一种基于虚拟路由器VSR的服务访问控制方法及设备

1.一种基于虚拟路由器VSR的服务访问控制方法，其特征在于，该方法应用于与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS上，该方法包括：
所述DNS接收客户端发送来的域名解析请求报文，所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的域名信息；
所述DNS解析所述域名解析请求报文携带的客户端的源IP地址和域名信息，根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限，如果允许访问，则DNS进一步解析所述域名解析请求报文得到所述域名的IP地址，将所述IP地址携带于域名解析回应报文中发送给客户端，如果禁止访问，则DNS发送域名解析出错报文给所述客户端；
所述DNS查询所述源IP地址对所述域名的访问权限时，该方法进一步包括：
所述DNS根据解析出的所述客户端的源IP地址查询区域对应表，进而根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表，所述区域对应表为IP地址与区域的对应表，所述Web服务访问权限表为区域对域名的访问权限列表。
2.根据权利要求1所述的方法，其特征在于，所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。
3.根据权利要求1所述的方法，其特征在于，所述DNS查询不到与所述客户端的源IP地址匹配的区域时，该方法进一步包括：
所述DNS发送域名解析出错报文给所述客户端。
4.根据权利要求1所述的方法，其特征在于，所述DNS查询不到与所述匹配区域匹配的访问权限时，该方法进一步包括：
所述DNS将所述匹配区域匹配默认规则。
5.一种域名服务器DNS，其特征在于，该DNS与VSR一同部署在公有云中的虚拟数据中心或虚拟私有云中，该DNS包括：
报文接收模块，用于接收客户端发送来的域名解析请求报文，所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的网站域名信息；
解析模块，用于解析所述域名解析请求报文携带的客户端的源IP地址与域名信息，还用于解析所述域名的IP地址；
查询模块，用于根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限；
报文发送模块，如果允许访问，则将解析所得所述域名的IP地址携带于域名解析回应报文中发送给客户端，如果禁止访问，则发送域名解析出错报文给所述客户端；
所述查询模块进一步包括区域查询子模块和访问权限查询子模块，
所述区域查询子模块用于，根据解析出的所述客户端的源IP地址查询区域对应表，所述区域对应表为IP地址与区域的对应表；
所述访问权限查询子模块用于，根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表，所述Web服务访问权限表为区域对域名的访问权限列表。
6.根据权利要求5所述的域名服务器DNS，其特征在于，所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。
7.根据权利要求5所述的域名服务器DNS，其特征在于，所述区域查询子模块查询不到与所述客户端的源IP地址匹配的区域时，
所述报文发送模块进一步用于，发送域名解析出错报文给所述客户端。
8.根据权利要求5所述的域名服务器DNS，其特征在于，所述访问权限查询子模块查询不到与所述匹配区域匹配的访问权限时，
所述访问权限查询子模块进一步用于，将所述匹配区域匹配默认规则。

一种基于虚拟路由器VSR的服务访问控制方法及设备\n技术领域\n[0001] 本发明涉及网络通信传输技术,特别是一种基于虚拟路由器VSR的服务访问控制方法和设备。\n背景技术\n[0002] 随着虚拟化与云计算技术的不断成熟，越来越多的云服务提供商及电信运营商开始提供公有云服务，允许企业按需租用资源和服务，创建企业自己的虚拟数据中心（Virtual Data Center，VDC）或虚拟私有云（Virtual Private Cloud，VPC），帮助企业节省建设成本、提高业务敏捷性，因此，更多的企业开始将业务应用向公有云迁移。但是，公有云是多租户环境，它的基础设施和资源是所有租户共享的，企业在公有云中无法部署自己的网络设备，从而给企业和服务商带来很多网络方面的挑战和问题。\n[0003] 另外，企业分支机构地域分散，部署网络设备和应用服务器，建设周期长，人力维护成本高，迫切需要精简分支基础设施，提高业务部署能力，节省投资和减少维护。随着应用向云端迁移及服务器和虚拟化技术的快速发展，在一台服务器上同时提供网络功能和IT应用已成为趋势。\n[0004] 现在中小企业的IT信息服务都是租用虚拟空间或者虚拟服务器来建设自己的网站和应用服务，但是网络上总是有一些攻击者或者病毒，它们通过扫描域名来进行网站的无效访问，一般的DNS（Domain Name）都部署在第三方，企业无法在DNS服务器上进行配置，控制对本企业Web服务的访问策略，导致自己的网站或者应用服务器非常脆弱，防攻击能力特别差，同时很多无效的攻击占用了大量的宝贵的服务器带宽，使得中小企业真正服务的用户无法享受好的信息服务。\n发明内容\n[0005] 有鉴于此，本发明提出了一种基于虚拟路由器VSR(Virtual Services Router)的服务访问控制方法和设备，整合了VSR及DNS，提供了一种与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS访问控制方法，使得Web服务策略访问控制变成可能。可以使得通过对域名的访问解析控制，限制网站被自己的有效用户访问，从而抑制全世界范围内无效的访问和攻击，进而节约带宽及计算能力。本发明提出的技术方案是：\n[0006] 一种基于虚拟路由器VSR的服务访问控制方法，该方法应用于与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS上，该方法包括：\n[0007] 所述DNS接收客户端发送来的域名解析请求报文，所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的域名信息；\n[0008] 所述DNS解析所述域名解析请求报文携带的客户端的源IP地址和域名信息，根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限，如果允许访问，则DNS进一步解析所述域名解析请求报文得到所述域名的IP地址，将所述IP地址携带于域名解析回应报文中发送给客户端，如果禁止访问，则DNS发送域名解析出错报文给所述客户端。\n[0009] 上述方案中，所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。\n[0010] 上述方案中，所述DNS查询所述源IP地址对所述域名的访问权限时，该方法进一步包括：\n[0011] 所述DNS根据解析出的所述客户端的源IP地址查询区域对应表，进而根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表，所述区域对应表为IP地址与区域的对应表，所述Web服务访问权限表为区域对域名的访问权限列表。\n[0012] 上述方案中，所述DNS查询不到与所述客户端的源IP地址匹配的区域时，该方法进一步包括：\n[0013] 所述DNS发送域名解析出错报文给所述客户端。\n[0014] 上述方案中，所述DNS查询不到与所述匹配区域匹配的访问权限时，该方法进一步包括：\n[0015] 所述DNS将所述匹配区域匹配默认规则。\n[0016] 一种域名服务器DNS，该DNS与VSR一同部署在公有云中的虚拟数据中心或虚拟私有云中，该DNS包括：\n[0017] 报文接收模块，用于接收客户端发送来的域名解析请求报文，所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的网站域名信息；\n[0018] 解析模块，用于解析所述域名解析请求报文携带的客户端的源IP地址与域名信息，还用于解析所述域名的IP地址。\n[0019] 查询模块，用于根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限。\n[0020] 报文发送模块，如果允许访问，则将解析所得所述域名的IP地址携带于域名解析回应报文中发送给客户端，如果禁止访问，则发送域名解析出错报文给所述客户端。\n[0021] 上述方案中，所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。\n[0022] 上述方案中，所述查询模块进一步包括区域查询子模块和访问权限查询子模块，[0023] 所述区域查询子模块用于，根据解析出的所述客户端的源IP地址查询区域对应表，所述区域对应表为IP地址与区域的对应表；\n[0024] 所述访问权限查询子模块用于，根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表，所述Web服务访问权限表为区域对域名的访问权限列表。\n[0025] 上述方案中，所述区域查询子模块查询不到与所述客户端的源IP地址匹配的区域时，\n[0026] 所述报文发送模块进一步用于，发送域名解析出错报文给所述客户端。\n[0027] 上述方案中，所述访问权限查询子模块查询不到与所述匹配区域匹配的访问权限时，\n[0028] 所述访问权限查询子模块进一步用于，将所述匹配区域匹配默认规则。\n[0029] 综上所述，本发明提出的技术方案能够使与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC上的DNS通过对域名的访问解析进行有效控制，限制网站被自己的有效用户访问，从而抑制全世界范围内无效的访问和攻击，进而节约带宽及计算能力。\n附图说明\n[0030] 图1为VSR公有云典型组网。\n[0031] 图2为方法实施例一的流程图。\n[0032] 图3为方法实施例二的流程图。\n[0033] 图4为方法实施例三的流程图。\n[0034] 图5为本发明实施例的DNS设备结构示意图。\n具体实施方式\n[0035] 为使本发明的目的、技术方案和优点表达的更加清楚明白，下面结合附图及具体实施例对本发明再作进一步详细的说明。\n[0036] 本发明一个实施例的技术方案是：\n[0037] 所述DNS接收客户端发送来的域名解析请求报文，所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的域名信息；\n[0038] 所述DNS解析所述域名解析请求报文携带的客户端的源IP地址和域名信息，根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限，如果允许访问，则DNS进一步解析所述域名解析请求报文得到所述域名的IP地址，将所述IP地址携带于域名解析回应报文中发送给客户端，如果禁止访问，则DNS发送域名解析出错报文给所述客户端。\n[0039] 为了顺应业界发展趋势及应对发展中面临的问题，通信设备厂商开发出虚拟路由器（Virtual Services Router，VSR）系列产品，它运行在数据中心或分支的服务器虚拟机上，提供和物理路由器相同的功能和体验，包括路由、防火墙、虚拟专用网络（Virtual Private Network，VPN）、服务质量（Quality of Service，QoS）、及配置管理等，帮助企业建立安全、统一、可扩展的混合云，同时精简分支基础设施，图1为VSR公有云典型组网结构示意图。\n[0040] 如图1所示，在云中，VSR作为企业网延伸到云端的网关设备，部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC上，为企业VPC和企业总部/分支之间提供VPN，以保证企业租户的安全。\n[0041] VSR为企业带来的价值：\n[0042] 1）将企业VPC网络作为企业网络的一部分进行管理，确保一致的网络配置、安全策略、管理策略、及IP地址规划等，实现统一的企业网络管理；\n[0043] 2）和企业分支一样，实施统一的流量控制、部署一致的网络业务（如：QoS、防火墙、负载均衡、广域网（Wide Area Network，WAN）优化等），提供一致的网络业务体验；\n[0044] 3）在企业总部、分支和企业VPC之间建立端到端的VPN连接，使得公有云应用访问更安全，同时端到端的访问避免了总部中转，减少了云应用的响应时间，提高了云应用的使用体验。\n[0045] 基于VSR的诞生，企业可以将DNS服务器与VSR一同部署在公有云中的企业的虚拟数据中心VDC或虚拟私有云VPC中，对DNS服务器部署策略，通过对域名的访问解析控制，从而限制网站被有效用户访问，抑制全世界范围内无效的访问和攻击，节约带宽及计算能力，使得用户对Web服务的访问受控。\n[0046] 与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS配置有Web服务访问权限表，访问权限表包含如下字段：规则号、区域名称、Web服务、访问权限，经过查询该访问权限表可得某区域对某Web服务的访问权限,如果是permit则允许访问，如果是deny则禁止访问。如表1所示，A区域匹配第1条访问权限规则，表示A区域允许访问Web服务1；B区域匹配第2条访问权限规则，表示B区域禁止访问Web服务2；第3条访问权限规则为默认规则，除A区域和B区域之外的其他区域匹配第3条默认规则，表示此DNS禁止除A区域和B区域之外的其他区域访问任何Web服务。\n[0047] 表1\n[0048]\n规则号 区域名称 Web服务 访问权限\n1 Site A Web1 permit\n2 Site B Web2 deny\n3 Any Any deny\n… … … …\n[0049] 除Web服务访问权限表外，与所述VSR一同部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS还维护一个区域对应表，用于检测提出域名解析请求的客户端的源IP地址所属的区域，对应规则包含如下字段：区域名称，IP地址、子网掩码。DNS接收到客户端发送的域名解析请求报文后，解析所述域名解析请求报文携带的客户端的源IP地址与域名信息，根据解析所得源IP地址查询自身维护的区域对应表，即可检测出所述源IP地址所属的区域。如表2所示，网段10.1.1.1/255.255.255.0属于A区域，网段10.2.1.1/\n255.255.255.0属于B区域。\n[0050] 表2\n[0051]\n区域名称 IP 子网掩码\nSite A 10.1.1.1 255.255.255.0\nSite B 10.2.1.1 255.255.255.0\n… … …\n[0052] 具体访问权限查询过程为：DNS接到客户端发来的域名解析请求报文后，解析出域名解析请求报文携带的源IP地址和域名信息，然后根据源IP地址查找区域对应表，查询所述源IP地址所属区域，再根据查询所得的所属区域查找Web服务访问权限表，从而得到所述客户端对域名解析请求报文中携带的域名的访问权限，如果为permit，则DNS进一步解析所述域名的IP地址，将其携带于域名解析回应报文中发送给所述客户端；如果是deny，则DNS发送域名解析出错报文给所述客户端，意为禁止该客户端访问所述域名。如果Web服务访问权限表的区域字段没有与所述源IP地址所属区域相同的区域，则将所述源IP地址所属区域匹配Web服务访问权限表中的默认规则，根据默认规则对应的访问权限作出相应处理。\n[0053] 在DNS根据源IP地址查找区域对应表时，如果区域对应表中没有与所述源IP地址匹配的区域，则DNS直接发送域名解析出错报文给所述客户端，意为禁止该客户端访问所述域名。\n[0054] 方法实施例一\n[0055] 本实施例中，以一个本地生活服务网站为例，该本地生活服务网站希望访问的用户是本地城市的人们。该服务网站域名为www.service.com，本地联通的IP网段为\n10.10.1.1/255.255.0.0，本地移动的IP网段为20.10.1.1/255.255.0.0；部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS维护下述两个表格：Web服务访问权限表（表\n3）和区域对应表（表4）。\n[0056] 表3\n[0057]\n规则号 Site Web Service Action\n1 Site A www.service.com Permit\n2 Site B www.service.com Permit\n3 Any Any Deny\n[0058] 表4\n[0059]\nSite IP Mask\nSite A 10.10.1.1 255.255.0.0\nSite B 20.10.1.1 255.255.0.0\n[0060]\nSite C 30.10.1.1 255.255.0.0\nSite D 40.10.1.1 255.255.0.0\n[0061] 图2为本实施例的流程图，以本地联通用户（IP地址为10.10.1.88）试图访问网站www.service.com为例对本发明技术方案进行说明，包括以下步骤：\n[0062] 步骤201：DNS接收到客户端发送来的域名解析请求报文，所述域名解析请求报文携带有所述客户端的源IP地址以及该客户端请求访问的域名信息。\n[0063] 本步骤中，DNS接收到本地联通用户（IP地址为10.10.1.88）发送来的域名解析请求报文，所述域名解析请求报文携带有所述客户端的源IP地址10.10.1.88以及该客户端请求访问的域名信息www.service.com。\n[0064] 步骤202：DNS解析出所述域名解析请求报文携带的源IP地址和域名信息。\n[0065] 本步骤中，DNS解析所述域名解析请求报文，得到其携带的源IP地址10.10.1.88和域名信息www.service.com。\n[0066] 步骤203：DNS根据源IP地址查找表2区域对应表。\n[0067] 本步骤中，DNS根据步骤202中解析出的源IP地址10.10.1.88查询表2，查询到该IP地址所属区域为Site A。\n[0068] 步骤204：DNS根据源IP地址所属区域查找表1Web服务访问权限表。\n[0069] 本步骤中，DNS根据步骤203中查询到的源IP地址10.10.1.88所属区域Site A查询表1Web服务访问权限表，对应第一条访问规则，Site A对www.service.com的访问权限为permit,则说明允许该本地联通用户（IP地址为10.10.1.88）对本地生活服务网站进行访问。\n[0070] 步骤205：DNS进一步解析域名解析请求报文，得到所述域名的IP地址，将其携带于域名解析回应报文中发送给本地联通用户。\n[0071] 本步骤中，DNS进一步解析域名解析请求报文，将解析得到的www.service.com的IP地址携带于域名解析回应报文中发送给本地联通用户（IP地址为10.10.1.88），使得该用户可以访问本地生活服务网站。\n[0072] 应用本实施例技术方案，能够使部署在公有云中的虚拟数据中心VDC或虚拟私有云VPC中的DNS通过对域名的访问解析进行有效控制，只对特定用户进行域名解析，使得自己的带宽和计算能力被有效的用户使用。\n[0073] 方法实施例二\n[0074] 方法实施例一以本地联通用户试图访问本地生活服务网站为例对本发明技术方案进行介绍，本实施例则从外地联通用户（IP地址为30.10.1.88）试图访问本地生活服务网站www.service.com角度对本发明技术方案作进一步说明，仍然沿用方法实施例一中的区域对应表和Web服务访问权限表。图3为本实施例的流程图，包括以下步骤：\n[0075] 步骤301：DNS接收到客户端发送来的域名解析请求报文，所述域名解析请求报文携带有所述客户端的源IP地址以及该客户端请求访问的域名信息。\n[0076] 本步骤中，DNS接收到外地联通用户（IP地址为30.10.1.88）发送来的域名解析请求报文，所述域名解析请求报文携带有所述客户端的源IP地址30.10.1.88以及该客户端请求访问的域名信息www.service.com。\n[0077] 步骤302：DNS解析出所述域名解析请求报文携带的源IP地址和域名信息。\n[0078] 本步骤中，DNS解析所述域名解析请求报文，得到其携带的源IP地址30.10.1.88和域名信息www.service.com。\n[0079] 步骤303：DNS根据源IP地址查找表2区域对应表。\n[0080] 本步骤中，DNS根据步骤302中解析出的源IP地址30.10.1.88查询表2，查询到该IP地址所属区域为Site C。\n[0081] 步骤304：DNS根据源IP地址所属区域查找表1Web服务访问权限表。\n[0082] 本步骤中，DNS根据步骤303中查询到的源IP地址30.10.1.88所属区域Site C查询表1Web服务访问权限表，没有与Site C对应的访问权限规则，则将Site C匹配表1中的第3条默认规则，该默认规则意为除Site A与Site B之外的其他任何区域对任意网站的访问权限为deny,则Site C对www.service.com的访问权限为deny,说明禁止该外地联通用户（IP地址为30.10.1.88）对本地生活服务网站进行访问。\n[0083] 步骤305：DNS发送域名解析出错报文给外地联通用户。\n[0084] 本步骤中，DNS发送域名解析出错报文给外地联通用户（IP地址为30.10.1.88），意为禁止该外地联通用户对本地生活服务网站进行访问。\n[0085] 应用本实实施例方案，可以有效屏蔽掉无效的访问和攻击访问，从访问域名的源头进行了攻击和无效访问控制，节省了DNS的带宽和计算能力。方法实施例三[0086] 方法实施例一和方法实施例二均能在表2中查询到与域名解析请求报文中携带的源IP地址对应的区域，本实施例则从表2中不存在与域名解析请求报文中携带的源IP地址对应的区域角度对本发明实施例进行说明，以外地联通用户（IP地址为50.10.1.88）试图访问本地生活服务网站www.service.com为例，仍然沿用方法实施例一中的区域对应表和Web服务访问权限表。图4为本实施例的流程图，包括以下步骤：\n[0087] 步骤401：DNS接收到客户端发送来的域名解析请求报文，所述域名解析请求报文携带有所述客户端的源IP地址以及该客户端请求访问的域名信息。\n[0088] 本步骤中，DNS接收到外地联通用户（IP地址为50.10.1.88）发送来的域名解析请求报文，所述域名解析请求报文携带有所述客户端的源IP地址50.10.1.88以及该客户端请求访问的域名信息www.service.com。\n[0089] 步骤402：DNS解析出所述域名解析请求报文携带的源IP地址和域名信息。\n[0090] 本步骤中，DNS解析所述域名解析请求报文，得到其携带的源IP地址50.10.1.88和域名信息www.service.com。\n[0091] 步骤403：DNS根据源IP地址查找表2区域对应表。\n[0092] 本步骤中，DNS根据步骤402中解析出的源IP地址50.10.1.88查询表2，发现表2中没有IP地址50.10.1.88所属的区域。\n[0093] 步骤404：DNS发送域名解析出错报文给外地联通用户。\n[0094] 基于步骤403查询不到IP地址50.10.1.88所属的区域，说明该用户不在本DNS需要判断权限的用户范围内，则进一步可知禁止该用户访问本地生活服务网站\nwww.service.com，则DNS发送域名解析出错报文给外地联通用户（IP地址50.10.1.88）。\n[0095] 针对上述方法，本发明还公开一种域名服务器DNS，该DNS与VSR一同部署在公有云中的虚拟数据中心或虚拟私有云中。本发明公开的设备如图5所示，包括：\n[0096] 报文接收模块510，用于接收客户端发送来的域名解析请求报文，所述域名解析请求报文携带有客户端的源IP地址和所述客户端请求访问的网站域名信息。\n[0097] 解析模块520，用于解析所述域名解析请求报文携带的客户端的源IP地址与域名信息，还用于解析所述域名的IP地址。\n[0098] 查询模块530，用于根据所述客户端的源IP地址查询所述源IP地址对所述域名的访问权限。\n[0099] 报文发送模块540，如果允许访问，则将解析所得所述域名的IP地址携带于域名解析回应报文中发送给客户端，如果禁止访问，则发送域名解析出错报文给所述客户端。\n[0100] 所述VSR和DNS部署在相同的虚拟机上或者部署在各自独立的虚拟机上。\n[0101] 所述查询模块530进一步包括区域查询子模块531和访问权限查询子模块532，[0102] 所述区域查询子模块531用于，根据解析出的所述客户端的源IP地址查询区域对应表，所述区域对应表为IP地址与区域的对应表；\n[0103] 所述访问权限查询子模块532用于，根据查询到的与所述源IP地址对应的匹配区域查询Web服务访问权限表，所述Web服务访问权限表为区域对域名的访问权限列表。\n[0104] 所述区域查询子模块531查询不到与所述客户端的源IP地址匹配的区域时，所述报文发送模块540进一步用于，发送域名解析出错报文给所述客户端。\n[0105] 所述访问权限查询子模块532查询不到与所述匹配区域匹配的访问权限时，所述访问权限查询子模块532进一步用于，将所述匹配区域匹配默认规则。\n[0106] 以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。