(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN108023877A(43)申请公布日2018.05.11(21)申请号201711157927.6(22)申请日2017.11.20(71)申请人烽火通信科技股份有限公司地址430000湖北省武汉市东湖高新技术开发区高新四路6号(72)发明人夏敏阳琳峰崔忠正黄小龙魏婵金超(74)专利代理机构武汉智权专利代理事务所(特殊普通合伙)42225代理人彭程程(51)Int.Cl.H04L29/06(2006.01)H04L29/12(2006.01)权利要求书2页说明书4页附图1页(54)发明名称一种基于家庭网关实现防火墙域名控制的系统方法(57)摘要一种基于家庭网关实现防火墙域名控制的系统方法，涉及家庭网关领域，系统包括DNS模块和防火墙模块，防火墙模块又包括域名数据库和域名规则模块，步骤包括：网络管理员在所述域名数据库中配置需要访问控制的域名，在所述域名规则模块中配置所述域名对应的IP地址和对应关系；DNS模块接收来自LAN侧的DNS查询，将其向WAN侧转发；DNS模块将回复报文转发给LAN侧用户，同时将需要访问控制的域名和对应的IP发送给防火墙模块；用户向对应的IP地址发起HTTP请求，防火墙模块对用户进行域名控制。本发明避免域名访问中存在的控制漏洞，保证需要控制访问的域名都被成功控制。CN108023877ACN108023877A权利要求书1/2页1.一种基于家庭网关实现防火墙域名控制的系统，设置于家庭网关内，其特征在于，包括：DNS模块，其用于向WAN侧转发针对域名的DNS查询，并将WAN侧的回复报文转发给LAN侧，所述回复报文包括域名和对应的IP地址；当回复报文中域名为需要访问控制的域名时，DNS模块还用于将域名和对应的IP地址发送给防火墙模块；防火墙模块，其包括域名数据库和域名规则模块，域名数据库存储需要访问控制的域名，域名规则模块存储需要访问控制域名对应的IP地址及对应关系，域名规则模块用于更新内部存储的IP地址和对应关系，防火墙模块用于根据对应的IP地址及对应关系，对来自用户的域名进行控制。2.如权利要求1所述的基于家庭网关实现防火墙域名控制的系统，其特征在于：所述DNS模块转发的DNS查询来自LAN侧的用户，所述DNS查询是针对域名获取对应的IP地址的查询请求。3.如权利要求1所述的基于家庭网关实现防火墙域名控制的系统，其特征在于：所述DNS模块接收的回复报文来自WAN侧DNS服务器。4.如权利要求1所述的基于家庭网关实现防火墙域名控制的系统，其特征在于：所述DNS模块用于侦听需要访问控制的域名，所述需要访问控制的域名来自防火墙模块的域名数据库。5.如权利要求1所述的基于家庭网关实现防火墙域名控制的系统，其特征在于：防火墙模块收到来自DNS模块的域名和对应的IP地址，当对应的IP地址不在域名规则模块中，使用所述对应的IP地址和对应关系更新所述域名规则模块。6.一种基于权利要求1所述系统的基于家庭网关实现防火墙域名控制的方法，其特征在于，包括：S1.网络管理员在所述域名数据库中配置需要访问控制的域名，在所述域名规则模块中配置所述域名对应的IP地址和对应关系；S2.DNS模块将来自LAN侧的DNS查询向WAN侧转发，并将WAN侧的回复报文转发给LAN侧；当回复报文中的域名为需要访问控制的域名时，DNS模块将域名和对应的IP地址发送给防火墙模块进行更新；S3.用户向对应的IP地址发起HTTP请求到家庭网关，若对应的IP地址存在于域名规则模块中，防火墙模块对用户进行域名控制。7.如权利要求6所述的基于家庭网关实现防火墙域名控制的方法，其特征在于：所述防火墙模块启动后，将域名数据库中存储的需要访问控制的域名通知所述DNS模块侦听。8.如权利要求6所述的基于家庭网关实现防火墙域名控制的方法，其特征在于：所述S2中，连接家庭网关的用户通过在浏览器输入域名发起上网请求，在LAN侧发起针对所述域名的DNS查询，所述DNS模块将DNS查询转发给WAN侧的DNS服务器，并接收DNS服务器返回的回复报文。9.如权利要求6所述的基于家庭网关实现防火墙域名控制的方法，其特征在于：所述S2中，防火墙模块收到域名和对应的IP地址后，判断所述对应的IP地址是否存在于域名规则模块中，若否，使用域名对应的IP地址和对应关系进行更新，若是，不做处理。10.如权利要求6-9任一项所述的基于家庭网关实现防火墙域名控制的方法，其特征在2CN108023877A权利要求书2/2页于：所述域名对应的IP地址至少为一个。3CN108023877A说明书1/4页一种基于家庭网关实现防火墙域名控制的系统方法技术领域[0001]本发明涉及家庭网关领域，具体来讲涉及一种基于家庭网关实现防火墙域