Https網(wǎng)站過濾及阻斷告警的方法和裝置制造方法
【專利摘要】本發(fā)明公開了一種HTTPS網(wǎng)站過濾及阻斷告警的方法�����,包括以下步驟:接收請(qǐng)求數(shù)據(jù)包,從請(qǐng)求數(shù)據(jù)包中獲取IP地址�;當(dāng)請(qǐng)求數(shù)據(jù)包為訪問HTTPS網(wǎng)站的訪問請(qǐng)求時(shí)��,在DNS列表中查找IP地址對(duì)應(yīng)的DNS����;判斷DNS列表中是否存在過濾網(wǎng)站,若是�,對(duì)訪問請(qǐng)求進(jìn)行過濾,并返回阻斷告警��。本發(fā)明還公開了一種HTTPS網(wǎng)站過濾及阻斷告警的裝置�����。由于無需對(duì)所有HTTPS請(qǐng)求都進(jìn)行截獲����,只對(duì)DNS列表中存在過濾網(wǎng)站的HTTPS請(qǐng)求進(jìn)行過濾,而其他HTTPS請(qǐng)求則放行��,從而實(shí)現(xiàn)準(zhǔn)確地對(duì)HTTPS網(wǎng)站進(jìn)行過濾����,并且能夠在過濾請(qǐng)求后向用戶提供阻斷告警���。
【專利說明】HTTPS網(wǎng)站過濾及阻斷告警的方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】,尤其涉及HTTPS網(wǎng)站過濾及阻斷告警的方法和裝置�。
【背景技術(shù)】
[0002]使用HTTPS (Hypertext Transfer Protocol over Secure Socket Layer)訪問站點(diǎn)是一種安全訪問方法,訪問過程中使用SSL (Secure Sockets Layer,安全套接層)對(duì)數(shù)據(jù)進(jìn)行加密���,從而保證數(shù)據(jù)的安全性����。但是�����,加密后會(huì)導(dǎo)致網(wǎng)關(guān)設(shè)備對(duì)HTTPS的站點(diǎn)進(jìn)行過濾造成了困難���。目前常用的過濾方法包括以下兩種:
[0003]一����、使用中間人攻擊的方法���,對(duì)所有HTTPS請(qǐng)求截獲并分析其內(nèi)容��,從而可以精確的針對(duì)該HTTPS請(qǐng)求的URL (Uniform Resource Locator,統(tǒng)一資源定位符)進(jìn)行過濾�����,同時(shí)過濾請(qǐng)求后也可以提供阻斷告警����。但這種方法的缺陷是會(huì)對(duì)所有HTTPS請(qǐng)求都截獲���,而無法排除特定域名����,如網(wǎng)上銀行類型的情況���。
[0004]二���、通過分析TLS/SSL協(xié)議特征進(jìn)行阻斷,比如TLS1.1中在Client-Hello包中會(huì)帶有server-name字段,這個(gè)字段標(biāo)示了當(dāng)前站點(diǎn)的域名���,這樣便可以實(shí)現(xiàn)不用針對(duì)URL的過濾�;再比如�,在SSL協(xié)議中服務(wù)器會(huì)把自身的證書發(fā)送給客戶端�,通過分析證書里的“頒發(fā)給”信息���,就可以獲取域名���,從而進(jìn)行過濾。這種方法雖然不需要對(duì)HTTPS請(qǐng)求做中間人攻擊�,但是無法在過濾請(qǐng)求后提供阻斷告警。
[0005]上述內(nèi)容僅用于輔助理解本發(fā)明的技術(shù)方案����,并不代表承認(rèn)上述內(nèi)容是現(xiàn)有技術(shù)。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的主要目的在于提供HTTPS網(wǎng)站過濾及阻斷告警的方法和裝置�����,旨在實(shí)現(xiàn)準(zhǔn)確地對(duì)HTTPS網(wǎng)站進(jìn)行過濾���,并且能夠在過濾請(qǐng)求后向用戶提供阻斷告警���。
[0007]為實(shí)現(xiàn)上述目的,本發(fā)明提供的一種HTTPS網(wǎng)站過濾及阻斷告警的方法�����,包括以下步驟:
[0008]接收請(qǐng)求數(shù)據(jù)包,從所述請(qǐng)求數(shù)據(jù)包中獲取IP地址��;
[0009]當(dāng)所述請(qǐng)求數(shù)據(jù)包為訪問HTTPS網(wǎng)站的訪問請(qǐng)求時(shí)�,在DNS列表中查找所述IP地址對(duì)應(yīng)的DNS ;
[0010]判斷所述DNS列表中是否存在過濾網(wǎng)站����,若是,對(duì)所述訪問請(qǐng)求進(jìn)行過濾��,并返回
阻斷告警�。
[0011]優(yōu)選地�,所述判斷DNS列表中是否存在過濾網(wǎng)站,若是���,對(duì)所述訪問請(qǐng)求進(jìn)行過濾����,并返回阻斷告警的步驟包括:
[0012]當(dāng)所述DNS列表中存在過濾網(wǎng)站時(shí)�,過濾所述訪問請(qǐng)求中的過濾網(wǎng)站;
[0013]將過濾后的所述訪問請(qǐng)求進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換��,重定向至本機(jī)HTTPS服務(wù)器��;
[0014]通過所述本機(jī)HTTPS服務(wù)器提供的告警頁面向用戶返回阻斷告警。[0015]優(yōu)選地��,在所述接收請(qǐng)求數(shù)據(jù)包��,從所述請(qǐng)求數(shù)據(jù)包中獲取IP地址的步驟之前��,還包括:
[0016]分析DNS請(qǐng)求包���,生成相應(yīng)的IP地址對(duì)應(yīng)的DNS列表�����。
[0017]優(yōu)選地���,在所述在DNS列表中查找所述IP地址對(duì)應(yīng)的DNS的步驟之前,還包括:
[0018]判斷所述請(qǐng)求數(shù)據(jù)包是否為第一包����。
[0019]本發(fā)明進(jìn)一步提供一種HTTPS網(wǎng)站過濾及阻斷告警的裝置,包括:
[0020]獲取模塊�,用于接收請(qǐng)求數(shù)據(jù)包,從所述請(qǐng)求數(shù)據(jù)包中獲取IP地址��;
[0021 ] 查找模塊��,用于當(dāng)所述請(qǐng)求數(shù)據(jù)包為訪問HTTPS網(wǎng)站的訪問請(qǐng)求時(shí),在DNS列表中查找所述IP地址對(duì)應(yīng)的DNS ���;
[0022]過濾及告警模塊�,用于判斷所述DNS列表中是否存在過濾網(wǎng)站�,若是,對(duì)所述訪問請(qǐng)求進(jìn)行過濾����,并返回阻斷告警。
[0023]優(yōu)選地�,所述過濾及告警模塊包括:
[0024]過濾單元,用于當(dāng)所述DNS列表中存在過濾網(wǎng)站時(shí)���,過濾所述訪問請(qǐng)求中的過濾網(wǎng)站�����;
[0025]重定向單元,用于將過濾后的所述訪問請(qǐng)求進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�,重定向至本機(jī)HTTPS服務(wù)器;
[0026]告警單元�����,用于通過所述本機(jī)HTTPS服務(wù)器提供的告警頁面向用戶返回阻斷告
m
目O
[0027]優(yōu)選地,HTTPS網(wǎng)站過濾及阻斷告警的裝置還包括:
[0028]DNS緩存模塊�����,用于分析DNS請(qǐng)求包�,生成相應(yīng)的IP地址對(duì)應(yīng)的DNS列表。
[0029]優(yōu)選地�,HTTPS網(wǎng)站過濾及阻斷告警的裝置還包括:
[0030]判斷模塊,用于判斷所述請(qǐng)求數(shù)據(jù)包是否為第一包�����。
[0031]本發(fā)明通過在接收請(qǐng)求數(shù)據(jù)包后�����,從請(qǐng)求數(shù)據(jù)包中獲取IP地址���,當(dāng)請(qǐng)求數(shù)據(jù)包為訪問HTTPS網(wǎng)站的訪問請(qǐng)求時(shí)�����,在DNS列表中查找IP地址對(duì)應(yīng)的DNS�,進(jìn)一步判斷DNS列表中是否存在過濾網(wǎng)站,若是�,對(duì)訪問請(qǐng)求進(jìn)行過濾,并返回阻斷告警��。由于無需對(duì)所有HTTPS請(qǐng)求都進(jìn)行截獲��,只對(duì)DNS列表中存在過濾網(wǎng)站的HTTPS請(qǐng)求進(jìn)行過濾���,而其他HTTPS請(qǐng)求則放行�,從而實(shí)現(xiàn)準(zhǔn)確地對(duì)HTTPS網(wǎng)站進(jìn)行過濾���,并且能夠在過濾請(qǐng)求后向用戶提供阻斷
生敬口目��。
【專利附圖】
【附圖說明】
[0032]圖1為本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的方法第一實(shí)施例的流程示意圖����;
[0033]圖2為圖1中過濾訪問請(qǐng)求并返回阻斷告警的步驟的細(xì)化流程示意圖�;
[0034]圖3為本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的方法第二實(shí)施例的流程示意圖;
[0035]圖4為本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的方法第三實(shí)施例的流程示意圖���;
[0036]圖5為本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的裝置第一實(shí)施例的功能模塊示意圖;
[0037]圖6為圖5中過濾及告警模塊的功能模塊示意圖�;
[0038]圖7為本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的裝置第二實(shí)施例的功能模塊示意圖;
[0039]圖8為本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的裝置第三實(shí)施例的功能模塊示意圖���。
[0040]本發(fā)明目的的實(shí)現(xiàn)�、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例,參照附圖做進(jìn)一步說明����。【具體實(shí)施方式】
[0041]應(yīng)當(dāng)理解�����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明���,并不用于限定本發(fā)明��。
[0042]本發(fā)明提供一種HTTPS網(wǎng)站過濾及阻斷告警的方法���。
[0043]參照?qǐng)D1,
[0044]在一實(shí)施例中����,HTTPS網(wǎng)站過濾及阻斷告警的方法包括:
[0045]步驟S10,接收請(qǐng)求數(shù)據(jù)包���,從請(qǐng)求數(shù)據(jù)包中獲取IP地址���;
[0046]步驟S20�����,當(dāng)請(qǐng)求數(shù)據(jù)包為訪問HTTPS網(wǎng)站的訪問請(qǐng)求時(shí)��,在DNS列表中查找IP地址對(duì)應(yīng)的DNS ����;
[0047]接收到請(qǐng)求數(shù)據(jù)包時(shí)����,從該請(qǐng)求數(shù)據(jù)包中獲取訪問的IP地址,本實(shí)施例中,該請(qǐng)求數(shù)據(jù)包可以為基于TCP協(xié)議的TCP數(shù)據(jù)包��。判斷所接收到的請(qǐng)求數(shù)據(jù)包是否為訪問HTTPS網(wǎng)站的訪問請(qǐng)求��,具體判斷時(shí)���,由于訪問HTTPS網(wǎng)站的默認(rèn)端口為相應(yīng)的IP地址的443端口���,因此,如判斷出訪問請(qǐng)求是通過IP地址的443端口訪問該IP地址對(duì)應(yīng)的網(wǎng)站��,即可確定請(qǐng)求數(shù)據(jù)包為訪問HTTPS網(wǎng)站的訪問請(qǐng)求。然后����,在DNS列表中查找IP地址對(duì)應(yīng)的DNS,本實(shí)施例中��,該DNS列表中存儲(chǔ)有每個(gè)IP地址與DNS的對(duì)應(yīng)關(guān)系����,其中可包括允許IP訪問的DNS,也包括需要過濾的DNS�����。
[0048]步驟S30�����,判斷DNS列表中是否存在過濾網(wǎng)站���,若是����,對(duì)訪問請(qǐng)求進(jìn)行過濾,并返回
阻斷告警�����。
[0049]在查找到IP地址對(duì)應(yīng)的DNS后�,在DNS列表中進(jìn)一步進(jìn)行查找,以判斷DNS列表中是否存在需要過濾的過濾網(wǎng)站��,如存在�,則對(duì)請(qǐng)求數(shù)據(jù)包對(duì)應(yīng)的訪問請(qǐng)求進(jìn)行過濾,即過濾掉DNS列表中的過濾網(wǎng)站���,在對(duì)訪問請(qǐng)求進(jìn)行過濾后����,向用戶返回阻斷告警��,以提醒用戶對(duì)哪些過濾網(wǎng)站進(jìn)行了過濾��。本實(shí)施例中����,需要過濾的過濾網(wǎng)站可以根據(jù)預(yù)先設(shè)置的過濾策略在DNS列表中進(jìn)行查找,并在查找到后過濾掉相應(yīng)的過濾網(wǎng)站�����,或者可以根據(jù)用戶對(duì)過濾網(wǎng)站的自定義設(shè)置,對(duì)DNS列表中所查找到的過濾網(wǎng)站進(jìn)行過濾��。
[0050]本實(shí)施例通過在接收請(qǐng)求數(shù)據(jù)包后��,從請(qǐng)求數(shù)據(jù)包中獲取IP地址�����,當(dāng)請(qǐng)求數(shù)據(jù)包為訪問HTTPS網(wǎng)站的訪問請(qǐng)求時(shí)����,在DNS列表中查找IP地址對(duì)應(yīng)的DNS��,進(jìn)一步判斷DNS列表中是否存在過濾網(wǎng)站����,若是,對(duì)訪問請(qǐng)求進(jìn)行過濾���,并返回阻斷告警��。由于無需對(duì)所有HTTPS請(qǐng)求都進(jìn)行截獲��,只對(duì)DNS列表中存在過濾網(wǎng)站的HTTPS請(qǐng)求進(jìn)行過濾�����,而其他HTTPS請(qǐng)求則放行��,從而實(shí)現(xiàn)準(zhǔn)確地對(duì)HTTPS網(wǎng)站進(jìn)行過濾����,并且能夠在過濾請(qǐng)求后向用戶提供阻斷告警。
[0051]參照?qǐng)D2����,圖2為圖1中過濾訪問請(qǐng)求并返回阻斷告警的步驟的細(xì)化流程示意圖。
[0052]在上述實(shí)施例中���,步驟S30具體包括:
[0053]步驟S31�,當(dāng)DNS列表中存在過濾網(wǎng)站時(shí)�����,過濾訪問請(qǐng)求中的過濾網(wǎng)站�;
[0054]步驟S32,將過濾后的訪問請(qǐng)求進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�,重定向至本機(jī)HTTPS服務(wù)器����;
[0055]當(dāng)DNS列表中進(jìn)一步進(jìn)行查找并判斷出DNS列表中存在需要過濾的過濾網(wǎng)站時(shí)���,首先根據(jù)DNS列表中的過濾網(wǎng)站�,將訪問請(qǐng)求進(jìn)行過濾�。將過濾后的訪問請(qǐng)求進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,本實(shí)施例中��,優(yōu)選可對(duì)過濾后的訪問請(qǐng)求設(shè)置NAT標(biāo)識(shí)���,以表明該訪問請(qǐng)求需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,然后將設(shè)置有NAT標(biāo)識(shí)的訪問請(qǐng)求重定向至本機(jī)的HTTPS服務(wù)器�。
[0056]步驟S33,通過本機(jī)HTTPS服務(wù)器提供的告警頁面向用戶返回阻斷告警�。[0057]本機(jī)HTTPS服務(wù)器接收到重定向的訪問請(qǐng)求后,會(huì)認(rèn)為所接收到的重定向的訪問請(qǐng)求都是需要過濾的訪問請(qǐng)求��,此時(shí)可統(tǒng)一提供告警頁面�,本實(shí)施例中,該告警頁面可以為HTTP Redirect頁面����,通過該告警頁面向用戶返回阻斷告警����,并同時(shí)告知阻斷原因����。
[0058]當(dāng)DNS列表中存在過濾網(wǎng)站時(shí),過濾訪問請(qǐng)求中的過濾網(wǎng)站�����,將過濾后的訪問請(qǐng)求進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�,重定向至本機(jī)HTTPS服務(wù)器,并通過本機(jī)HTTPS服務(wù)器提供的告警頁面向用戶返回阻斷告警�����,為在過濾請(qǐng)求后向用戶提供阻斷告警提供了前提保證�����。
[0059]參照?qǐng)D3����,圖3為本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的方法第二實(shí)施例的流程示意圖。
[0060]在本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的方法第一實(shí)施例的基礎(chǔ)上,在執(zhí)行步驟SlO之前,該方法還包括:
[0061 ] 步驟S40�,分析DNS請(qǐng)求包,生成相應(yīng)的IP地址對(duì)應(yīng)的DNS列表���。
[0062]本實(shí)施例中��,當(dāng)用戶請(qǐng)求訪問HTTPS網(wǎng)站的域名時(shí)�����,首先會(huì)發(fā)送DNS請(qǐng)求包����,以查詢域名所對(duì)應(yīng)的IP地址��,然后分析所有的DNS請(qǐng)求包���,并自動(dòng)生成相應(yīng)的IP地址對(duì)應(yīng)的DNS列表,這樣�����,可方便在接收到請(qǐng)求數(shù)據(jù)包并獲取到IP地址后�,查找該IP地址對(duì)應(yīng)的DNS列表,并進(jìn)一步判斷是否存在需要過濾的過濾網(wǎng)站。本實(shí)施例在用戶判斷需要對(duì)哪些DNS進(jìn)行過濾時(shí)��,可以根據(jù)DNS的類別進(jìn)行過濾���,即該IP對(duì)某一類別的DNS均需要過濾���,這樣,當(dāng)判斷出IP地址對(duì)應(yīng)的DNS列表中存在需要過濾的過濾網(wǎng)站時(shí)�,便可將屬于同一類別的DNS全部進(jìn)行過濾。
[0063]分析所有的DNS請(qǐng)求包����,并自動(dòng)生成相應(yīng)的IP地址對(duì)應(yīng)的DNS列表,方便在接收到請(qǐng)求數(shù)據(jù)包并獲取到IP地址后��,查找該IP地址對(duì)應(yīng)的DNS列表���,并進(jìn)一步判斷是否存在需要過濾的過濾網(wǎng)站����,為實(shí)現(xiàn)準(zhǔn)確地對(duì)HTTPS網(wǎng)站進(jìn)行過濾提供了基礎(chǔ)��。
[0064]參照?qǐng)D4���,圖4為本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的方法第三實(shí)施例的流程示意圖����。
[0065]在上述實(shí)施例的基礎(chǔ)上,在執(zhí)行步驟S20之前���,該方法還包括:
[0066]步驟S50����,判斷請(qǐng)求數(shù)據(jù)包是否為第一包��。
[0067]本實(shí)施例中�����,由于網(wǎng)絡(luò)地址轉(zhuǎn)換必須要對(duì)數(shù)據(jù)包的第一包進(jìn)行處理����,因而在接收到請(qǐng)求數(shù)據(jù)包�����,并且判斷其是否為訪問HTTPS網(wǎng)站的訪問請(qǐng)求之前�����,判斷該請(qǐng)求數(shù)據(jù)包是否為第一包,如是�,則判斷該請(qǐng)求數(shù)據(jù)包是否為訪問HTTPS網(wǎng)站的訪問請(qǐng)求,并進(jìn)一步執(zhí)行步驟S20 ;如不是第一包�,則不做處理。
[0068]在接收到請(qǐng)求數(shù)據(jù)包�����,并且判斷其是否為訪問HTTPS網(wǎng)站的訪問請(qǐng)求之前����,判斷該請(qǐng)求數(shù)據(jù)包是否為第一包,并且只對(duì)第一包進(jìn)行處理�,從而進(jìn)一步保證了能夠?qū)崿F(xiàn)準(zhǔn)確地對(duì)HTTPS網(wǎng)站進(jìn)行過濾。
[0069]本發(fā)明進(jìn)一步提供一種HTTPS網(wǎng)站過濾及阻斷告警的裝置�。
[0070]參照?qǐng)D5,圖5為本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的裝置第一實(shí)施例的功能模塊示意圖����。
[0071]在一實(shí)施例中,HTTPS網(wǎng)站過濾及阻斷告警的裝置包括:
[0072]獲取模塊10���,用于接收請(qǐng)求數(shù)據(jù)包��,從請(qǐng)求數(shù)據(jù)包中獲取IP地址����;
[0073]查找模塊20,用于當(dāng)請(qǐng)求數(shù)據(jù)包為訪問HTTPS網(wǎng)站的訪問請(qǐng)求時(shí)����,在DNS列表中查找IP地址對(duì)應(yīng)的DNS ;[0074]過濾及告警模塊30����,用于判斷DNS列表中是否存在過濾網(wǎng)站,若是���,對(duì)訪問請(qǐng)求進(jìn)行過濾��,并返回阻斷告警���。
[0075]接收到請(qǐng)求數(shù)據(jù)包時(shí),獲取模塊10從該請(qǐng)求數(shù)據(jù)包中獲取訪問的IP地址���,本實(shí)施例中,該請(qǐng)求數(shù)據(jù)包可以為基于TCP協(xié)議的TCP數(shù)據(jù)包�����。判斷所接收到的請(qǐng)求數(shù)據(jù)包是否為訪問HTTPS網(wǎng)站的訪問請(qǐng)求,具體判斷時(shí)�,由于訪問HTTPS網(wǎng)站的默認(rèn)端口為相應(yīng)的IP地址的443端口,因此�����,如判斷出訪問請(qǐng)求是通過IP地址的443端口訪問該IP地址對(duì)應(yīng)的網(wǎng)站��,即可確定請(qǐng)求數(shù)據(jù)包為訪問HTTPS網(wǎng)站的訪問請(qǐng)求�。然后,在DNS列表中查找IP地址對(duì)應(yīng)的DNS���,本實(shí)施例中����,該DNS列表中存儲(chǔ)有每個(gè)IP地址與DNS的對(duì)應(yīng)關(guān)系����,其中可包括允許IP訪問的DNS,也包括需要過濾的DNS�。
[0076]在查找到IP地址對(duì)應(yīng)的DNS列表后,過濾及告警模塊30在該DNS列表中進(jìn)一步進(jìn)行查找���,以判斷DNS列表中是否存在需要過濾的過濾網(wǎng)站����,如存在,則對(duì)請(qǐng)求數(shù)據(jù)包對(duì)應(yīng)的訪問請(qǐng)求進(jìn)行過濾����,即過濾掉DNS列表中的過濾網(wǎng)站,在對(duì)訪問請(qǐng)求進(jìn)行過濾后��,向用戶返回阻斷告警����,以提醒用戶對(duì)哪些過濾網(wǎng)站進(jìn)行了過濾。本實(shí)施例中����,需要過濾的過濾網(wǎng)站可以根據(jù)預(yù)先設(shè)置的過濾策略在DNS列表中進(jìn)行查找,并在查找到后過濾掉相應(yīng)的過濾網(wǎng)站����,或者可以根據(jù)用戶對(duì)過濾網(wǎng)站的自定義設(shè)置,對(duì)DNS列表中所查找到的過濾網(wǎng)站進(jìn)行過濾�����。
[0077]本實(shí)施例通過在接收請(qǐng)求數(shù)據(jù)包后,從請(qǐng)求數(shù)據(jù)包中獲取IP地址�����,當(dāng)請(qǐng)求數(shù)據(jù)包為訪問HTTPS網(wǎng)站的訪問請(qǐng)求時(shí)��,在DNS列表中查找IP地址對(duì)應(yīng)的DNS����,進(jìn)一步判斷DNS列表中是否存在過濾網(wǎng)站���,若是�,對(duì)訪問請(qǐng)求進(jìn)行過濾���,并返回阻斷告警��。由于無需對(duì)所有HTTPS請(qǐng)求都進(jìn)行截獲�,只對(duì)DNS列表中存在過濾網(wǎng)站的HTTPS請(qǐng)求進(jìn)行過濾���,而其他HTTPS請(qǐng)求則放行����,從而實(shí)現(xiàn)準(zhǔn)確地對(duì)HTTPS網(wǎng)站進(jìn)行過濾,并且能夠在過濾請(qǐng)求后向用戶提供阻斷告警�。
[0078]參照?qǐng)D6,圖6為圖5中過濾及告警模塊的功能模塊示意圖���。
[0079]在上述實(shí)施例中���,過濾及告警模塊30具體包括:
[0080]過濾單元31,用于當(dāng)DNS列表中存在過濾網(wǎng)站時(shí)�,過濾訪問請(qǐng)求中的過濾網(wǎng)站;
[0081]重定向單元32���,用于將過濾后的訪問請(qǐng)求進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換����,重定向至本機(jī)HTTPS服務(wù)器���;
[0082]告警單元33���,用于通過本機(jī)HTTPS服務(wù)器提供的告警頁面向用戶返回阻斷告警。
[0083]當(dāng)DNS列表中進(jìn)一步進(jìn)行查找并判斷出DNS列表中存在需要過濾的過濾網(wǎng)站時(shí)�����,過濾單元31首先根據(jù)DNS列表中的過濾網(wǎng)站,將訪問請(qǐng)求進(jìn)行過濾��。重定向單元32將過濾后的訪問請(qǐng)求進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換����,本實(shí)施例中����,優(yōu)選可對(duì)過濾后的訪問請(qǐng)求設(shè)置NAT標(biāo)識(shí),以表明該訪問請(qǐng)求需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換����,然后將設(shè)置有NAT標(biāo)識(shí)的訪問請(qǐng)求重定向至本機(jī)的HTTPS服務(wù)器。
[0084]本機(jī)HTTPS服務(wù)器接收到重定向的訪問請(qǐng)求后��,會(huì)認(rèn)為所接收到的重定向的訪問請(qǐng)求都是需要過濾的訪問請(qǐng)求�,此時(shí)可統(tǒng)一提供告警頁面,本實(shí)施例中�����,該告警頁面可以為HTTP Redirect頁面����,告警單元33通過該告警頁面向用戶返回阻斷告警���,并同時(shí)告知阻斷原因。
[0085]當(dāng)DNS列表中存在過濾網(wǎng)站時(shí)����,過濾訪問請(qǐng)求中的過濾網(wǎng)站,將過濾后的訪問請(qǐng)求進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�����,重定向至本機(jī)HTTPS服務(wù)器�,并通過本機(jī)HTTPS服務(wù)器提供的告警頁面向用戶返回阻斷告警,為在過濾請(qǐng)求后向用戶提供阻斷告警提供了前提保證�����。
[0086]參照?qǐng)D7��,圖7為本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的裝置第二實(shí)施例的功能模塊示意圖�。
[0087]在本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的裝置第一實(shí)施例的基礎(chǔ)上,該裝置還包括:
[0088]DNS緩存模塊40�����,用于分析DNS請(qǐng)求包,生成相應(yīng)的IP地址對(duì)應(yīng)的DNS列表�。
[0089]本實(shí)施例中,當(dāng)用戶請(qǐng)求訪問HTTPS網(wǎng)站的域名時(shí)��,首先會(huì)發(fā)送DNS請(qǐng)求包����,以查詢域名所對(duì)應(yīng)的IP地址,然后DNS緩存模塊40分析所有的DNS請(qǐng)求包���,并自動(dòng)生成相應(yīng)的IP地址對(duì)應(yīng)的DNS列表,這樣��,可方便在接收到請(qǐng)求數(shù)據(jù)包并獲取到IP地址后��,查找該IP地址對(duì)應(yīng)的DNS列表�����,并進(jìn)一步判斷是否存在需要過濾的過濾網(wǎng)站���。本實(shí)施例在用戶判斷需要對(duì)哪些DNS進(jìn)行過濾時(shí)�����,可以根據(jù)DNS的類別進(jìn)行過濾���,即該IP對(duì)某一類別的DNS均需要過濾�����,這樣�����,當(dāng)判斷出IP地址對(duì)應(yīng)的DNS列表中存在需要過濾的過濾網(wǎng)站時(shí)�,便可將屬于同一類別的DNS全部進(jìn)行過濾��。
[0090]分析所有的DNS請(qǐng)求包����,并自動(dòng)生成相應(yīng)的IP地址對(duì)應(yīng)的DNS列表,方便在接收到請(qǐng)求數(shù)據(jù)包并獲取到IP地址后��,查找該IP地址對(duì)應(yīng)的DNS列表����,并進(jìn)一步判斷是否存在需要過濾的過濾網(wǎng)站,為實(shí)現(xiàn)準(zhǔn)確地對(duì)HTTPS網(wǎng)站進(jìn)行過濾提供了基礎(chǔ)����。
[0091]參照?qǐng)D8�,圖8為本發(fā)明HTTPS網(wǎng)站過濾及阻斷告警的裝置第三實(shí)施例的功能模塊示意圖�����。
[0092]在上述實(shí)施例的基礎(chǔ)上����,HTTPS網(wǎng)站過濾及阻斷告警的裝置還包括:
[0093]判斷模塊50,用于判斷請(qǐng)求數(shù)據(jù)包是否為第一包�。
[0094]本實(shí)施例中,由于網(wǎng)絡(luò)地址轉(zhuǎn)換必須要對(duì)數(shù)據(jù)包的第一包進(jìn)行處理���,因而在接收到請(qǐng)求數(shù)據(jù)包,并且判斷其是否為訪問HTTPS網(wǎng)站的訪問請(qǐng)求之前�,判斷模塊50判斷該請(qǐng)求數(shù)據(jù)包是否為第一包,如是�,則判斷該請(qǐng)求數(shù)據(jù)包是否為訪問HTTPS網(wǎng)站的訪問請(qǐng)求,并進(jìn)一步執(zhí)行步驟S20 ;如不是第一包�,則不做處理。
[0095]在接收到請(qǐng)求數(shù)據(jù)包���,并且判斷其是否為訪問HTTPS網(wǎng)站的訪問請(qǐng)求之前���,判斷該請(qǐng)求數(shù)據(jù)包是否為第一包���,并且只對(duì)第一包進(jìn)行處理,從而進(jìn)一步保證了能夠?qū)崿F(xiàn)準(zhǔn)確地對(duì)HTTPS網(wǎng)站進(jìn)行過濾����。
[0096]以上僅為本發(fā)明的優(yōu)選實(shí)施例,并非因此限制本發(fā)明的專利范圍�����,凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換���,或直接或間接運(yùn)用在其他相關(guān)的【技術(shù)領(lǐng)域】����,均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)���。
【權(quán)利要求】
1.一種HTTPS網(wǎng)站過濾及阻斷告警的方法���,其特征在于,包括以下步驟: 接收請(qǐng)求數(shù)據(jù)包,從所述請(qǐng)求數(shù)據(jù)包中獲取IP地址��; 當(dāng)所述請(qǐng)求數(shù)據(jù)包為訪問HTTPS網(wǎng)站的訪問請(qǐng)求時(shí),在DNS列表中查找所述IP地址對(duì)應(yīng)的DNS �; 判斷所述DNS列表中是否存在過濾網(wǎng)站,若是�����,對(duì)所述訪問請(qǐng)求進(jìn)行過濾�,并返回阻斷生敬口目。
2.如權(quán)利要求1所述的HTTPS網(wǎng)站過濾及阻斷告警的方法�����,其特征在于��,所述判斷DNS列表中是否存在過濾網(wǎng)站�,若是,對(duì)所述訪問請(qǐng)求進(jìn)行過濾���,并返回阻斷告警的步驟包括: 當(dāng)所述DNS列表中存在過濾網(wǎng)站時(shí),過濾所述訪問請(qǐng)求中的過濾網(wǎng)站���; 將過濾后的所述訪問請(qǐng)求進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換��,重定向至本機(jī)HTTPS服務(wù)器�; 通過所述本機(jī)HTTPS服務(wù)器提供的告警頁面向用戶返回阻斷告警���。
3.如權(quán)利要求2所述的HTTPS網(wǎng)站過濾及阻斷告警的方法��,其特征在于��,在所述接收請(qǐng)求數(shù)據(jù)包���,從所述請(qǐng)求數(shù)據(jù)包中獲取IP地址的步驟之前�����,還包括: 分析DNS請(qǐng)求包�����,生成相應(yīng)的IP地址對(duì)應(yīng)的DNS列表�。
4.如權(quán)利要求3所述的HTTPS網(wǎng)站過濾及阻斷告警的方法�,其特征在于,在所述在DNS列表中查找所述IP地址對(duì)應(yīng)的DNS的步驟之前��,還包括: 判斷所述請(qǐng)求數(shù)據(jù)包是否為第一包�。
5.一種HTTPS網(wǎng)站過濾及阻斷告警的裝置,其特征在于��,包括: 獲取模塊,用于接收請(qǐng)求數(shù)據(jù)包�����,從所述請(qǐng)求數(shù)據(jù)包中獲取IP地址��; 查找模塊����,用于當(dāng)所述請(qǐng)求數(shù)據(jù)包為訪問HTTPS網(wǎng)站的訪問請(qǐng)求時(shí),在DNS列表中查找所述IP地址對(duì)應(yīng)的DNS ��; 過濾及告警模塊�����,用于判斷所述DNS列表中是否存在過濾網(wǎng)站�����,若是�����,對(duì)所述訪問請(qǐng)求進(jìn)行過濾����,并返回阻斷告警。
6.如權(quán)利要求5所述的HTTPS網(wǎng)站過濾及阻斷告警的裝置�,其特征在于,所述過濾及告警模塊包括: 過濾單元�,用于當(dāng)所述DNS列表中存在過濾網(wǎng)站時(shí),過濾所述訪問請(qǐng)求中的過濾網(wǎng)站����;重定向單元,用于將過濾后的所述訪問請(qǐng)求進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�,重定向至本機(jī)HTTPS服務(wù)器; 告警單元�����,用于通過所述本機(jī)HTTPS服務(wù)器提供的告警頁面向用戶返回阻斷告警�����。
7.如權(quán)利要求6所述的HTTPS網(wǎng)站過濾及阻斷告警的裝置��,其特征在于�����,還包括: DNS緩存模塊,用于分析DNS請(qǐng)求包�,生成相應(yīng)的IP地址對(duì)應(yīng)的DNS列表。
8.如權(quán)利要求7所述的HTTPS網(wǎng)站過濾及阻斷告警的裝置����,其特征在于,還包括: 判斷模塊���,用于判斷所述請(qǐng)求數(shù)據(jù)包是否為第一包���。
【文檔編號(hào)】H04L29/06GK103873466SQ201410077542
【公開日】2014年6月18日 申請(qǐng)日期:2014年3月4日 優(yōu)先權(quán)日:2014年3月4日
【發(fā)明者】袁義金 申請(qǐng)人:深信服網(wǎng)絡(luò)科技(深圳)有限公司