测域名是否满足预设的转发条件;
若检测出域名满足转发条件,则将请求数据包发送给远程服务器,远程服务器是请求数据包中携带的URL所指示的服务器;
接收远程服务器根据请求数据包发送的反馈数据包,将反馈数据包发送给用户设备。
综上所述,本公开提供的数据转发装置,通过获取请求数据包的域名;检测域名是否满足预设的转发条件;若检测出域名满足转发条件,则将请求数据包发送给远程服务器;接收远程服务器根据请求数据包发送的反馈数据包,将反馈数据包发送给用户设备,可以通过路由器直接解析请求数据包得到域名,并在该域名是否满足转发条件时转发请求数据包,解决接入到路由器的终端都能访问网络资源,导致网络资源的安全性较低的问题,可达到限制终端访问网络资源,提高网络安全性的效果。
关于上述实施例中的数据转发装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本领域技术人员在考虑说明书及实践这里的公开的后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (9)
1.一种数据转发方法,其特征在于,应用于路由器中,包括:
接收用户设备发送的请求数据包;
获取所述请求数据包的协议类型和端口信息;
检测所述协议类型和端口信息是否满足丢弃条件;
若检测出所述协议类型和所述端口信息均不满足所述丢弃条件,则获取所述请求数据包的域名;
检测所述域名是否满足预设的转发条件;
若检测出所述域名满足所述转发条件,则将所述请求数据包发送给远程服务器,所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器;
接收所述远程服务器根据所述请求数据包发送的反馈数据包,将所述反馈数据包发送给所述用户设备;
若检测出所述域名不满足所述转发条件,则向所述用户设备发送禁止访问所述远程服务器的提示信息。
2.根据权利要求1所述的方法,其特征在于,若所述请求数据包是传输控制协议TCP数据包,则所述获取所述请求数据包的域名,包括:
将所述TCP数据包解析成超文本传输协议HTTP数据包;
从所述HTTP数据包中读取所述域名。
3.根据权利要求1所述的方法,其特征在于,所述检测所述域名是否满足预设的转发条件,包括:
检测预存的转发域名列表中是否包括所述域名,所述转发域名列表所包括的域名是允许所述用户设备访问的远程服务器的域名;
若检测出所述转发域名列表中包括所述域名,确定所述域名满足所述转发条件。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述路由器上是否开启了域名控制的功能,所述域名控制的功能的开启和关闭由连接至所述路由器的所述用户设备控制;
若确定所述路由器上开启了所述域名控制的功能,则触发执行所述获取所述请求数据包的协议类型和端口信息的步骤;
若确定所述路由器上未开启所述域名控制的功能,则将所述请求数据包发送给远程服务器,所述远程服务器是所述请求数据包中携带的URL所指示的服务器,接收所述远程服务器根据所述请求数据包发送的反馈数据包,将所述反馈数据包发送给所述用户设备。
5.一种数据转发装置,其特征在于,用于路由器中,包括:
数据接收模块,被配置为接收用户设备发送的请求数据包;
数据获取模块,被配置为获取所述请求数据包的协议类型和端口信息;
丢弃检测模块,被配置为检测所述数据获取模块获取到的所述协议类型和端口信息是否满足丢弃条件;
转发触发模块,被配置为在所述丢弃检测模块检测出所述协议类型和所述端口信息均不满足所述丢弃条件,则触发域名获取模块获取所述请求数据包的域名;
条件检测模块,被配置为检测所述域名获取模块获取到的所述域名是否满足预设的转发条件;
第一转发模块,被配置为在所述条件检测模块检测出所述域名满足所述转发条件时,将所述请求数据包发送给远程服务器,所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器;
数据反馈模块,被配置为接收所述远程服务器根据所述第一转发模块发送的所述请求数据包发送的反馈数据包,将所述反馈数据包发送给所述用户设备;
信息发送模块,被配置为在所述条件检测模块检测出所述域名不满足所述转发条件时,向所述用户设备发送禁止访问所述远程服务器的提示信息。
6.根据权利要求5所述的装置,其特征在于,若所述请求数据包是传输控制协议TCP数据包,则所述域名获取模块,包括:
数据解析子模块,被配置为将所述TCP数据包解析成超文本传输协议HTTP数据包;
域名读取子模块,被配置为从所述数据解析子模块解析出的所述HTTP数据包中读取所述域名。
7.根据权利要求5所述的装置,其特征在于,所述条件检测模块,包括:
列表检测子模块,被配置为检测预存的转发域名列表中是否包括所述域名,所述转发域名列表所包括的域名是允许所述用户设备访问的远程服务器的域名;
域名确定子模块,被配置为在所述列表检测子模块检测出所述转发域名列表中包括所述域名时,确定所述域名满足所述转发条件。
8.根据权利要求5所述的装置,其特征在于,所述装置还包括:
功能确定模块,被配置为确定所述路由器上是否开启了域名控制的功能,所述域名控制的功能的开启和关闭由连接至所述路由器的所述用户设备控制;
获取触发模块,被配置为在所述功能确定模块确定所述路由器上开启了所述域名控制的功能时,触发执行所述获取所述请求数据包的协议类型和端口信息的操作;
第二转发模块,被配置为在所述功能确定模块确定所述路由器上未开启所述域名控制的功能时,将所述请求数据包发送给远程服务器,所述远程服务器是所述请求数据包中携带的URL所指示的服务器,接收所述远程服务器根据所述请求数据包发送的反馈数据包,将所述反馈数据包发送给所述用户设备。
9.一种数据转发装置,其特征在于,应用于路由器中,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
接收用户设备发送的请求数据包;
获取所述请求数据包的协议类型和端口信息;
检测所述协议类型和端口信息是否满足丢弃条件;
若检测出所述协议类型和所述端口信息均不满足所述丢弃条件,则获取所述请求数据包的域名;
检测所述域名是否满足预设的转发条件;
若检测出所述域名满足所述转发条件,则将所述请求数据包发送给远程服务器,所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器;
接收所述远程服务器根据所述请求数据包发送的反馈数据包,将所述反馈数据包发送给所述用户设备;
若检测出所述域名不满足所述转发条件,则向所述用户设备发送禁止访问所述远程服务器的提示信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410404513.9A CN104202307B (zh) | 2014-08-15 | 2014-08-15 | 数据转发方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410404513.9A CN104202307B (zh) | 2014-08-15 | 2014-08-15 | 数据转发方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104202307A CN104202307A (zh) | 2014-12-10 |
| CN104202307B true CN104202307B (zh) | 2018-06-08 |
Family
ID=52087532
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410404513.9A Active CN104202307B (zh) | 2014-08-15 | 2014-08-15 | 数据转发方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104202307B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102015224886A1 (de) * | 2015-12-10 | 2017-06-29 | Siemens Aktiengesellschaft | Vermeidung von Schwachstellen |
| CN108063714B (zh) * | 2016-11-09 | 2021-02-12 | 北京国双科技有限公司 | 一种网络请求的处理方法及装置 |
| CN108616490B (zh) * | 2016-12-13 | 2020-11-03 | 腾讯科技(深圳)有限公司 | 一种网络访问控制方法、装置及系统 |
| CN107707534A (zh) * | 2017-09-22 | 2018-02-16 | 深圳市盛路物联通讯技术有限公司 | 一种数据转发方法及装置 |
| CN109361779A (zh) * | 2018-10-22 | 2019-02-19 | 江苏满运软件科技有限公司 | 分布式系统中域名的管理方法及系统、节点服务器 |
| CN111064713B (zh) | 2019-02-15 | 2021-05-25 | 腾讯科技(深圳)有限公司 | 一种分布式系统中的节点控制方法和相关装置 |
| CN113949674A (zh) * | 2020-06-29 | 2022-01-18 | 成都鼎桥通信技术有限公司 | 数据传输方法、系统和网络设备、媒体设备、接收设备 |
| CN114157500A (zh) * | 2021-12-07 | 2022-03-08 | 北京天融信网络安全技术有限公司 | 数据包处理方法及电子设备、存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025713A (zh) * | 2010-02-09 | 2011-04-20 | 中国移动通信集团北京有限公司 | 一种访问控制方法、系统及dns服务器 |
| CN102065573A (zh) * | 2010-12-28 | 2011-05-18 | 北京高信达通信技术有限公司福州分公司 | Wap网关代理业务数据处理方法及服务器 |
| CN103327025A (zh) * | 2013-06-28 | 2013-09-25 | 北京奇虎科技有限公司 | 网络访问控制方法及装置 |
| CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100477653B1 (ko) * | 2002-06-22 | 2005-03-23 | 삼성전자주식회사 | 외부망에서의 dns 서버 검색 장치 및 방법 |
-
2014
- 2014-08-15 CN CN201410404513.9A patent/CN104202307B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025713A (zh) * | 2010-02-09 | 2011-04-20 | 中国移动通信集团北京有限公司 | 一种访问控制方法、系统及dns服务器 |
| CN102065573A (zh) * | 2010-12-28 | 2011-05-18 | 北京高信达通信技术有限公司福州分公司 | Wap网关代理业务数据处理方法及服务器 |
| CN103327025A (zh) * | 2013-06-28 | 2013-09-25 | 北京奇虎科技有限公司 | 网络访问控制方法及装置 |
| CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104202307A (zh) | 2014-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104202307B (zh) | 数据转发方法及装置 | |
| CN106789259B (zh) | 一种LoRa核心网系统及实现方法 | |
| US9954873B2 (en) | Mobile device-based intrusion prevention system | |
| US9491141B2 (en) | Incoming redirection mechanism on a reverse proxy | |
| US11310111B2 (en) | Method for configuring a firewall equipment in a communication network, method for updating a configuration of a firewall equipment, and corresponding device, access equipment, firewall equipment and computer programs | |
| CN103067417A (zh) | VPN中安全代理的Web服务映射方法及其系统 | |
| US10834052B2 (en) | Monitoring device and method implemented by an access point for a telecommunications network | |
| CN106657035B (zh) | 一种网络报文传输方法及装置 | |
| US20080104688A1 (en) | System and method for blocking anonymous proxy traffic | |
| Valente et al. | Privacy and security in Internet-connected cameras | |
| CN108156092A (zh) | 报文传输控制方法和装置 | |
| US8443123B2 (en) | UPnP control point and UPnP device based on the UPnP network and connecting method using the same | |
| EP4262148B1 (en) | Network security with server name indication | |
| KR20070079781A (ko) | 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법 | |
| CN108282537A (zh) | 一种Portal用户下线的方法和接入设备 | |
| JP3581345B2 (ja) | パケット転送装置およびパケット転送方法 | |
| CN101662357A (zh) | 一种安全网关客户端的访问方法 | |
| CN104994113B (zh) | 一种adsl无线路由器及使用该路由器在桥接模式下实现强制门户的方法和系统 | |
| CN105959248B (zh) | 报文访问控制的方法及装置 | |
| KR101062957B1 (ko) | 랜 환경에서의 유알엘 기반의 유해사이트 접근 차단장치 및 그 방법 | |
| CN111371775A (zh) | 一种单点登录方法、装置、设备、系统及存储介质 | |
| CN111193771A (zh) | 基于移动端企业浏览器的访问方法和装置 | |
| EP3971748A1 (en) | Network connection request method and apparatus | |
| CN106470237B (zh) | 一种异步下载方法及系统 | |
| Massar et al. | Jumpbox–a seamless browser proxy for tor pluggable transports |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |