CN108390808B - 通信处理方法和装置 - Google Patents

通信处理方法和装置 Download PDF

Info

Publication number
CN108390808B
CN108390808B CN201710063471.0A CN201710063471A CN108390808B CN 108390808 B CN108390808 B CN 108390808B CN 201710063471 A CN201710063471 A CN 201710063471A CN 108390808 B CN108390808 B CN 108390808B
Authority
CN
China
Prior art keywords
domain name
vpn
user
network address
white list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710063471.0A
Other languages
English (en)
Other versions
CN108390808A (zh
Inventor
邓志坚
张美超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201710063471.0A priority Critical patent/CN108390808B/zh
Publication of CN108390808A publication Critical patent/CN108390808A/zh
Application granted granted Critical
Publication of CN108390808B publication Critical patent/CN108390808B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种通信处理方法和装置。其中,该方法包括:获取域名服务请求;判断域名服务请求是否用于请求预定域名对应的网络地址;在判断结果为是的情况下,获取响应于域名服务请求返回的预定域名对应的网络地址;将网络地址加入到名单中,其中,与名单中的网络地址的通信不通过虚拟专用网络VPN进行。本发明解决了现有的VPN网络中无法实现基于域名的过滤的技术问题。

Description

通信处理方法和装置
技术领域
本发明涉及互联网技术领域,具体而言,涉及一种通信处理方法和装置。
背景技术
在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案导致高昂的网络通讯和维护费用。
虚拟专用网络(Virtual Private Network,VPN)是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络上建立的专用网络。在虚拟专用网络中,任意两个节点之间的连接没有传统专用网所需的端到端的物理链路,而是通过对数据包的加密和数据包目标地址的转换实现远程访问,在企业网络中有广泛的应用。
VPN为用户提供了一个安全通道,让用户在公共网络可以安全地访问网络服务。在用户使用VPN的过程中,有很多流量是安全不敏感的,例如,观看网络视频(优酷、爱奇艺等)。为了减少VPN服务器的流量压力,需要对一些安全不敏感且流量大的网站做过滤,让这些流量不走VPN传输。
目前,通用VPN白名单过滤都是基于IP地址的过滤方案,通过将预先收集到的IP地址加入过滤列表,不在列表内的流量才用VPN传输。但是这些安全不敏感的网站通常都有多个IP,且IP有可能不定期更换。由于网站的IP地址变化无常,现有基于IP地址的过滤方案,需要定期去更新过滤列表中的IP地址,给实际运用带来不便。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种通信处理方法和装置,以至少解决现有的VPN网络中无法实现基于域名的过滤的技术问题。
根据本发明实施例的一个方面,提供了一种通信处理方法,包括:获取域名服务请求;判断域名服务请求是否用于请求预定域名对应的网络地址;在判断结果为是的情况下,获取响应于域名服务请求返回的预定域名对应的网络地址;将网络地址加入到名单中,其中,与名单中的网络地址的通信不通过虚拟专用网络VPN进行。
根据本发明实施例的另一方面,还提供了一种通信处理装置,包括:用户界面模块,用于向用户展示第一界面,其中,第一界面用于展示供用户选择的应用以及展示已经被用户选中的应用,和/或,第一界面还用于展示用于输入域名的控件以及展示已经输入的域名;域名服务器代理模块,用于获取域名服务请求,并将域名服务请求转发到域名服务器;通信处理模块,用于在域名服务请求用于请求预定域名对应的网络地址的情况下,获取响应于域名服务请求返回的预定域名对应的网络地址;并将网络地址加入到名单中,其中,与名单中的网络地址的通信不通过虚拟专用网络VPN进行。
根据本发明实施例的另一方面,还提供了一种通信处理装置,包括:第一获取单元,用于获取域名服务请求;第一判断单元,用于判断域名服务请求是否用于请求预定域名对应的网络地址;第二获取单元,用于在判断结果为是的情况下,获取响应于域名服务请求返回的预定域名对应的网络地址;第一配置单元,用于将网络地址加入到名单中,其中,与名单中的网络地址的通信不通过虚拟专用网络VPN进行。
在本发明实施例中,通过获取域名服务请求;判断域名服务请求是否用于请求预定域名对应的网络地址;在判断结果为是的情况下,获取响应于域名服务请求返回的预定域名对应的网络地址;将网络地址加入到名单中,其中,与名单中的网络地址的通信不通过虚拟专用网络VPN进行,达到了在通过域名过滤来实现将安全不敏感的网站进行过滤不经VPN传输的目的,从而实现了降低虚拟专用网络中VPN服务器流量压力的技术效果,进而解决了现有的VPN网络中无法实现基于域名的过滤的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的通过虚拟专用网络远程访问企业内部网络的网络架构示意图;
图2是根据本发明实施例的一种通信处理方法流程图;
图3是根据本发明实施例的一种可选的用户选择应用的流程图;
图4是根据本发明实施例的一种可选的取消选择的流程图;
图5是根据本发明实施例的一种可选的应用管理界面示意图;
图6是根据本发明实施例的一种可选的域名管理界面示意图;
图7是根据本发明实施例的一种基于域名的过滤原理示意图;
图8是根据本发明实施例的一种优选的基于域名的过滤方法流程图;
图9是根据本发明实施例的一种通信处理装置示意图;
图10是根据本发明实施例的一种通信处理装置示意图;以及
图11是根据本发明实施例的一种可选的计算机终端的硬件结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
VPN白名单,为了确定向互联网的发出的数据请求是否通过虚拟专用网络VPN传输而设置的域名或IP过滤表,包括:VPN域名白名单和VPN IP白名单,其中,VPN域名白单中包含了用户不希望通过VPN访问的域名,VPN IP白名单中包含了用户不希望通过VPN访问的IP地址。
实施例1
根据本发明实施例,提供了一种通信处理的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例1所提供的通信处理方法实施例可以应用于跨地区企业的内部网络使用、政府部门的纵向分级网络管理、远程访问企业内部网络等在公用网络上建立虚拟专用网络的场景中。
虚拟专用网络(Virtual Private Network,VPN)技术采用数据加密的方式,可以在公用网络上建立私有网络,其传输通道具有私密性和独有性,可以帮助远程用户、公司分支结构、商业伙伴及供应商与公司内部网络建立可信的安全连接,并保证数据的安全传输。
虚拟专用网络VPN实现了让外地员工访问到企业内网资源,具体地,在企业内网架设一台VPN服务器,外地员工在当地连上互联网后,通过互联网连接该VPN服务器,然后通过该VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户端之间的通讯都进行了加密处理。利用数据加密的方式,可以实现数据是在一条专用的数据链路上进行安全传输,如同专门架设了一个专用网络,而实际上,VPN使用的还是互联网上的公用链路。图1所示为根据本发明实施例的一种可选的通过虚拟专用网络远程访问企业内部网络的网络架构示意图,如图1所示,图标101a为通过有线接入的方式访问互联网的终端,图标101b为通过无线接入的方式访问互联网的终端,图标103所示为企业内部网络,图标105是为该企业内部网络建立的VPN网关。用户可以通过终端101a或终端101b,利用当地的ISP接入Internet,便可以与企业VPN网关105建立私有隧道连接,通过该隧道安全访问远程的企业内部网。
以图1中终端101a为例,如果终端101a请求访问企业内部网络中任意一个终端(例如,终端A),则终端101a发出的访问数据包的目的地址为终端A的IP地址,终端101a所在的网络的ISP网关接收到终端101a发出的数据包后,对其目标地址进行检查,如果发现该目标地址属于该企业内部网络的地址,则将数据包进行封装,并构造一个新的VPN数据包,将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为企业VPN网关105的地址。企业VPN网关105接收到VPN数据包后进行检查,如果发现该数据包是来自其授权的ISP网关的VPN数据包,则将VPN数据包进行解包处理,并将还原后的原数据包发送至企业内部网络的终端A,由于原始数据包的目标地址是终端A的地址,因而,数据包可以正确地发送至终端A,而从终端A角度看,则收到的数据包如同从终端101a直接发送过来的效果一样。
由上可知,在VPN网关对数据包进行处理的过程中,原始数据包的目标地址(例如,企业网络中终端A的IP地址)和远程VPN网关地址(企业VPN网关地址)是非常重要的两个参数,根据原始数据包的目标地址可以判断出对哪些数据进行VPN处理,对于不需要VPN处理的数据包直接转发到上级路由;远程VPN网关地址指定了VPN数据包发送的目标地址,即,VPN隧道另一端的VPN网关地址。
因而,在企业虚拟专用网络架构中,通过VPN服务器来实现数据包的分发,为了减少VPN服务器的流量压力,通常需要对一些安全不敏感且流量大的网站进行过滤,让这些流量不走VPN传输。而基于IP地址(例如,对原始数据包的目标地址)的过滤方案,通过收集一些网站的IP地址并加入到过滤列表,使得在过滤列表中的数据不走VPN传输。但是,由于IP地址的变幻无常,需要定期更新过滤列表中的IP地址,运用和维护起来有诸多不便。
在上述应用环境下,本申请提供了如图2所示的一种通信处理方法。
图2是根据本发明实施例的一种通信处理方法流程图,该方法可以是由一个应用或者软件来进行执行的,该应用或者软件可以是一个独立的安全类应用或软件;可选的,该方法可以作为该安全类应用的一个模块来实现。另外,该方法也可以内置到一个其他应用当中,例如,可以内置到一个视频播放应用当中,使用该视频播放应用时,执行上述步骤使得该视频播放应用的流量不通过VPN。
如图2所示,如果将本实施例提供的通信处理方法运行在一个独立的安全类应用或者软件上,具体地,该方法可以包括如下步骤:
步骤S202,获取域名服务请求。
具体地,在上述步骤中,域名服务请求可以为客户端上安装的安全类应用(软件)拦截到该客户端上任意一个应用程序(例如,微信)向域名解析服务器发送的解析该域名的请求,客户端可以是能够访问互联网的计算机、平板电脑、笔记本、手机等终端设备,客户端上安装的应用程序可以包括:微信、QQ、飞信、邮箱、云盘、浏览器、游戏等。
需要说明的是,为了获取到客户端上所有的域名服务请求,可以在客户端本地运行一个DNS服务器代理,并将本地的域名服务器的地址设置为本地网络地址,则客户端上所有的域名服务请求都要首先访问该本地域名服务器,从而实现域名请求的拦截。
一种可选的实施例中,可以将本地的DNS设置为127.0.0.1,这样***所有的DNS请求都会发往本地的DNS服务器。
步骤S204,判断域名服务请求是否用于请求预定域名对应的网络地址。
具体地,在上述步骤中,预定域名是指预先配置在VPN域名白名单中的域名,其中,向VPN域名白名单(域名过滤列表)中的域名发送的数据包不经过VPN进行传输。
本实施例中为了描述方便,引入了VPN白名单的概念,该VPN白名单包括VPN域名白名单和VPN IP白名单,其中,VPN域名白单中包含了用户不希望通过VPN访问的域名,VPN IP白名单中包含了用户不希望通过VPN访问的IP地址。由上可知,采用建立VPN白名单的方式,在接收到用户通过应用程序输入的域名或者根据用户当前使用的应用得到为该应用提供服务的服务器的域名后,判断该域名是否为预先配置的不允许通过VPN传输数据包的域名(即,预先配置的VPN域名白名单中的域名),如果该域名为预先配置的VPN域名白名单中的域名,则获取与该域名对应的一个或多个网络地址(例如,IP地址),并将这些网络地址加入VPN IP白名单中;如果该域名不是VPN域名白名单中的域名,则在获取与该域名对应的一个或多个网络地址后,将数据包发送至相应的网络地址。需要说明的是,该VPN IP白名单中的IP地址对应的服务器是不允许通过VPN访问的,从而使得向这些IP地址发送的数据包不经过VPN传输。
步骤S206,在判断结果为是的情况下,获取响应于域名服务请求返回的预定域名对应的网络地址。
具体地,在上述步骤中,在该域名是预先配置的VPN域名白名单中的域名的情况下,在获取与该域名对应的一个或多个网络地址(例如,IP地址)后,将与该域名对应的这些网络地址加入VPN IP白名单中,需要说明的是,一种可选的实施方式中,这些网络地址可以为域名解析服务器针对该域名服务请求解析到的与该域名对应的网络地址;另一种可选的实施方式中,这些网络地址可以为预先在互联网收集到的该域名对应的一个或多个网络地址。
步骤S208,将网络地址加入到名单中,其中,与名单中的网络地址的通信不通过虚拟专用网络VPN进行。
基于上述步骤S202至S208公开的方案中,通过建立VPN域名白名单的方式,在接收到来自应用程序的域名服务请求后,首先判断该域名服务请求中请求访问的IP地址是否为域名过滤表(域名白名单)中的域名对应的网络地址,如果是,则获取由域名服务器针对该域名服务请求返回的一个或多个IP地址,并将这些IP地址加入到IP地址过滤表(即VPN IP白名单)中,当用户发出的数据包中的目的地址是VPN IP白名单中的IP地址的情况下,该数据包将不会通过虚拟专用网络VPN传输,而是通过公用网络传输。
通过上述实施例公开的方案,达到了在通过域名过滤来实现将安全不敏感的网站进行过滤,使得向这些网站的访问不通过VPN传输的目的,从而实现了降低虚拟专用网络中VPN服务器流量压力的技术效果,进而解决了现有的VPN网络中无法实现基于域名的过滤的技术问题。
如果在一个安全类的应用或软件中实现本实施例,则可以让用户执行输入需要不通过VPN传输的域名的步骤,例如,用户知道某视频播放应用需要访问的域名为www.aabbcc.com,则用户手工在该安全类应用或者软件中输入该域名即可。在用户输入相应的域名或者内置在应用中的域名后,如果再向域名服务器发起相应的域名服务请求,由域名服务器解析得到与该域名对应的IP地址,并将该IP地址发送给安全类应用或软件,安全类应用或软件进行处理使得该IP地址的通信不通过VPN。
让用户直接输入域名,对于某些用户来说是困难的。从用户的角度考虑,用户可能仅仅希望某个应用的通信不通过VPN,基于此方面的考虑,在另一种可选的实施方式中,如果用户直接使用某个APP发送数据请求(例如,通过优酷的APP观看视频),可以自动从互联网上获取到该APP对应的域名,并自动添加这些域名到安全类的应用或软件中,由域名服务器解析得到与该域名对应的IP地址,使得该IP地址的通信不通过VPN进行。
如果将本实施例内置在另外的应用中实现,例如,内置在视频播放应用中实现,则此时,该视频播放应用的域名可以是由该视频播放应用的发布者内置在该应用中的,用户不需要再进行额外的输入。
下面对用户直接设置或选择希望不通过VPN的应用的方案来进行说明。图3是根据本发明实施例的一种可选的用户选择应用的流程图,如图3所示,该流程包括如下步骤:
步骤S302,获取用户选择的应用;
步骤S304,获取用户选择的应用对应的一个或多个域名;
步骤S306,将一个或多个域名配置为预定域名。
在上述步骤中,上述应用可以为终端设备上安装的能够访问互联网的应用程序,并且,通过这些应用程序发送的数据包往往流量很大,例如,优酷、爱奇艺等视频播放器。基于上述步骤S302至S306公开的方案,用户可以设置某个应用(例如,优酷)上的数据包不经过虚拟专用网络VPN传输,具体地,在安全类应用或软件界面上,展示供用户选择的一个或多个应用,在接收到用户对该应用的选择指令(例如,点击应用程序图标的操作)后,可以从互联网上获取与该应用对应的一个或多个域名,并将这些域名配置为预定域名(即,添加到VPN域名白名单中),其中,向该预定域名上发送的数据包将不会通过VPN传输。
通过上述实施例,实现了自动获取应用程序的域名,并将需要限制通过VPN传输的应用的域名添加至VPN域名白名单中的目的。
用户设置希望不通过VPN传输数据的应用或者域名之后,一个可选的实施例中,还可以提供一种比较便利的编辑方式,图4是根据本发明实施例的一种可选的取消选择的流程图,如图4所示,该流程可以包括如下步骤:
步骤S402,展示用户已经选择的一个或多个应用,或者,用户输入的一个或多个域名;
步骤S404,接收用户取消选择选中的应用中的至少之一的操作,或者,删除用户输入的一个或多个域名中的至少之一的操作;
步骤S406,将用户取消的应用对应的域名,或者,用户删除的域名从预定域名中删除。
在上述步骤中,当用户通过安全类应用或软件设置一个或多个应用程序的域名为预定域名之后,该安全类应用或软件可以提供一个向用户展示已经被选择的一个或多个应用程序的应用管理界面,或者展示所有被配置为预定域名的VPN域名白名单的域名管理界面,供用户进行取消限制某个应用不通过VPN传输的操作,或取消某个域名不通过VPN传输的操作。
一种可选的实施例方式中,在上述安全类应用或软件提供的应用管理界面上,接收用户输入的对应用程序的取消选择指令,则可以直接取消将应用程序的域名作为预定域名,图5所示为根据本发明实施例的一种可选的应用管理界面示意图,如图5所示,该应用管理界面展示了用户已选择的所有应用,用户可以取消任意一个或多个被限制为不通过VPN传输数据包的应用,其中,应用1、应用2、应用3、应用4、应用5、应用6、应用8、应用9为不通过VPN传输数据包的应用程序,应用7为用户取消限制不通过VPN传输数据包的应用。
另一种可选的实施方式中,在上述安全类应用或软件提供的域名管理界面上,用户可以直接将VPN域名白名单列表(列表中的域名为已经限制不通过VPN传输数据包的域名)中的一个或多个域名删除,图6所示为根据本发明实施例的一种可选的域名管理界面示意图,如图6所示,在域名管理界面,展示了被配置过的所有域名,用户可以直接选择或取消选择某个域名,则可以将某个域名的配置为预定域名或取消将其作为预定域名;如果删除域名列表中的任意一个域名,则该域名也会被取消限制;一种可选的实施例中,还可以提供用户对某个域名的修改操作。其中,域名1、域名3、域名4和域名5为配置的预定域名,域名2为取消限制的域名。
通过上述实施例,实现了自定义设置一个或多个应用程序或域名的访问和数据包传输是否通过虚拟专用网络VPN进行的目的。
在VPN域名白名单中添加域名之后,对于如何使VPN域名白名单中的域名不通过VPN传输数据在网络层面有很多种处理方法,在一种可选的实施中,在得到VPN域名白名单中的域名对应的一个或多个网络地址之后,可以设置访问该网络地址的路由,其中,该路由将访问该网络地址的请求转发到本地默认网关后发送至对应的网络地址。即,在将限制不通过VPN传输的域名(例如,视频网站的域名)对应的网络地址加入IP白名单后,可以将白名单中的IP地址路由至本地默认网关,通过本地默认网关发送至互联网上对应的网络地址。这种设置路由的方式实现比较简单,而且能够基本上得到绝大多数操作***的支持。
通过上述处理可以将访问流量比较大的网站的数据包通过公用网络发送,从而降低对VPN服务器的流量压力。
获取域名服务请求的方式可以有很多种,例如,可以采用截获域名服务请求的方式来进行处理。作为另外一种可选的实施例,可以在本地运行域名服务器代理,并将本地的域名服务器代理的地址设置为本地网络地址。在上述实施例中,将本地的域名服务器代理的地址设置为本地网络地址后,可以使得应用程序发送的域名请求首先都经过本地DNS代理,从而可以进行域名过滤。
一种可选的实施例中,图7所示为根据本发明实施例的一种基于域名的过滤原理示意图,如图7所示,在本地运行一个本地域名服务器,一种可选的实施方式中,可以将***的DNS设置为127.0.0.1,从而使得***上所有的DNS请求都会发往本地的域名服务服务器。本地域名服务器接收到DNS请求后,首先对DNS请求的域名作域名解析,同时检查DNS请求的域名是否在VPN域名白名单中,如果在VPN域名白名单中,则将解析到的与该域名对应的IP地址添加至VPN IP白名单中,以便发往这些IP地址的数据包不通过VPN传输,而是通过公用网络(原始网络)传输。
在一种可选的实施中,判断域名服务请求是否用于请求预定域名对应的网络地址包括:在预定时间段内,判断域名服务请求是否用于请求预定域名对应的网络地址,其中,预定时间段为用户预先配置的。
具体地,在上述实施例中,用户可以根据用户预先配置的时间段来限制向预定域名中的域名发送的数据包经过虚拟专用网络VPN传输,例如,可以设置在工作日限制向预定域名中域名(视频、游戏等)发送的数据包不经过VPN传输,而在非工作日,则取消对向这些域名的限制,从而也可以使得用户可以通过虚拟专用网络进行一些流量比较大的活动,例如,出差人员与企业内部人员的视频会议等。
通过上述实施例,实现了用户自定义设置某个时间段内限制应用程序经过VPN传输的目的。
作为一种优选的实施方式,图8所示为根据本发明实施例的一种优选的基于域名的过滤方法流程图,如图8所示,包括如下步骤:
步骤S802,启动本地DNS服务,并将***的DNS设置为本地网络地址,初始化VPN域名白名单中的域名列表。
具体地,在上述步骤中,将本地的域名服务器的地址设置为本地网络地址,可以使得应用程序发送的域名请求首先都经过本地DNS,从而可以进行域名过滤。一种可选的实施方式中,可以将***的DNS设置为127.0.0.1。
步骤S804,等待DNS请求。
具体地,在上述步骤中,启动本地DNS服务后,本地域名服务器等待来自应用程序的域名服务请求,其中,一种可选的实施方式中,需要用户输入相应的域名,从而向域名服务器发起相应的域名服务请求;另一种可选的实施方式中,如果用户直接使用某个APP发送数据请求(例如,通过优酷的APP观看视频),***可以自动从互联网上获取到该APP对应的域名,从而向域名服务器发起相应的域名服务请求。
步骤S806,向远端DNS服务器转发域名解析请求。
具体地,在上述步骤中,在接收到来自应用程序的域名服务请求后,向远端DNS服务器转发该域名服务请求,等待域名服务器解析与该域名对应的IP地址。
步骤S808,检测域名是否在VPN域名白名单中。
具体地,在上述步骤中,在接收到来自远端DNS服务器的域名解析结果后,判断域名是否为预先配置的不允许通过VPN传输数据包的域名,即,检查该域名服务请求的域名是否在VPN域名白名单中。如果该域名服务请求的域名在VPN域名白名单中,则执行步骤S810;如果该域名服务请求的域名不在VPN域名白名单中,则执行步骤S814。
步骤S810,将与该域名对应的IP地址配置到IP过滤列表中。
具体地,在上述步骤中,如果该域名服务请求的域名在VPN域名白名单中,则将与该域名对应的IP地址配置到IP过滤列表(即,IP白名单中)中。
步骤S812,返回解析结果。
具体地,在上述步骤中,接收由域名服务器解析的与该域名对应的IP地址。
步骤S814,判断是否结束。
具体地,在上述步骤中,判断应用程序是否仍继续发起域名请求,如果不是,则结束,如果是,则继续执行步骤S804。
通过上述实施例,本地DNS实时记录域名解析到的IP地址,这样就可以做到实时更新IP白名单,从而实现针对域名的白名单过滤方案。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的通信处理方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实现上述通信处理装置实施例,图9是根据本发明实施例的一种通信处理装置示意图,如图9所示,该装置包括:用户界面模块901、域名服务器代理模块903和通信处理模块905。
其中,用户界面模块901,用于向用户展示第一界面,其中,第一界面用于展示供用户选择的应用以及展示已经被用户选中的应用,和/或,第一界面还用于展示用于输入域名的控件以及展示已经输入的域名;
域名服务器代理模块903,用于获取域名服务请求,并将域名服务请求转发到域名服务器;
通信处理模块905,用于在域名服务请求用于请求预定域名对应的网络地址的情况下,获取响应于域名服务请求返回的预定域名对应的网络地址;并将网络地址加入到名单中,其中,与名单中的网络地址的通信不通过虚拟专用网络VPN进行。
作为一种可选的实施例,上述用户界面模块901可以用于将用户选择的应用以及展示已经被用户选中的应用展示给用户,由于一般情况下现在的应用都不是单机应用,应用的运行是需要对网络进行访问的,因而,当用户选中某个应用后,应用会发送相应的域名请求;上述域名服务器代理模块903可以用于接收该应用程序的域名服务请求,并将域名服务请求转发到域名服务器,由域名服务器解析该域名,得到与该域名对应的IP地址;上述通信处理模块905用于在域名服务请求用于请求预定域名对应的网络地址的情况下,获取响应于域名服务请求返回的预定域名对应的网络地址;并将网络地址加入到名单中,当用户发出的数据包中的目的地址是该IP地址的情况下,该数据包将不会通过虚拟专用网络VPN传输,而是通过公用网络传输。
需要说明的是,上述通信处理装置可以为电脑、笔记本、平板电脑、手机等可以访问互联网的智能设备,上述应用可以为这些智能设备上上安装的可以访问互联网的应用程序,可以包括:微信、QQ、飞信、邮箱、云盘、浏览器、游戏等各种各样的APP。上述用户界面模块901可以用于与用户之间进行信息的交互和显示,如果上述应用管理装置为手机、平板电脑等智能设备,则用户界面模块901还可以支持多点触控等直接操作,包括滑动,点击、触摸、按键选择等,如果上述应用装置为电脑、笔记本等设备,则用户界面模块901可以通过鼠标、键盘等控制操作。
由上可知,采用建立VPN白名单的方式,在接收到用户通过应用程序输入的域名或者根据用户当前使用的应用得到为该应用提供服务的服务器的域名后,判断该域名是否为预先配置的不允许通过VPN传输数据包的域名(即,预先配置的VPN域名白名单中的域名),如果该域名为预先配置的VPN域名白名单中的域名,则获取与该域名对应的一个或多个网络地址(例如,IP地址),并将这些网络地址加入VPN IP白名单中;如果该域名不是VPN域名白名单中的域名,则在获取与该域名对应的一个或多个网络地址后,将数据包发送至相应的网络地址。需要说明的是,该VPN IP白名单中的IP地址对应的服务器是不允许通过VPN访问的,从而使得向这些IP地址发送的数据包不经过VPN传输。
通过上述实施例公开的方案,达到了在通过域名过滤来实现将安全不敏感的网站进行过滤,使得向这些网站的访问不通过VPN传输的目的,从而实现了降低虚拟专用网络中VPN服务器流量压力的技术效果,进而解决了现有的VPN网络中无法实现基于域名的过滤的技术问题。
在一种可选的实施中,上述通信处理模块905还用于设置路由,其中,路由将访问网络地址的请求转发到本地默认网关。
具体地,在上述实施例中,上述通信处理模块905在得到VPN域名白名单中的域名对应的一个或多个网络地址之后,可以设置访问该网络地址的路由,其中,该路由将访问该网络地址的请求转发到本地默认网关后发送至对应的网络地址。即,在将限制不通过VPN传输的域名(例如,视频网站的域名)对应的网络地址加入IP白名单后,可以将白名单中的IP地址路由至本地默认网关,通过本地默认网关发送至互联网上对应的网络地址。这种设置路由的方式实现比较简单,而且能够基本上得到绝大多数操作***的支持。
通过上述处理可以将访问流量比较大的网站的数据包通过公用网络发送,从而降低对VPN服务器的流量压力。
在一种可选的实施中,上述用户界面模块还用于向用户展示第二界面,其中,第二界面用于接收时间段;上述通信处理模块,用于在时间段内,将获取到的预定域名对应的网络地址加入到名单中。
具体地,在上述实施例中,用户可以通过用户界面模块901向用户展示的第二界面来预先配置指定应用程序或域名被限制使用VPN传输数据包的时间段,上述通信处理模块905可以根据用户预先配置的时间段来设置将某个应用程序或域名的通信是否通过虚拟专用网络VPN进行,一种可选的实施例中,可以设置在工作日限制向预定域名中域名(视频、游戏等)发送的数据包不经过VPN传输,而在非工作日,则取消对向这些域名的限制,从而也可以使得用户可以通过虚拟专用网络进行一些流量比较大的活动,例如,出差人员与企业内部人员的视频会议等。
通过上述实施例,实现了自定义设置允许应用程序访问互联网的时间,增强了用户体验。
在一种可选的实施中,上述第一界面还用于接收用户取消选择选中的应用中的至少之一的操作,或者,删除用户输入的一个或多个域名中的至少之一的操作;通信处理模块还用于将用户取消的应用对应的域名,或者,用户删除的域名从预定域名中删除。
具体地,在上述实施例中,上述第一界面可以包括安全类应用或软件提供的应用管理界面或域名管理界面,其中,应用管理界面可以接收用户输入的对应用程序的取消选择指令,则可以直接取消将应用程序的域名作为预定域名;域名管理界面可以接收用户对VPN域名白名单中的一个或多个域名的删除操作。
实施例3
根据本发明实施例,还提供了一种用于实现上述通信处理方法的装置实施例,图10发明实施例的一种通信处理装置示意图,如图10示,该装置包括:第一获取单元1001、第一判断单元1003、第二获取单元1005和第一配置单元1007。
其中,第一获取单元1001,用于获取域名服务请求;第一判断单元1003,用于判断域名服务请求是否用于请求预定域名对应的网络地址;第二获取单元1005,用于在判断结果为是的情况下,获取响应于域名服务请求返回的预定域名对应的网络地址;第一配置单元1007,用于将网络地址加入到名单中,其中,与名单中的网络地址的通信不通过虚拟专用网络VPN进行。
此处需要说明的是,上述第一获取单元1001、第一判断单元1003、第二获取单元1005和第一配置单元1007可以对应于实施例1中的步骤S202至步骤S208,四个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。
由上可知,采用建立VPN白名单的方式,在接收到用户通过应用程序输入的域名或者根据用户当前使用的应用得到为该应用提供服务的服务器的域名后,判断该域名是否为预先配置的不允许通过VPN传输数据包的域名(即,预先配置的VPN域名白名单中的域名),如果该域名为预先配置的VPN域名白名单中的域名,则获取与该域名对应的一个或多个网络地址(例如,IP地址),并将这些网络地址加入VPN IP白名单中;如果该域名不是VPN域名白名单中的域名,则在获取与该域名对应的一个或多个网络地址后,将数据包发送至相应的网络地址。需要说明的是,该VPN IP白名单中的IP地址对应的服务器是不允许通过VPN访问的,从而使得向这些IP地址发送的数据包不经过VPN传输。
通过上述实施例公开的方案,达到了在通过域名过滤来实现将安全不敏感的网站进行过滤,使得向这些网站的访问不通过VPN传输的目的,从而实现了降低虚拟专用网络中VPN服务器流量压力的技术效果,进而解决了现有的VPN网络中无法实现基于域名的过滤的技术问题。
在一种可选的实施中,上述装置还包括:第三获取单元,用于获取用户选择的应用;第四获取单元,用于获取用户选择的应用对应的一个或多个域名;第二配置单元,用于将一个或多个域名配置为预定域名。
此处需要说明的是,上述第三获取单元、第四获取单元和第二配置单元可以对应于实施例1中的步骤S302至步骤S306,三个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。
在一种可选的实施中,上述装置还包括:第五获取单元,用于获取用户输入的一个或多个域名,其中,一个或多个域名为预定域名。
此处需要说明的是,上述第五获取单元可以对应于实施例1中的步骤获取用户输入的一个或多个域名,该模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。
在一种可选的实施中,上述装置包括:显示单元,用于展示用户已经选择的一个或多个应用,或者,用户输入的一个或多个域名;接收单元,用于接收用户取消选择选中的应用中的至少之一的操作,或者,删除用户输入的一个或多个域名中的至少之一的操作;删除单元,用于将用户取消的应用对应的域名,或者,用户删除的域名从预定域名中删除。
此处需要说明的是,上述显示单元、接收单元和删除单元可以对应于实施例1中的步骤S402至步骤S406,三个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。
在一种可选的实施中,上述装置还包括:第一设置单元,用于设置路由,其中,路由将访问网络地址的请求转发到本地默认网关后发送至网络地址。
此处需要说明的是,上述第一设置单元可以对应于实施例1中的步骤路由将访问网络地址的请求转发到本地默认网关后发送至网络地址,该模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。
在一种可选的实施中,上述装置还包括:第二设置单元,将本地的域名服务器的地址设置为本地网络地址,其中,在本地运行有域名服务器代理。
此处需要说明的是,上述第二设置单元可以对应于实施例1中的步骤将本地的域名服务器的地址设置为本地网络地址,其中,在本地运行有域名服务器代理该模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。
在一种可选的实施中,第一判断单元1003还用于在预定时间段内,判断域名服务请求是否用于请求预定域名对应的网络地址,其中,预定时间段为用户预先配置的。
实施例4
本发明的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的漏洞检测方法中以下步骤的程序代码:获取域名服务请求;判断域名服务请求是否用于请求预定域名对应的网络地址;在判断结果为是的情况下,获取响应于域名服务请求返回的预定域名对应的网络地址;将网络地址加入到名单中,其中,与名单中的网络地址的通信不通过虚拟专用网络VPN进行。
可选地,图11是根据本发明实施例的一种计算机终端的结构框图。如图11所示,计算机终端11可以包括一个或多个(图中采用111a、111b,……,111n来示出)处理器111(处理器111可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器113以及用于通信功能的传输装置115。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图11所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端11还可包括比图11中所示更多或者更少的组件,或者具有与图11所示不同的配置。
应当注意到的是上述一个或多个处理器111和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端11中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器113可用于存储应用软件的软件程序以及模块,如本发明实施例中的数据发送处理方法对应的程序指令/数据存储装置,处理器111通过运行存储在存储器113内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的数据发送处理方法。存储器113可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器113可进一步包括相对于处理器111远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端11。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置115用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端11的通信供应商提供的无线网络。在一个实例中,传输装置115包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置115可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端11的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图11所示的计算机终端11可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图11仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算机终端中的部件的类型。
此处需要说明的是,在一些实施例中,上述图11所示的计算机终端11具有触摸显示器(也被称为“触摸屏”或“触摸显示屏”)。在一些实施例中,上述图11所示的计算机终端11具有图像用户界面(GUI),用户可以通过触摸触敏表面上的手指接触和/或手势来与GUI进行人机交互,此处的人机交互功能可选的包括如下交互:创建网页、绘图、文字处理、制作电子文档、游戏、视频会议、即时通信、收发电子邮件、通话界面、播放数字视频、播放数字音乐和/或网络浏览等、用于执行上述人机交互功能的可执行指令被配置/存储在一个或多个处理器可执行的计算机程序产品或可读存储介质中。
其中,处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:获取域名服务请求;判断域名服务请求是否用于请求预定域名对应的网络地址;在判断结果为是的情况下,获取响应于域名服务请求返回的预定域名对应的网络地址;将网络地址加入到名单中,其中,与名单中的网络地址的通信不通过虚拟专用网络VPN进行。
可选的,上述处理器还可以执行如下步骤的程序代码:获取用户选择的应用;获取用户选择的应用对应的一个或多个域名;将一个或多个域名配置为预定域名。
可选的,上述处理器还可以执行如下步骤的程序代码:获取用户输入的一个或多个域名,其中,一个或多个域名为预定域名。
可选的,上述处理器还可以执行如下步骤的程序代码:展示用户已经选择的一个或多个应用,或者,用户输入的一个或多个域名;接收用户取消选择选中的应用中的至少之一的操作,或者,删除用户输入的一个或多个域名中的至少之一的操作;将用户取消的应用对应的域名,或者,用户删除的域名从预定域名中删除。
可选的,上述处理器还可以执行如下步骤的程序代码:设置路由,其中,路由将访问网络地址的请求转发到本地默认网关后发送至网络地址。
可选的,上述处理器还可以执行如下步骤的程序代码:将本地的域名服务器的地址设置为本地网络地址,其中,在本地运行有域名服务器代理。
可选的,上述处理器还可以执行如下步骤的程序代码:在预定时间段内,判断域名服务请求是否用于请求预定域名对应的网络地址,其中,预定时间段为用户预先配置的。
本领域普通技术人员可以理解,图11所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图11其并不对上述电子装置的结构造成限定。例如,计算机终端11还可包括比图11中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图11所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例5
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的通信处理方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:获取域名服务请求;判断域名服务请求是否用于请求预定域名对应的网络地址;在判断结果为是的情况下,获取响应于域名服务请求返回的预定域名对应的网络地址;将网络地址加入到名单中,其中,与名单中的网络地址的通信不通过虚拟专用网络VPN进行。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:获取用户选择的应用;获取用户选择的应用对应的一个或多个域名;将一个或多个域名配置为预定域名。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:获取用户输入的一个或多个域名,其中,一个或多个域名为预定域名。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:展示用户已经选择的一个或多个应用,或者,用户输入的一个或多个域名;接收用户取消选择选中的应用中的至少之一的操作,或者,删除用户输入的一个或多个域名中的至少之一的操作;将用户取消的应用对应的域名,或者,用户删除的域名从预定域名中删除。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:设置路由,其中,路由将访问网络地址的请求转发到本地默认网关后发送至网络地址。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:将本地的域名服务器的地址设置为本地网络地址,其中,在本地运行有域名服务器代理。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在预定时间段内,判断域名服务请求是否用于请求预定域名对应的网络地址,其中,预定时间段为用户预先配置的。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (12)

1.一种通信处理方法,其特征在于,包括:
获取域名服务请求;
判断所述域名服务请求是否用于请求预定域名对应的网络地址;
在判断结果为是的情况下,获取响应于所述域名服务请求返回的所述预定域名对应的网络地址;
将所述网络地址加入到VPN IP白名单中,其中,与所述VPN IP白名单中的网络地址的通信不通过虚拟专用网络VPN进行;
在获取所述域名服务请求之前,所述方法还包括:将本地的域名服务器的地址设置为本地网络地址,其中,在本地运行有域名服务器代理;
其中,所述预定域名是指预先配置在VPN域名白名单中的域名,VPN白名单包括所述VPN域名白名单和所述VPN IP白名单;其中,所述VPN域名白单中包含了用户不希望通过VPN访问的域名,所述VPN IP白名单中包含了用户不希望通过VPN访问的IP地址。
2.根据权利要求1所述的方法,其特征在于,在获取所述域名服务请求之前,所述方法还包括:
获取用户选择的应用;
获取所述用户选择的应用对应的一个或多个域名;
将所述一个或多个域名配置为所述预定域名。
3.根据权利要求1所述的方法,其特征在于,在获取所述域名服务请求之前,所述方法还包括:
获取用户输入的一个或多个域名,其中,所述一个或多个域名为所述预定域名。
4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
展示所述用户已经选择的一个或多个应用,或者,所述用户输入的一个或多个域名;
接收所述用户取消选择所述一个或多个应用中的至少之一的操作,或者,删除所述用户输入的一个或多个域名中的至少之一的操作;
将所述用户取消的应用对应的域名,或者,所述用户删除的域名从所述预定域名中删除。
5.根据权利要求1至3中任一项所述的方法,其特征在于,在将所述网络地址加入到VPNIP白名单之后,所述方法还包括:
设置路由,其中,所述路由将访问所述网络地址的请求转发到本地默认网关后发送至所述网络地址。
6.根据权利要求1至3中任意一项所述的方法,其特征在于,判断所述域名服务请求是否用于请求预定域名对应的网络地址包括:
在预定时间段内,判断所述域名服务请求是否用于请求所述预定域名对应的网络地址,其中,所述预定时间段为用户预先配置的。
7.一种通信处理装置,其特征在于,包括:
用户界面模块,用于向用户展示第一界面,其中,所述第一界面用于展示供所述用户选择的应用以及展示已经被所述用户选中的应用,和/或,所述第一界面还用于展示用于输入域名的控件以及展示已经输入的域名;
域名服务器代理模块,用于获取域名服务请求,并将所述域名服务请求转发到域名服务器;
通信处理模块,用于在所述域名服务请求用于请求预定域名对应的网络地址的情况下,获取响应于所述域名服务请求返回的所述预定域名对应的网络地址;并将所述网络地址加入到VPN IP白名单中,其中,与所述VPN IP白名单中的网络地址的通信不通过虚拟专用网络VPN进行;
在获取所述域名服务请求之前,将本地的域名服务器的地址设置为本地网络地址,其中,在本地运行有域名服务器代理;
其中,所述预定域名是指预先配置在VPN域名白名单中的域名,VPN白名单包括所述VPN域名白名单和所述VPN IP白名单;其中,所述VPN域名白单中包含了用户不希望通过VPN访问的域名,所述VPN IP白名单中包含了用户不希望通过VPN访问的IP地址。
8.根据权利要求7所述的装置,其特征在于,所述通信处理模块,用于设置路由,其中,所述路由将访问所述网络地址的请求转发到本地默认网关。
9.根据权利要求7或8所述的装置,其特征在于,
所述用户界面模块,还用于向所述用户展示第二界面,其中,所述第二界面用于接收时间段;
所述通信处理模块,用于在所述时间段内,将获取到的所述预定域名对应的网络地址加入到所述VPN IP白名单中。
10.根据权利要求7或8所述的装置,其特征在于,
所述第一界面还用于接收所述用户取消选择所述选中的应用中的至少之一的操作,或者,删除所述用户输入的一个或多个域名中的至少之一的操作;
所述通信处理模块还用于将所述用户取消的应用对应的域名,或者,所述用户删除的域名从所述预定域名中删除。
11.一种通信处理装置,其特征在于,包括:
第一获取单元,用于获取域名服务请求;
第一判断单元,用于判断所述域名服务请求是否用于请求预定域名对应的网络地址;
第二获取单元,用于在判断结果为是的情况下,获取响应于所述域名服务请求返回的所述预定域名对应的网络地址;
第一配置单元,用于将所述网络地址加入到VPN IP白名单中,其中,与所述VPN IP白名单中的网络地址的通信不通过虚拟专用网络VPN进行;
在获取所述域名服务请求之前,将本地的域名服务器的地址设置为本地网络地址,其中,在本地运行有域名服务器代理;
其中,所述预定域名是指预先配置在VPN域名白名单中的域名,VPN白名单包括所述VPN域名白名单和所述VPN IP白名单;其中,所述VPN域名白单中包含了用户不希望通过VPN访问的域名,所述VPN IP白名单中包含了用户不希望通过VPN访问的IP地址。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:第一设置单元,用于设置路由,其中,所述路由将访问所述网络地址的请求转发到本地默认网关后发送至所述网络地址。
CN201710063471.0A 2017-02-03 2017-02-03 通信处理方法和装置 Active CN108390808B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710063471.0A CN108390808B (zh) 2017-02-03 2017-02-03 通信处理方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710063471.0A CN108390808B (zh) 2017-02-03 2017-02-03 通信处理方法和装置

Publications (2)

Publication Number Publication Date
CN108390808A CN108390808A (zh) 2018-08-10
CN108390808B true CN108390808B (zh) 2021-09-14

Family

ID=63075888

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710063471.0A Active CN108390808B (zh) 2017-02-03 2017-02-03 通信处理方法和装置

Country Status (1)

Country Link
CN (1) CN108390808B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109547824B (zh) * 2018-11-27 2020-09-15 亦非云互联网技术(上海)有限公司 一种视频业务服务方法及***、存储介质及vpn服务器
CN112217910B (zh) * 2019-07-12 2022-10-04 腾讯科技(深圳)有限公司 视频服务访问方法、装置、网络设备和存储介质
CN110430188B (zh) * 2019-08-02 2022-04-19 武汉思普崚技术有限公司 一种快速url过滤方法及装置
CN115412611B (zh) * 2022-08-29 2024-03-01 北京新唐思创教育科技有限公司 基于dns服务器的查询方法、装置、设备及介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104092792A (zh) * 2014-07-15 2014-10-08 北京奇虎科技有限公司 基于域名解析请求来实现流量优化的方法及***、客户端
CN104468551A (zh) * 2014-11-28 2015-03-25 北京奇虎科技有限公司 一种基于广告拦截节省流量的方法及装置
CN104967572A (zh) * 2015-06-05 2015-10-07 小米科技有限责任公司 网络访问方法、装置及设备
CN105635178A (zh) * 2016-02-26 2016-06-01 北京奇虎科技有限公司 保证安全的阻塞式网络访问方法及装置
CN105812836A (zh) * 2016-03-07 2016-07-27 北京奇虎科技有限公司 基于vpn的视频广告拦截方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104092792A (zh) * 2014-07-15 2014-10-08 北京奇虎科技有限公司 基于域名解析请求来实现流量优化的方法及***、客户端
CN104468551A (zh) * 2014-11-28 2015-03-25 北京奇虎科技有限公司 一种基于广告拦截节省流量的方法及装置
CN104967572A (zh) * 2015-06-05 2015-10-07 小米科技有限责任公司 网络访问方法、装置及设备
CN105635178A (zh) * 2016-02-26 2016-06-01 北京奇虎科技有限公司 保证安全的阻塞式网络访问方法及装置
CN105812836A (zh) * 2016-03-07 2016-07-27 北京奇虎科技有限公司 基于vpn的视频广告拦截方法及装置

Also Published As

Publication number Publication date
CN108390808A (zh) 2018-08-10

Similar Documents

Publication Publication Date Title
US11646974B2 (en) Systems and methods for end point data communications anonymization for a communications hub
US11023378B2 (en) Distributed cloud-based dynamic name server surrogation systems and methods
CN108616490B (zh) 一种网络访问控制方法、装置及***
US20190356634A1 (en) Cloud-based virtual private access systems and methods
US9699135B2 (en) Private tunnel network
CN108390808B (zh) 通信处理方法和装置
US9769126B2 (en) Secure personal server system and method
EP2936881B1 (en) Connecting to a wireless network using social network identifier
WO2017024842A1 (zh) 一种上网认证方法及客户端、计算机存储介质
US20130346839A1 (en) Private tunnel network portal
JP2016530814A (ja) 大量のvpn接続を遮断するためのゲートウェイデバイス
CN113905030A (zh) 内外网通讯方法、装置、内网终端和代理服务器
EP3247082B1 (en) Cloud-based virtual private access systems and methods
Astolfi et al. I2p-the invisible internet project
CN108781367B (zh) 减少Cookie注入和Cookie重放攻击的方法
CA3027340A1 (en) Secure personal server system and method
US9413553B2 (en) Network access control based on risk factor
US11277379B2 (en) Modification of application-provided turn servers
US20240211625A1 (en) Systems and Methods for Providing Improved Account Management Services
JP7220120B2 (ja) 通信制御プログラム
CN110417638B (zh) 通信数据处理方法和装置、存储介质及电子装置
US20230412638A1 (en) Systems and methods for providing a native browser experience for Cloud Browser Isolation (CBI) environments
Cardwell Capturing Network Traffic
Mahendra Implementation Of Microtic Prototypes In RW Networks
Sonawane et al. Middleware Device for Advertisement Blocking

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant