示意圖�;
[0087] 圖7-g為本發(fā)明實(shí)施例提供的另一種報(bào)文處理設(shè)備的組成結(jié)構(gòu)示意圖;
[0088] 圖7-h為本發(fā)明實(shí)施例提供的另一種報(bào)文處理設(shè)備的組成結(jié)構(gòu)示意圖����;
[0089] 圖8為本發(fā)明實(shí)施例提供的另一種報(bào)文處理設(shè)備的組成結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0090] 本發(fā)明實(shí)施例提供了一種報(bào)文處理方法和報(bào)文處理設(shè)備�,用于實(shí)現(xiàn)匹配條件對(duì)IP 地址的自主學(xué)習(xí),適用于W報(bào)文特征為靜態(tài)參數(shù)和動(dòng)態(tài)參數(shù)的多個(gè)場(chǎng)景�。
[0091] 為使得本發(fā)明的發(fā)明目的、特征���、優(yōu)點(diǎn)能夠更加的明顯和易懂�����,下面將結(jié)合本發(fā)明 實(shí)施例中的附圖�����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述����,顯然��,下面所描述 的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而非全部實(shí)施例�。基于本發(fā)明中的實(shí)施例����,本領(lǐng)域的 技術(shù)人員所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�。
[0092] 本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語"第一"、"第二"等是用于區(qū)別 類似的對(duì)象����,而不必用于描述特定的順序或先后次序。應(yīng)該理解該樣使用的術(shù)語在適當(dāng)情 況下可W互換�����,該僅僅是描述本發(fā)明的實(shí)施例中對(duì)相同屬性的對(duì)象在描述時(shí)所采用的區(qū)分 方式。此外�����,術(shù)語"包括"和"具有"W及他們的任何變形���,意圖在于覆蓋不排他的包含�����,W 便包含一系列單元的過程、方法��、系統(tǒng)����、產(chǎn)品或設(shè)備不必限于那些單元,而是可包括沒有清 楚地列出的或?qū)τ谠撔┻^程���、方法���、產(chǎn)品或設(shè)備固有的其它單元。
[0093]W下分別進(jìn)行詳細(xì)說明�����。
[0094] 本發(fā)明報(bào)文處理方法的一個(gè)實(shí)施例,可應(yīng)用于防火墻等網(wǎng)絡(luò)管理的網(wǎng)元中��,該方 法可包括:獲取互聯(lián)網(wǎng)協(xié)議(InternetProtocol,IP)報(bào)文�,判斷獲取到的IP報(bào)文是否為域 名系統(tǒng)(DomainNameSystem,DNS)響應(yīng)報(bào)文,其中���,DNS響應(yīng)報(bào)文由DNS服務(wù)器根據(jù)用戶終 端發(fā)送的DNS請(qǐng)求報(bào)文向用戶終端發(fā)送����;若上述IP報(bào)文是DNS響應(yīng)報(bào)文��,從IP報(bào)文中解析 出用戶終端請(qǐng)求的域名����;判斷用戶終端請(qǐng)求的域名是否存在于控制策略的匹配條件中;若 用戶終端請(qǐng)求的域名存在于匹配條件中�����,將IP報(bào)文中與用戶終端請(qǐng)求的域名對(duì)應(yīng)的IP地 址添加到匹配條件中���,則匹配條件還包括添加的IP地址�,W實(shí)現(xiàn)根據(jù)匹配條件中添加的IP 地址和匹配條件相對(duì)應(yīng)的策略動(dòng)作對(duì)后續(xù)獲取到的IP報(bào)文進(jìn)行報(bào)文處理。
[0095] 請(qǐng)參閱圖1所示���,本發(fā)明一個(gè)實(shí)施例提供的報(bào)文處理方法�����,具體可W包括如下步 驟:
[0096]101�����、獲取IP報(bào)文�����,判斷獲取到的IP報(bào)文是否為DNS響應(yīng)報(bào)文。
[0097] 其中��,DNS響應(yīng)報(bào)文由DNS服務(wù)器根據(jù)用戶終端發(fā)送的DNS請(qǐng)求報(bào)文向用戶終端 發(fā)送���。
[0098] 在本發(fā)明實(shí)施例中��,報(bào)文處理設(shè)備部署在用戶終端和因特網(wǎng)服務(wù)器之間����,例如,多 個(gè)用戶終端組成企業(yè)內(nèi)部網(wǎng)��,因特網(wǎng)服務(wù)器屬于外部不可信任的公共網(wǎng)�����,則報(bào)文處理設(shè)備 可W部署在企業(yè)內(nèi)部網(wǎng)和公共網(wǎng)之間���,報(bào)文處理設(shè)備是用戶終端的唯一報(bào)文出入口��,報(bào)文 處理設(shè)備可W根據(jù)設(shè)定的匹配條件執(zhí)行對(duì)報(bào)文的控制處理���。其中匹配條件可W提前由管理 員來設(shè)定�,也可W由報(bào)文處理設(shè)備根據(jù)管理員輸入的信息來自行配置�。
[0099] 在本發(fā)明實(shí)施例中��,報(bào)文處理設(shè)備部署在用戶終端和因特網(wǎng)服務(wù)器之間,無論是 用戶終端發(fā)送給因特網(wǎng)服務(wù)器的IP報(bào)文��,還是因特網(wǎng)服務(wù)器發(fā)送給用戶終端的IP報(bào)文,報(bào) 文處理設(shè)備都可W獲取到該IP報(bào)文���。例如當(dāng)用戶終端的本地緩存中沒有終端需要訪問的 域名記錄時(shí),用戶終端會(huì)發(fā)送DNS請(qǐng)求報(bào)文�����,否則���,用戶終端會(huì)根據(jù)緩存中記錄的域名對(duì)應(yīng) 的IP地址直接進(jìn)行訪問���。當(dāng)用戶終端的本地緩存中沒有用戶終端需要訪問的網(wǎng)頁(Web) 站點(diǎn)記錄時(shí),用戶終端會(huì)生成IP報(bào)文���,該IP報(bào)文就是DNS請(qǐng)求報(bào)文���,在DNS請(qǐng)求報(bào)文中攜 帶用戶終端訪問指定的域名,DNS請(qǐng)求報(bào)文經(jīng)由報(bào)文處理設(shè)備���、因特網(wǎng)服務(wù)器后發(fā)送到DNS 服務(wù)器�����,DNS服務(wù)器根據(jù)DNS請(qǐng)求報(bào)文獲取到用戶終端請(qǐng)求的域名����,DNS服務(wù)器根據(jù)用戶終 端請(qǐng)求的域名查詢與該域名對(duì)應(yīng)的IP地址���,其中DNS服務(wù)器查詢到的與用戶終端請(qǐng)求的域 名對(duì)應(yīng)的IP地址可W是一個(gè)或者多個(gè)IP地址����,即本發(fā)明實(shí)施例中用戶終端請(qǐng)求的域名可 W對(duì)應(yīng)有一個(gè)IP地址���,也可W對(duì)應(yīng)有多個(gè)IP地址�,另外DNS服務(wù)器在根據(jù)用戶終端請(qǐng)求的 域名查詢與該域名對(duì)應(yīng)的IP地址時(shí)�����,還可W查詢到各個(gè)IP地址分別對(duì)應(yīng)的生存時(shí)間(Time ToLive,TTL)�,ITL是IP地址有效的時(shí)間長(zhǎng)度���,只有存在的時(shí)間沒有超過ITL的IP地址才 是有效的�。當(dāng)DNS服務(wù)器獲取到用戶終端請(qǐng)求的域名對(duì)應(yīng)的IP地址之后����,DNS服務(wù)器生成 DNS響應(yīng)報(bào)文�����,并在DNS響應(yīng)報(bào)文中攜帶用戶終端請(qǐng)求的域名W及與該域名對(duì)應(yīng)的IP地址, 當(dāng)一個(gè)域名對(duì)應(yīng)有多個(gè)IP地址時(shí)���,DNS響應(yīng)報(bào)文中可W攜帶用戶終端請(qǐng)求的域名對(duì)應(yīng)的所 有IP地址,當(dāng)然也可W攜帶用戶終端請(qǐng)求的域名對(duì)應(yīng)的一些IP地址��,具體可W由DNS服務(wù) 器來決定,另外DNS響應(yīng)報(bào)文中還可W攜帶每個(gè)IP地址對(duì)應(yīng)的TTL�����。當(dāng)多個(gè)用戶終端發(fā)起 訪問同一個(gè)Web站點(diǎn)時(shí),用戶終端發(fā)送IP報(bào)文的IP地址可能有多個(gè)�����,并且在不同的時(shí)間發(fā) 送的IP報(bào)文對(duì)應(yīng)的IP地址也可能不同�,故按照現(xiàn)有技術(shù)需要基于IP地址對(duì)報(bào)文進(jìn)行策略 控制時(shí)���,管理員無法提前收集到匹配條件所需要的所有IP地址����,也就無法準(zhǔn)確的將需要的 所有IP地址設(shè)定為匹配條件����,則必然存在沒有被設(shè)定為匹配條件但是真實(shí)場(chǎng)景中又需要 進(jìn)行控制報(bào)文的IP地址�����,從而會(huì)導(dǎo)致報(bào)文控制失敗�。
[0100] 例如,在一個(gè)需要對(duì)IP地址對(duì)應(yīng)的報(bào)文進(jìn)行管理的應(yīng)用場(chǎng)景下���,需要為對(duì)某個(gè) Web站點(diǎn)幼日網(wǎng)頁游戲)的訪問進(jìn)行報(bào)文優(yōu)先級(jí)別的提升�����,W進(jìn)一步提升數(shù)據(jù)交互的實(shí)時(shí)性���。 此時(shí)需要提前設(shè)定匹配條件,才能基于匹配條件對(duì)應(yīng)的控制策略進(jìn)行管理�,由于該Web站 點(diǎn)可能有多個(gè)IP地址,并且IP地址也是動(dòng)態(tài)變化的�����,故管理員不可能提前收集到該些Web站點(diǎn)在不同時(shí)間的所有有效IP地址���,該就存在需要預(yù)置的匹配條件無法配置的問題��。又 女口����,在當(dāng)前的因特網(wǎng)上會(huì)存在大量的不良網(wǎng)站,該些不良網(wǎng)站會(huì)直接威脅到用戶終端的網(wǎng) 絡(luò)安全�����,并且許多不良網(wǎng)站的IP地址也是動(dòng)態(tài)變化的����。即使管理員獲取到了Web站點(diǎn)當(dāng)前 的IP地址�����,并使用獲取到的IP地址對(duì)匹配條件進(jìn)行配置��,但是對(duì)Web站點(diǎn)的IP地址的收 集仍存在如下兩個(gè)問題�����;第一����、Web站點(diǎn)的IP地址是可能變化的����,一旦IP地址發(fā)生變化���,配 置好的匹配條件就失去了作用��;第二����、一個(gè)Web站點(diǎn)可能對(duì)應(yīng)多個(gè)IP地址����,如果收集到的 Web站點(diǎn)的IP地址只是多個(gè)IP地址中的一個(gè)或小部分,那么當(dāng)收集IP地址時(shí)使用被遺漏 的IP地址的IP報(bào)文來到時(shí)就無法根據(jù)配置好的匹配條件進(jìn)行報(bào)文控制��,也就無法將IP報(bào) 文的優(yōu)先級(jí)別進(jìn)行提升�����,導(dǎo)致報(bào)文控制處理的失敗����。故按照現(xiàn)有技術(shù)中將匹配條件設(shè)定為 固定的IP地址��,該無法自動(dòng)感知匹配目標(biāo)的IP地址變化�����,隨著Web業(yè)務(wù)的迅猛發(fā)展����,用戶 會(huì)更加關(guān)注對(duì)Web站點(diǎn)的訪問控制的細(xì)化處理�,此問題更是日漸突出。
[0101] 本發(fā)明實(shí)施例中為了解決如上技術(shù)問題�,采用了將域名設(shè)定為匹配條件來實(shí)現(xiàn)的 技術(shù)方案,并且可W實(shí)現(xiàn)對(duì)IP地址的自主學(xué)習(xí)����,能夠完全適用于IP地址可能變化并且是動(dòng) 態(tài)改變的問題��,可W為報(bào)文的控制處理提供更精準(zhǔn)的匹配條件�。
[0102] 需要說明的是,在本發(fā)明實(shí)施例中�����,報(bào)文處理設(shè)備部署在用戶終端和因特網(wǎng)服務(wù) 器之間��,對(duì)于用戶終端和因特網(wǎng)服務(wù)器之間往來的IP報(bào)文,報(bào)文處理設(shè)備都可W獲取到該 IP報(bào)文�����。其中報(bào)文處理設(shè)備判斷一個(gè)IP報(bào)文是否是DNS響應(yīng)報(bào)文可W有多種實(shí)現(xiàn)方式��,例 如報(bào)文處理設(shè)備可W根據(jù)DNS協(xié)議對(duì)報(bào)文處理設(shè)備獲取到的IP報(bào)文進(jìn)行解析�,若能夠按照 DNS協(xié)議解析成功��,則該IP報(bào)文就是DNS響應(yīng)報(bào)文。又如�����,報(bào)文處理設(shè)備還是可W對(duì)IP報(bào) 文的峽格式進(jìn)行解析,從報(bào)文的特征上判斷是否具有DNS協(xié)議所要求的必備特征,從而判 斷該IP報(bào)文是否為DNS響應(yīng)報(bào)文�。
[0103] 102�、若上述IP報(bào)文是DNS響應(yīng)報(bào)文�����,從IP報(bào)文中解析出用戶終端請(qǐng)求的域名����。
[0104] 在本發(fā)明實(shí)施例中,報(bào)文處理設(shè)備在獲取到IP報(bào)文后對(duì)IP報(bào)文是否是DNS響應(yīng) 報(bào)文進(jìn)行判斷�����,當(dāng)IP報(bào)文是DNS響應(yīng)報(bào)文時(shí)�,報(bào)文處理設(shè)備從該IP報(bào)文中解析出用戶終端 請(qǐng)求的域名。
[0105] 其中��,對(duì)于報(bào)文處理設(shè)備獲取到的IP報(bào)文�,其中只有因特網(wǎng)服務(wù)器從DNS服務(wù)器 接收到的并且轉(zhuǎn)發(fā)給用戶終端的IP報(bào)文才是DNS響應(yīng)報(bào)文���,DNS響應(yīng)報(bào)文中攜帶有用戶終 端請(qǐng)求的域名���,故報(bào)文處理設(shè)備根據(jù)DNS協(xié)議就可W從DNS響應(yīng)報(bào)文中解析出用戶終端請(qǐng) 求的域名��。
[0106] 需要說明的是���,在本發(fā)明實(shí)施例中,步驟101判斷獲取到的IP報(bào)文是否為DNS響 應(yīng)報(bào)文����,若IP報(bào)文是DNS響應(yīng)報(bào)文,則執(zhí)行步驟102,若IP報(bào)文不是DNS響應(yīng)報(bào)文�,還可W 執(zhí)行如下步驟:
[0107]A1、當(dāng)IP報(bào)文不是DNS響應(yīng)報(bào)文時(shí)����,