允许在推行网络策略过程中使用域名的方法和系统

1.一种用于在网络设备创建基于互联网协议地址的网络策略IPP的方法，其包括步骤：
a.存储一个或多个基于域名的网络策略DNNTP，其中所述DNNTP含有选自源信息流的地址、信息流目的地的一个或多个域名、协议和算法的一组中选择的参数；
b.审查通过网络设备的网络信息流的内容；
c.接收一个地址记录域名系统查找回复；
d.识别所述地址记录域名系统查找回复中所指定的一个或多个主机名的一个或多个互联网协议IP地址；
e.确定所述一个或多个主机名中是否包含在所述一个或多个DNNTP中使用的域名；
f.如果所述一个或多个主机名中包含在一个或多个DNNTP中使用的一个域名，以所述一个或多个主机名中的一个或多个IP地址创建一个或多个IPP；其中IPP含有选自源信息流的地址、信息流目的地的一个或多个IP地址、协议和算法的一组中选择的参数；
g.如果所述一个或多个主机名不包含在一个或多个DNNTP使用的一个域名，不创建相对于所述一个或多个主机名的IPP；
h.基于所述网络信息流的所述IP地址在所述网络信息流上执行所述一个或多个的IPP；
i.当一个以上的IPP被创建予第一IP地址，在所述第一IP地址执行在所述网络信息流上具有更高的优先权的DNNTP；
j.在预定时间段之后从存储内除去所述一个或多个IPP；其中所述预定时间段是基于与所述地址记录域名系统查找回复相关联的一个生存时间TTL的值来确定；
其中，所述源信息流的地址是IP地址、IP地址范围、或以太网地址；和其中所述的协议是传输控制协议或用户数据报协议；
所述算法从包括权值平衡的，使用最少的，最低等待时间或优先权的组中选择。
2.如权利要求1所述的方法，还包括步骤：
k.接收地址记录域名系统查找请求；
l.递送所述地址记录域名系统查找请求；
m.接收地址记录域名系统查找回复；
n.递送所述地址记录域名系统查找回复，
其中步骤n.在步骤f.之后进行。
3.如权利要求1所述的方法，其中所述一个或多个IPP被存储在第一服务器上。
4.如权利要求1所述的方法，其中所述互联网协议地址是互联网协议版本4的地址或互联网协议版本6的地址。
5.如权利要求1所述的方法，还包括步骤：
o.确定所述一个或多个IPP是否等同于另一个现有的存储的IPP；
并且如果所述一个或多个IPP没有与任何已存储的IPP相同，存储所述一个或多个IPP。
6.如权利要求5所述的方法，还包括步骤：
p.如果所述一个或多个IPP与其中一个已存储的IPP相同，不存储所述一个或多个IPP；
q.更新基于与所述地址记录域名系统查找答复相关联的TTL除去另一个现有的存储的IPP的时间。
7.如权利要求1所述的方法，其中在一个DNNTP使用的 该域名不包含或者包含一个或多个通配符。
8.如权利要求2所述的方法，还包括步骤：
r.接收非地址记录类型域名系统查找请求；
s.递送所述非地址记录类型域名系统查找请求；
t.接收非地址记录类型域名系统查找回复；
u.递送所述非地址记录类型域名系统查找回复；
v.确定非地址记录是否包含了在一个或多个DNNTP使用的域名；以及
其中步骤r.至v.在步骤k.之前进行；其中所述非地址记录是规范名记录、邮件交换记录、名称服务器记录、服务定位器和文本记录中的一种。
9.如权利要求8所述的方法，还包括步骤：
w.针对接收到的所述非地址记录类型域名系统查找回复来递送地址记录类型域名系统查找请求；以及
x.针对接收到的所述非地址记录类型域名系统查找回复来接收地址记录类型域名系统查找回复。
10.所述的方法，根据权利要求1还包括步骤：
y.当改变了DNNTP的域名时，改变所述一个或多个IPP。
11.一种通过使用域名来创建基于互联网协议地址的网络策略IPP的系统，其包括：
一个或多个存储单元，用于存储能由一个或多个处理单元执行的可执行程序指令，用于存储基于网络策略DNNTP的一个或多个域名和用于存储一个或多个IPP；
一个或多个网络接口；和
一个或多个处理单元，用于执行存储在所述一个或多个存储单元的程序指令，用于执行以下步骤：
a.存储一个或多个DNNTP，其中DNNTP含有选自来源信息流的地址、信息流目的地的一个或多个域名、协议和算法的一组中选择的参数；
b.审查通过网络设备的网络信息流的内容；
c.通过所述一个或多个网络接口，接收一个地址记录的域名系统查找回复；
d.识别一个或多个互联网协议IP地址在地址记录域名系统查找回复指定的一个或多个主机名的一个或多个互联网协议IP地址；
e.确定所述一个或多个主机名中是否包含在所述一个或多个DNNTP中使用的域名；和f.如果所述一个或多个主机名中包含在一个或多个DNNTP中使用的一个域名，以所述一个或多个主机名中的一个或多个IP地址创建一个或多个IPP；其中IPP含有选自来源信息流的地址、信息流目的地的一个或多个IP地址、协议和算法的一组中选择的参数；
g.如果所述一个或多个主机名不包含在一个或多个DNNTP使用的一个域名，不创建相对于所述一个或多个主机名的IPP；
h.基于所述网络信息流的所述IP地址在所述网络信息流上执行所述一个或多个的IPP；
i.当一个以上的IPP被创建予第一IP地址，在所述第一IP地址执行在所述网络信息流上具有更高的优先权的DNNTP；
j.在预定时间段之后从存储内除去所述一个或多个IPP；
其中所述预定时间段是基于与所述地址记录域名系统查找回复相关联的一个生存时间TTL的值来确定；
其中所述源信息流的地址是IP地址、IP地址范围、或以太网地址；
其中所述的协议是传输控制协议或用户数据报协议；
所述算法从包括权值平衡的，使用最少的，最低等待时间或优先权的组中选择。
12.如权利要求11所述的系统，其中所述一个或多个处理单元进一步可操作用于：
k.接收地址记录域名系统查找请求；
l.递送所述地址记录域名系统查找请求；
m.接收地址记录域名系统查找回复；
n.递送所述地址记录域名系统查找回复；
其中步骤n.于步骤f.之后进行。
13.如权利要求12所述的系统，其中所述一个或多个IPP被存储在第一服务器上。
14.如权利要求11所述的系统，其中所述互联网协议地址是互联网协议版本4的地址或互联网协议版本6的地址。
15.如权利要求11所述的系统，其中所述一个或多个处理单元进一步可操作用于:
o.确定所述一个或多个IPP没有与另一现有的存储的IPP相同；
存储所述一个或多个IPP，如果一个或多个IPP是不相同的另一现有的存储的IPP。
16.如权利要求15所述的系统，其中所述一个或多个处理单元进一步可操作用于：
p.不存储所述一个或多个IPP如果所述一个或多个IPP与另一现有的存储的IPP相同；
q.更新基于与所述地址记录域名系统查找回复相关联的TTL除去另一个现有的存储的IPP的时间。
17.如权利要求11所述的系统，其中所述一个或多个存储单元存储了DNNTP的域名，所述域名不包含通配符、或者包含一个或多个通配符。
18.如权利要求12所述的系统，其中所述一个或多个处理单元进一步可操作：
r.接收一个非地址记录类型域名系统查找请求；
s.递送所述非地址记录类型域名系统查找请求；
t.接收非地址记录类型域名系统查找回复；
u.递送所述非地址记录类型域名系统查找回复；
v.确定所述非地址记录是否包含在一个或多个DNNTP中使用的域名；和其中所述非地址记录是规范名记录、邮件交换记录、名称服务器记录、服务定位器和文本记录中的一种。
19.如权利要求18所述的系统，其中所述一个或多个处理单元进一步可操作：
w.针对接收到的所述非地址记录类型域名系统查找回复来递送地址记录类型域名系统查找请求；以及
x.针对接收到的所述非地址记录类型域名系统查找回复来接收地址记录类型域名系统查找回复。

允许在推行网络策略过程中使用域名的方法和系统\n技术领域\n[0001] 本发明涉及与互联网协议（IP）网络互通的局域网，更具体地涉及允许在推行网络策略过程中使用域名的方法和系统。\n背景技术\n[0002] 为了保护网络和管制网络信息流（network traffic），现有技术的网络装置推行了关于网络信息流的网络策略。网络策略描述了网络装置应当如何操作，并且对不同类型的网络信息流、信息源、信息目的地和信息流内容施加限制。可以通过使用互联网协议地址和/或域名来创建网络策略。用以推行网络策略的两个通信方法是对路由器中使用的路由表进行覆盖和由代理服务器进行内容审查。\n[0003] 路由器使用路由表来确定如何转发网络信息流。路由器实现超控路由表来对路由表中已建立或记录的路由进行覆盖，以便执行网络策略。在路由器处，网络策略基于互联网协议（IP）地址而不是域名。路由器审查数据包的IP地址，由此来检查在覆盖路由表中是否已经指定了该IP地址。如果是，则根据覆盖路由表中描述的网络策略来对数据包实施路由。\n如果不是，则根据路由表来对数据包实施路由。使用覆盖路由表的优点是其推行网络策略简单。使用覆盖路由表的缺点是不能灵活地使用域名来推行网络策略。\n[0004] 对于现有技术的路由器而言，如果网络管理员试图具有使用域名的路由策略，则网络管理员不得不首先查找该域名的对应IP地址，然后使用该IP地址在该现有技术的路由器处创建路由策略。子域和主机名的可能组合几乎是无限的。该方法很耗人工并且容易出现人为错误。\n[0005] 代理服务器可以审查通过它的内容。如果代理服务器在审查内容之后发现这些内容满足路由策略的条件，则代理服务器针对这些内容和网络信息流采取相应的网络信息流路由动作，比如过滤、阻止和/或转发。用于内容审查的一些惯用方法包括：统一资源定位符（URL）或域名系统（DNS）黑名单、URL正则表达式过滤（regex filtering）、多用途互联网邮件扩展（MIME）过滤、或内容关键字过滤。已知设计用于处理网页信息流的一些代理服务器采用内容分析技术来查找特定类型的内容提供者通常使用的特质（traits）。管理员可以提供URL、域名、IP地址、关键字等的许多组合来创建网络信息流路由策略。使用代理服务器的优点包括使用域名来创建网络信息流路由策略的灵活性。使用代理服务器的缺点之一是网络信息流的吞吐量限制，这是因为代理服务器一般使用了较多的处理能力和存储能力。使用代理服务器的另一个缺点是代理服务器是专用的。对于如安全套接层之类的一些应用而言，完全透明的代理服务器难以存在，并且会容易受到中间人攻击。\n[0006] 因此，期望的是使得路由器能够使用基于域名的网络策略来进行路由。然而，通过实现代理服务器如何审查内容来允许路由器中的这种基于域名的网络策略增加了路由器的复杂性和计算资源需求。\n[0007] PTL0001：US7984493(ALCATEL-LUCENT).2005-07-22\n[0008] 该现有技术公开了一种使用本地DNS服务器和本地推行单元来检测并隔离来源于本地网络上的本地主机且到达本地网络以外的远程主机的网络恶意行为的方法和系统，其中，所述本地DNS服务器用于接收来自本地主机的连接到远程主机的请求，完成DNS查找以得到远程主机的IP地址，并且产生一致性指示符；所述本地推行单元连接在本地网络与远程主机之间，用于默认地阻止该连接的建立，直到其接收到所述一致性指示符。与美国专利\n7,984,493不一样，本发明不需要具有本地DNS服务器，并且不单单提供阻止能力。因此，美国专利7,984,493没有对本领域一般技术人员公开实施本发明的任何细节，也没有提示本领域一般技术人员将美国专利7,984,493修改为达到落入本发明的权项范围内的程度。\n[0009] PTL0002：US7743158(NTT DOCOMO INC.).2002-12-04\n[0010] 该现有技术公开了一种通过使用个人过滤器和服务过滤器来将域名过滤结合到网络边缘设备的安全策略中的用于网络边缘设备的方法和系统。与美国专利7,743,158不同的是，本发明不使用个人过滤器并且不涉及个人过滤器与服务过滤器的结合。因此，美国专利7,743,158没有对本领域一般技术人员公开实施本发明的任何细节，也没有提示本领域一般技术人员将美国专利7,743,158修改为达到落入本发明的权项范围内的程度。\n[0011] 如果域名已经被分配了互联网主机并且与该主机的IP地址相关联，则该域名可以是主机名。主机名是具有至少一个关联的IP地址的域名。例如，如果关联了IP地址，则域名“example.com”也可以是主机名。用于形成域名的规则的明确描述可参见由互联网工程任务组公布的RFC1035、RFC1123和RFC2181。\n[0012] 有益效果\n[0013] 本发明使得在推行网络策略时能够使用域名。因此，网络管理员在创建网络策略时具有更大灵活性并且在创建网络策略时无需手动解析IP地址。\n发明内容\n[0014] 公开了一种通过使用基于域名的网络策略（DNNTP）来创建基于互联网协议地址的网络策略（IPP）的方法和系统。存储了基于域名的网络策略。当网络装置接收到地址记录域名系统（DNS）查找回复时，网络装置识别该地址记录DNS查找回复中所指定的一个或多个主机名的一个或多个互联网协议（IP）地址，随后确定所述一个或多个主机名是否包含了在一个或多个基于域名的网络策略中所使用的域名，并创建一个或多个基于IP地址的网络策略。\n[0015] DNNTP中使用的参数包括：信息流目的地的一个或多个域名、源信息流的地址、协议、和算法。IPP中使用的参数包括：信息流目的地的一个或多个IP地址、源信息流的地址、协议、和算法。DNNTP与它的对应IPP之间的区别是用于信息流目的地的参数，其中DNNTP的域名部分在IPP中被IP地址替代。\n附图说明\n[0016] 通过结合附图并参照以下详细描述，对本发明更为全面的认识以及本发明所带来的许多优点将变得显然，同时变得更易理解，附图中相同的附图标记表示相同或相似的部件，附图中：\n[0017] 图1是示出使用域名来创建基于互联网协议地址的网络策略的步骤的流程图；\n[0018] 图2是示出在本发明中采用的网络构造的视图；\n[0019] 图3是示出当由同一个网络装置接收到地址记录DNS查找请求和DNS查找回复时使用域名来创建并推行基于互联网协议地址的网络策略的步骤的流程图；\n[0020] 图4是示出当DNS查找请求是非地址记录类型时创建基于IP地址的网络策略的步骤的流程图；以及\n[0021] 图5是示出在使用域名来创建并推行IP地址网络策略过程中所涉及的部件的网络系统的系统级框图。\n具体实施方式\n[0022] 在基于域名的网络策略（DNNTP）中使用的参数包括：源信息流的地址，比如IP地址、IP地址范围和以太网地址；信息流目的地的一个或多个域名；协议，比如传输控制协议、用户数据报协议和端口号；以及算法，比如权值平衡、最少使用、以及最低等待时间和优先权。在基于互联网协议地址的策略（IPP）中使用的参数包括：源信息流的地址，比如IP地址、IP地址范围和以太网地址；信息流目的地的一个或多个IP地址；协议，比如传输控制协议、用户数据报协议和端口号；以及算法，比如权值平衡、最少使用、以及最低等待时间和优先权。DNNTP与它的对应IPP之间的区别是用于信息流目的地的参数，其中DNNTP的域名部分在IPP中被IP地址替代。\n[0023] 由网络装置（IPPND）来推行IPP。DNNTP可以被存储在IPPND处或与IPPND不同的装置处，并且由管理员输入，被通过网络接收，被通过存储介质传送和/或被通过其他已知方法接收。\n[0024] 除了DNNTP的域名部分在IPP中被IP地址替代以外，IPP的参数与DNNTP的参数相同。\n[0025] 由于两个不同的主机名可以共享相同的IP地址，因此根据DNNTP中指定的域名而创建的IPP可能影响属于不同主机名的网络信息流，并且导致网络信息流的错误的或欠优的路由。\n[0026] 本发明可应用于互联网协议版本4（IPv4）网络和互联网协议版本6（IPv6）网络两者。因此，地址记录DNS查找请求的记录类型为用于IPv4地址记录的“A”类型或用于IPv6地址记录的“AAAA”类型，并且地址记录DNS查找回复的记录类型为用于IPv4地址记录的“A”类型或用于IPv6地址记录的“AAAA”类型。在DNS查找回复中包含的IP地址是IPv4地址和IPv6地址中的一个。\n[0027] 方法\n[0028] 图1是示出通过使用一个或多个DNNTP来创建一个或多个IPP的方法的流程图。在功能块101处，在装置的存储器中存储一个或多个DNNTP。该装置可以是计算装置或者网络装置，并且其可以与推行IPP的装置相同或不同。可以使用随机存取存储器、只读存储器、静态存储器、非易失性存储器、磁存储介质、光学存储介质或任何存储介质来实现该存储器。\n[0029] 在功能块102处，当接收到地址记录DNS查找回复时，通过对携带该地址记录DNS查找回复的IP数据包的有效载荷进行审查，来识别该地址记录DNS查找回复中描述的一个或多个主机名以及一个或多个IP地址。根据本发明的实施例中的一个，由不同于IPPND的装置接收地址记录DNS查找回复。根据本发明的实施例中的一个，由IPPND接收地址记录DNS查找回复。根据本发明的实施例中的一个，从网络装置的广域网接收DNS查找回复。根据本发明的实施例中的一个，从所述网络装置的局域网接收DNS查找回复。根据本发明的实施例中的一个，由计算装置或另一网络装置来进行地址记录DNS查找回复的审查，随后由该计算装置或该另一网络装置来将识别出的一个或多个主机名以及一个或多个IP地址发送到所述网络装置。\n[0030] 与现有技术的代理服务器相比，功能块102不初始化用于得到对应IP地址的DNS查找请求，而代理服务器通过自己发布DNS查找请求来解析域名的IP地址。与现有技术的路由器相比，功能块102审查通过的网络信息流的内容以便识别主机名和IP地址。\n[0031] 在判定块103处，将在功能块102处识别的一个或多个主机名与在功能块101处接收到的DNNTP中的域名进行对比。如果一个主机名包含了在一个或多个DNNTP中使用的一个或多个域名，则在功能块104处将该主机名用于创建一个或多个IPP。例如，主机名“smtp.example.com”、“www.example.com”、“video.example.com”、\n“audio.01.example.com”和“movie.europe.example.com”均包含了域名“example.com”，如果在一个DNNTP中使用了“example.com”，则随后在功能块104处使用这些主机名的一个或多个IP地址来创建IPP。如果主机名不包含任何DNNTP中所使用的域名，则在功能块106处不创建与该主机名有关的IPP。\n[0032] 在功能块104处，使用所识别的一个或多个IP地址来创建一个或多个IPP。例如，如果域名“example.com”的DNNTP通过WAN网络接口将所有网络信息流路由至域名“example.com”，并且如果在功能块102处识别的地址记录DNS查找回复的主机名和IP地址分别是“video.example.com”和123.123.123.123，则创建通过用于IP地址\n123.123.123.123的指定WAN接口来路由所有网络的IPP。如果在功能块102处识别的另一地址记录DNS查找回复的主机名和IP地址分别是“mail.example.com”和123.123.123.124，则也创建通过用于IP地址123.123.123.124的指定WAN接口来路由所有网络的另一IPP。因此，在接收了两个地址记录DNS查找回复之后，存在为域名“example.com”建立的两个IPP。\n[0033] 随后在功能块105中使用IPP来执行网络策略。当网络装置接收到网络信息流时，网络装置检查该网络信息流的IP地址是否与所存储的任何IPP相匹配。如果是，则推行IPP来管制网络信息流。有可能针对一个IP地址创建了多于一个IPP。因此，可以使用优先权参数来为不同的DNNTP赋予不同的优先权。可以通过由微处理器、存储单元、网络接口和在网络装置中通常可找到的其他电子部件（比如路由器）构成的装置来执行IPP的推行。如何实现IPP的推行对于本领域技术人员是显而易见的。\n[0034] 图2是示出本发明的实施例之一的网络架构示图，其中可以以不同的网络装置和计算装置来实现图1中的功能块和判定块。路由器201推行IPP并且将地址记录DNS查找回复信息流镜像复制到服务器202。服务器202存储一个或多个DNNTP，并且确定地址记录DNS查找回复中包含的一个或多个主机名是否与一个或多个DNNTP相匹配。如果存在匹配，则服务器202将创建一个或多个IPP并将这些IPP发送到路由器202以用于推行。膝上型电脑203是试图解析主机名的IP地址并且与路由器201的LAN连接的计算装置。DNS服务器204位于路由器201的WAN处，并且可以通过互联网205与路由器201通信。\n[0035] 根据实施例之一，管理IPP的装置与IPPND不同。因此，管理IPP的装置不接收与IPPND接收的网络信息流相同的网络信息流。\n[0036] 图3示出本发明的实施例之一，其中单个网络装置使用域名来管理IPP的创建并推行IPP。因此，由同一IPPND接收DNS查找回复并且进行网络信息流的路由。当与该IPPND的LAN连接的网络装置或计算装置试图通过发出地址记录DNS查找请求来解析主机名的一个或多个IP地址时，则该IPPND将在功能块301处从其LAN网络接口之一接收该地址记录DNS查找请求。由于IPPND不能解析该IP地址，因此IPPND在功能块302处将该地址记录DNS查找请求转发到与IPPND的WAN接口之一连接的DNS服务器或另一路由器。当DNS服务器已经解析了该IP地址时，该DNS服务器以地址记录DNS查找回复来进行回复。IPPND将在功能块303处接收到该地址记录DNS查找回复。如果该地址记录DNS查找回复的主机名包含了在一个或多个DNNTP中使用的域名，则IPPND将执行判定块103、功能块104、功能块105和功能块304处的步骤。\n[0037] 根据本发明的实施例之一，当在IPPND处创建了一个或多个IPP之后，执行递送地址记录DNS查找回复的步骤。如果DNS查找请求来源于与IPPND的LAN连接的计算装置或网络装置，则该计算装置或网络装置等待来自IPPND的地址记录DNS查找回复，以便在将网络信息流发送到主机名的IP地址之前解析该IP地址。因此，在递送DNS查找回复之前就应当创建一个或多个IPP，以确保IPPND具有足够的时间来推行与域名有关的一个或多个IPP。如果没有足够的时间为策略路由推行创建IPP，则有可能来源于IPPND的LAN的网络信息流已经违反了一个或多个IPP。\n[0038] 根据本发明的实施例之一，在预定时间段之后从IPPND移除所创建的IPP。可以使用定时器来记录应当移除IPP的时间。如果存在多个所创建的IPP，则需要多个定时器。可以通过使用诸如随机存取存储器、硬盘和非易失性存储器之类的存储介质来实现定时器。根据本发明的实施例之一，由网络管理员来确定该预定时间段。根据本发明的实施例之一，在IPPND处对预定时间段进行硬编码。根据本发明的实施例之一，通过与地址记录DNS查找回复中的每个记录相关联的所谓的生存时间（time to live，TTL）的值来确定该预定时间段。\n由针对特定资源记录发出命令（authoritative）响应的DNS服务器的管理员来设置TTL。TTL可以从仅数秒变为数天甚至数月。如果预定时间段太短，则IPPND可能由于对应IPP已从IPPND移除而无法执行DNNTP中描述的基于策略的路由。如果预定时间段太长，则IPPND可能由于对应IPP包含了过期IP地址而使用不正确的IP地址来推行DNNTP。\n[0039] 根据本发明的实施例之一，当创建了与较早创建的另一已有IPP（已有IPP）相同的新IPP时，无需存储该新IPP，而是根据移除IPP的预定时间段来更新移除已有IPP的时间。例如，如果移除已有IPP的时间是12:10:00，由网络管理员输入的预定时间段为一个小时，并且在12:45:30时创建了与该已有IPP相同的新IPP，则将不存储该新IPP，而是将移除已有IPP的时间更新到13:45:29。\n[0040] 根据本发明的实施例之一，DNNTP的域名不包含通配符、或者包含一个或多个通配符。当DNNTP的域名不包含通配符时，在地址记录DNS查找回复中包含的主机名必须与在创建一个或多个对应IPP之前所指定的域名相同。当DNNTP中使用的域名包含了一个或多个通配符时，主机名不必相同，但是必须满足在创建一个或多个对应IPP之前的通配符标准。例如，如果DNNTP中的域名是“?.example.com”，则在“example.com”之前具有一个字符的任何主机名（比如“a.example.com”和“3.example.com”）均被认为与通配符标准匹配，并且创建对应IPP。在另一示例中，如果DNNTP中的域名为“*.example.com”，则在“example.com”之前具有一个或多个字符的任何主机名（比如“a.example.com”、“efg.example.com”和“4april2012.example.com”）均被认为与通配符标准匹配，并且创建对应IPP。在另一示例中，如果DNNTP中的域名为“e*a.com.*”，则在“e”和“a”之间具有一个或多个字符并且在“com.”之后具有一个或多个字符的任何主机名（比如“a.example.com”、“efg.example.com”和“4april2012.example.com”）均被认为与通配符标准匹配，并且创建对应IPP。可以以许多方式来使用通配符进行匹配，包括选择字符来代表不同的通配符、使用正则表达式进行匹配、使用不同的计算机语言实现匹配。如何在计算装置和/或网络装置中使用通配符实现字符串匹配对于本领域技术人员而言是显而易见的。\n[0041] 图4是示出本发明的实施例之一的流程图，用于当DNS查找请求是请求非地址记录（比如邮件交换（MX）记录、名称服务器（NS）记录和域名的规范名（CNAME）记录）时创建一个或多个IPP。在地址记录DNS查找回复中返回的用于非地址记录的主机名的数量可以多于一个。图3与图4所示的步骤之间的不同在于功能块401、功能块402、功能块403、功能块404处的附加步骤以及以判定块405替代了判定块103。\n[0042] 例如，当与IPPND的LAN连接的网络装置或计算装置试图解析域名的电子邮件服务器的一个或多个IP地址时，其发出诸如MX记录、DNS查找请求之类的非地址记录，IPPND在功能块410处接收来自其LAN网络接口之一的非地址记录DNS查找请求。随后IPPND在功能块\n402处将该非地址记录DNS查找请求转发到与IPPND连接的DNS服务器或另一路由器。IPPND在功能块403处从DNS服务器或该路由器接收非地址记录DNS查找回复。如果找到了诸如电子邮件服务器的主机名之类的名称记录，则非地址记录DNS查找回复应当包含一个或多个名称记录。随后IPPND将非地址记录DNS查找回复递送到原始发出该非地址记录DNS查找请求的网络装置或计算装置。\n[0043] 由于非地址DNS查找回复可能包含一个或多个主机名并且可能不包含IP地址，因此网络装置或计算装置可能需要解析与非地址记录DNS查找回复中包含的主机名有关的IP地址。因此，随后将执行功能块301以及后续的功能块303和功能块102。\n[0044] 由于在功能块403处的非地址记录DNS查找回复中包含的主机名可能属于DNNTP中使用的不同域名，因此在判定块405处使用非地址记录查找请求（比如MX记录查找请求）中使用的域名来确定是否匹配域名匹配标准。如果在非地址记录查找请求中使用的域名包含了在一个或多个DNNTP中使用的域名，则执行功能块104和功能块105，否则在判定块103处使用在地址记录查找请求中使用的主机名来确定是否与域名匹配标准匹配。如果匹配，则执行功能块104和功能块105，否则在功能块106不创建与该主机名有关的IPP。\n[0045] 根据本发明的实施例之一，IPPND在功能块403之后通过递送对应的地址记录DNS查找请求来自己解析与非地址记录DNS查找回复中包含的主机名有关的IP地址，并等待对应的地址记录DNS查找回复。通过主动地发出地址记录DNS查找请求，IPPND能够在接收到针对主机名的地址记录DNS查找请求之前解析在非地址记录DNS查找回复中包含的主机名的对应IP地址，从而在存在对应IP地址的情况下更早地创建IPP。IPP创建得越早，则IPPND可以具有越多的时间来准备推行IPP。\n[0046] 系统\n[0047] 图5是示出通过使用域名创建IPP的系统的系统示图。图5中的箭头是数据流。\nIPPND501具有一个或多个网络接口以及一个或多个处理单元，以从其LAN向其WAN507（或者反之）接收、路由和/或发送信息流。可以通过使用以太网、USB、Firewire、Thunderbolt、天线或能够发送和接收数据的任何其他接口来实现IPPND501的网络接口。可以通过CPU、网络处理器、微处理器或能够处理指令的任何装置来实现IPPND501的处理单元。\n[0048] 根据本发明的实施例之一，网络策略引擎506是IPPND501内部的处理单元，并且用于推行包括IPP在内的网络策略。可以通过CPU、网络处理器、微处理器或能够处理指令并推行网络策略的任何装置来实现网络策略引擎506。在一种实现中，网络策略引擎506是独立网络装置，能够推行网络策略并从其LAN向其WAN（或者反之）路由信息流，以及通过数据报、数据包、总线、OSI层2、OSI层3、以太网、IP和/或任何其他通信协议来与IPPND501通信。\n[0049] DNS监控器502用于识别作为域名系统查找回复的网络信息流。DNS监控器502可以是独立网络装置，或者是IPPND501的一部分。当DNS监控器502是独立网络装置时，DNS监控器502通过数据报、数据包、总线、OSI层2、OSI层3、以太网、IP和/或任何其他通信协议来与IPPND501通信。根据本发明的实施例之一，可以通过使用IPPND501的处理单元和网络接口来实现DNS监控器502。\n[0050] 当IPPND501从其网络接口之一接收到网络信息流时，DNS监控器502识别属于地址记录和非地址记录DNS查找请求及回复的网络信息流。当DNS监控器502是独立网络装置时，IPPND501通过网络接口将网络信息流镜像复制到DNS监控器502。当DNS监控器502是IPPND501的一部分时，DNS监控器502的处理单元监控从IPPND501的网络接口接收的网络信息流。DNS监控器502通过审查网络信息流的有效载荷来识别地址记录DNS查找回复。\n[0051] 当DNS监控器502已经识别出地址记录DNS查找回复时，DNS监控器502将该地址记录DNS查找回复转发到对比引擎504。对比引擎识别该地址记录DNS查找回复中的一个或多个主机名和对应的一个或多个IP地址，并检查是否该一个或多个主机名中的任何主机名包含了在一个或多个DNNTP中使用的域名中的一个。DNNTP由DNNTP存储器503提供。对比引擎\n504可以是独立的网络装置、计算装置或者是IPPND501的一部分。当对比引擎504是独立网络装置时，可以由CPU、网络处理器、微处理器或能够处理指令的任何装置来实现对比引擎\n504，并通过数据报、数据包、总线、OSI层2、OSI层3、以太网、IP、和/或任何其他通信协议与DNS监控器502通信。当对比引擎504是IPPND501的一部分时，DNS监控器502应当也是IPPND501的一部分，并且可以使用IPPND501的处理单元和网络接口来实现。\n[0052] DNNTP存储器503可以是独立的存储器或是IPPND501的一部分。当DNNTP存储器503是独立存储器时，DNS监控器502通过数据报、数据包、总线、OSI层2、OSI层3、以太网、IP、和/或任何其他通信协议来与IPPND501通信，并且可以使用随机存取存储器、只读存储器、静态存储器、非易失性存储器、磁存储介质、光学存储介质或任何存储介质来存储DNNTP。当DNNTP存储器503是IPPND501的一部分时，可以通过使用IPPND501的存储介质来实现DNNTP存储器503。可以通过使用随机存取存储器、只读存储器、静态存储器、非易失性存储器、磁存储介质、光学存储介质或任何其他存储介质来实现IPPND501的存储介质。\n[0053] 当对比引擎504确定在一个或多个DNNTP中使用的域名中的一个域名中使用了一个或多个主机名时，创建一个或多个对应IPP。例如，如果从DNNTP存储器503取得的域名“www.example.com”的DNNTP是通过指定的WAN网络接口将所有网络信息流路由到域名“www.example.com”，并且如果识别出的由DNS监控器502提供的DNS查找回复的主机名和IP地址分别是“video.example.com”和123.123.123.123，则建立通过用于IP地址\n123.123.123.123的指定WAN接口来路由所有网络的IPP。如果识别出的另一DNS查找回复的主机名和IP地址分别是“mail.example.com”和123.123.123.124，则还建立通过用于IP地址123.123.123.124的指定WAN接口来路由所有网络的另一IPP。因此，在接收到两个DNS查找回复之后，存在针对域名“example.com”建立的两个IPP。\n[0054] 当对比引擎504确定在DNNTP中使用的域名当中没有任何域名使用了这些主机名时，不创建和存储IPP。\n[0055] 随后在IPP存储器505处存储所建立的IPP以便网络策略引擎506使用。IPP存储器\n505可以是独立的存储器或者是IPPND501的一部分。当IPP存储器505是独立存储器时，IPP存储器505通过数据报、数据包、总线、OSI层2、OSI层3、以太网、IP、和/或任何其他通信协议来与IPPND501通信，并且可以使用随机存取存储器、只读存储器、静态存储器、非易失性存储器、磁存储介质、光学存储介质或任何其他存储介质来存储IPP。当IPP存储器505是IPPND501的一部分时，可以通过使用IPPND501的存储介质来实现IPP存储器505。\n[0056] 随后，网络策略引擎506对网络信息流推行由IPP存储器505提供的一个或多个IPP。\n[0057] 根据实施例之一，在一个独立装置（比如计算装置和网络装置）中实现DNS监控器\n502、DNNTP存储器503、对比引擎504和IPP存储器505，并且不在该独立装置中实现IPPND501和网络策略引擎506。这使得网络装置IPP管理能够独立于IPP的推行。\n[0058] 根据实施例之一，DNS监控器502、DNNTP存储器503、对比引擎504、IPP存储器505和网络策略引擎506均在IPPND501中实现。当与IPPND501的LAN连接的网络装置或计算装置试图通过发出地址记录DNS查找请求来解析主机名的一个或多个IP地址时，IPPND501将从其LAN网络接口之一接收该地址记录DNS查找请求。由于IPPND501不能解析IP地址，因此IPPND501将该地址记录DNS查找请求转发到与WAN接口之一连接的DNS服务器或另一路由器。IPPND501随后将从DNS服务器或路由器接收地址记录DNS查找回复。如果任何主机名包含了一个或多个DNNTP中使用的域名，则DNS监控器502、DNNTP存储器503、和对比引擎504将建立一个或多个IPP。\n[0059] 根据本发明的实施例之一，在已经创建一个或多个IPP之后，IPPND501递送地址记录DNS查找回复。如果DNS查找请求来源于与IPPND501的LAN连接的计算装置或网络装置，则该计算装置或网络装置等待来自IPPND501的DNS查找回复，以便在向主机名的IP地址发出网络信息流之前解析该IP地址。因此，应当在IPPND递送地址记录DNS查找回复之前就创建一个或多个IPP，以确保IPPND501具有足够时间来推行与该域名有关的策略路由。如果没有足够时间为策略路由推行创建IPP，则即使已经解析了主机名的IP地址，来源于IPPND501的LAN的网络信息流也可能已经违反了策略路由。\n[0060] 根据本发明的实施例之一，在预定时间段之后，所创建的IPP将从IPP存储器505移除从而不能用于推行。当IPP存储器505是独立的装置并且具有处理指令的能力时，可以使用IPP存储器505处的定时器来记录应当移除IPP的时间。当IPP存储器505是IPPND501的一部分时，可以通过使用IPPND501的处理单元来实现定时器。如果存在多个所创建的IPP，则需要多个定时器。可以通过使用随机存取存储器、只读存储器、静态存储器、非易失性存储器、磁存储介质、光学存储介质或任何其他存储介质来实现定时器。根据本发明的实施例之一，由网络管理员来确定预定时间段。根据本发明的实施例之一，在IPPND501处对预定时间段进行硬编码。根据本发明的实施例之一，通过与DNS查找回复中的每一个记录相关联的TTL来确定IPP存储器505用来移除IPP的预定时间段。如果预定时间段太短，则IPPND501可能会由于对应IPP已从IPP存储器505中被移除而不能推行DNNTP。如果预定时间段太长，则IPPND501可能会由于对应IPP包含了过期IP地址而使用不正确的IP地址来推行DNNTP。\n[0061] 根据本发明的实施例之一，当创建了与IPP存储器505中已经存储的另一已有IPP相同的新IPP时，无需在IPP存储器505处存储该新IPP，而是根据移除IPP的预定时间段来更新移除已有IPP的时间。例如，如果从IPP存储器505移除已有IPP的时间是在12:10:00，由网络管理员输入的预定时间段为一个小时，并且与已有IPP相同的新IPP是在12:45:30创建的，则将不存储新IPP，而是将从IPP存储器505移除已有IPP的时间更新到13:45:29。\n[0062] 根据本发明的实施例之一，对比引擎504能够处理DNNTP的域名中所包含的一个或多个通配符。当主机名与DNNTP的一个或多个域名（其包含一个或多个通配符）相匹配时，对比引擎504可以实现一个或多个通配符匹配算法来为DNNTP创建一个或多个IPP。\n[0063] 根据本发明的实施例之一，当DNS查找请求是请求非地址记录（比如MX记录、NS记录和域名的CNAME记录）时，由于在针对非地址记录的DNS查找回复中返回的主机名的数量可以是多于一个，因此对比引擎504可以创建一个或多个IPP。DNS监控器502识别出与DNS查找有关的消息并将其镜像复制到对比引擎504，以用于对比并用于一个或多个IPP的创建。\n[0064] 例如，当与IPPND501的LAN连接的网络装置或计算装置试图解析域名的电子邮件服务器的一个或多个IP地址时，其发出诸如MX记录、DNS查找请求之类的非地址记录，IPPND501将在功能块401处接收来自其LAN网络接口之一的非地址记录DNS查找请求。\nIPPND501将该非地址记录DNS查找请求转发到与IPPND501连接的DNS服务器或另一路由器。\n随后IPPND501从该DNS服务器或路由器接收非地址记录DNS查找回复。如果找到了名称记录（比如电子邮件服务器的主机名），则该非地址记录DNS查找回复应当包含该名称记录。随后IPPND501将该非地址记录DNS查找回复递送到原始发出该非地址记录DNS查找请求的网络装置或计算装置。\n[0065] 由于非地址DNS查找回复可能包含一个或多个主机名，并且可能不包含IP地址，因此网络装置或计算装置可能需要解析与非地址记录DNS查找回复中包含的主机名有关的IP地址。因此，IPPND501将从其LAN网络接口之一接收地址记录DNS查找请求。由于IPPND501不能解析该IP地址，因此IPPND501将该地址记录DNS查找请求转发到与WAN接口之一连接的DNS服务器或另一路由器。IPPND501随后将从该DNS服务器或路由器接收地址记录DNS查找回复。如果一个或多个主机名当中的任一个主机名包含了在一个或多个DNNTP中使用的域名之一，则DNS监控器502、DNNTP存储器503和对比引擎504将创建一个或多个IPP。\n[0066] 在非地址记录DNS查找回复中包含的主机名有可能没有包含在DNNTP中使用的相同域名。例如，存在与域名“gmail.com”有关的DNNTP。在从与IPPND501的LAN连接的膝上型电脑接收到针对域名“gmail.com”的MX记录的非地址记录DNS查找请求并且将其发送到DNS服务器之后，通过IPPND501的WAN接口接收可能包含主机名“gmail-smtp-\nin.l.google.com”的非地址记录DNS查找回复。IPPND501可以将该非地址记录DNS查找回复转发给膝上型电脑。膝上型电脑随后将通过IPPND501向DNS服务器发出包含主机名“gmail-smtp-in.l.google.com”的地址记录DNS查找请求。一旦DNS服务器已经解析了主机名“gmail-smtp-in.l.google.com”的IP地址，将会从IPPND501向膝上型电脑发送具有例如“74.125.53.26”的IP地址的地址记录DNS查找回复。即使IP地址“74.125.53.26”的主机名“gmail-smtp-in.l.google.com”不包含域名“gmail.com”，对比引擎504也将针对“gmail.com”DNNTP创建具有IP地址“74.125.53.26”的IPP。对比引擎504能够基于由DNS监控器502提供的DNS查找消息的链来创建IPP。\n[0067] 在另一实施例中，IPPND501在接收到非地址记录DNS查找回复之后通过递送对应的地址记录DNS查找请求来自己解析与非地址记录DNS查找回复中包含的主机名有关的IP地址，并等待对应的地址记录DNS查找回复。通过主动地发出地址记录DNS查找请求，IPPND501能够在接收到对主机名的地址记录DNS查找请求之前解析非地址记录DNS查找回复中包含的主机名的对应IP地址，并因此在存在对应IP地址的情况下更早地创建IPP。IPP创建得越早，网络策略引擎506就能够具有越多的时间来准备IPP的推行。