[发明专利]网管设备中白名单的建立方法、装置、存储介质及处理器

说明书

本申请公开了一种网管设备中白名单的建立方法、装置、存储介质及处理器。该方法包括：对网络中的DNS流量的类型进行监听，得到监听结果，其中，监听结果中包括以下之一：DNS查询流量、DNS应答流量；将监听结果中的所有的域名信息与目标泛域名模版进行匹配，得到目标集合，其中，目标集合中每个域名之间关系为域名与子域名的关系；对目标集合中的元素进行解析，得到目标信息，其中，目标信息至少包括：多个目标域名以及每个目标域名对应的目标IP地址；将目标信息存储至目标白名单中，其中，目标白名单用于对上网流量进行管控。通过本申请，解决了相关技术中网管设备白名单只能对部分设备生效，使得第三方网络认证效率较低的问题。

技术领域

本申请涉及网络认证技术领域，具体而言，涉及一种网管设备中白名单的建立方法、装置、存储介质及处理器。

背景技术

在安全网络中，网络接入管理设备一般会要求我们再认证后接入网络访问网络资源，随着钉钉、飞书、企业微信等软件的推广，第三方认证接入方式逐渐成为一种受欢迎的接入方式。

针对这些第三方认证方式的接入，我们需要对第三方认证中需要进行通信的服务器域名对应的IP加入网管设备白名单，以便第三方认证流程可以在未认证的受管控终端上进行。以飞书认证为例，官方提供的域名白名单以泛域名的形式提供(*.pstatp.com,*.snssdk.com,*.feishucdn.com,*.feishu.cn)。

由于第三方接入认证泛域名白名单相关的子域名一直再不断变动现有的网管设备不能根据设定好的泛域名白名单模板及时放行对其子域名的访问，一般采用手动收集全部相关子域名(如，a.pstatp.com,b.pstatp.com……x.pstatp.com等)，并在网管设备将子域名设置例外，通过网管设备解析子域名后将对应的IP加入白名单。

且在企业应用时，由于企业一般出口网络会接入多个运营商，导致不同的设备向同样的DNS服务器解析域名，会出现不同IP的结果(不同运营商网络导致)，例如网管设备向114.114.114.114解析域名xxx.com得到IP 1.2.3.4并放行，部分设备与网管设备出口运营商一致(向114.114.114.114解析xxx.com得到IP 1.2.3.4)，部分设备与网管设备出口运营商不一致(向114.114.114.114解析域名xxx.com得到IP 6.6.6.6)，导致网管设备白名单只能对部分设备生效，使得第三方网络认证效率较低。

针对相关技术中网管设备白名单只能对部分设备生效，使得第三方网络认证效率较低的问题，目前尚未提出有效的解决方案。

发明内容

本申请的主要目的在于提供一种网管设备中白名单的建立方法、装置、存储介质及处理器，以解决相关技术中网管设备白名单只能对部分设备生效，使得第三方网络认证效率较低的问题。

为了实现上述目的，根据本申请的一个方面，提供了一种网管设备中白名单的建立方法。该方法包括：对网络中的DNS流量的类型进行监听，得到监听结果，其中，监听结果中包括以下之一：DNS查询流量、DNS应答流量；将监听结果中的所有的域名信息与目标泛域名模版进行匹配，得到目标集合，其中，目标集合包括以下之一：由多个目标查询域名组成的集合、由多个目标应答域名以及每个目标应答域名对应的IP地址组成的集合，其中，目标集合中每个域名之间关系为域名与子域名的关系；对目标集合中的元素进行解析，得到目标信息，其中，目标信息至少包括：多个目标域名以及每个目标域名对应的目标IP地址；将目标信息存储至目标白名单中，其中，目标白名单用于对上网流量进行管控。

进一步地，在对网络中的DNS流量的类型进行监听，得到监听结果之前，该方法还包括：采用目标核心交换机通过端口镜像的方式对DNS流量进行转发，以使目标网络管理设备获取并监听DNS流量。