一种基于路由器的网络访问控制方法、路由器和系统的制作方法

一种基于路由器的网络访问控制方法、路由器和系统的制作方法【专利摘要】本发明实施例提供了一种基于路由器的网络访问控制方法、路由器和系统，在路由器一侧，所述的方法包括：接收服务器下发的监控内容，依据所述监控内容配置自身的网络监控信息；当检测到被监控设备时，按照所述网络监控信息对所述被监控设备的报文数据进行检测；当检测结果为不通过时，丢弃所述数据报文以禁止被监控设备访问所述数据报文对应网页；当检测结果为通过时，将所述数据报文发送到网络。从而路由器可以对被监控设备的网络访问进行控制，丢弃对不良网站等非法数据进行访问的数据报文，防止造成数据资源的浪费同时保护设备安全。【专利说明】一种基于路由器的网络访问控制方法、路由器和系统
技术领域：
[0001]本发明涉及通信
技术领域：
，特别是涉及一种基于路由器的网络访问控制方法，一种路由器，以及一种网络访问控制系统。【
背景技术：
】[0002]路由器(Router)用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时，可通过路由器的路由功能来完成。因此，路由器具有判断网络地址和选择IP路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网，属于网络层的一种互联设备。因此用户设备可以通过路由器连接互联网。[0003]但是，目前网络中提供用户所需各种资源的同时，也充斥着很多不良信息，如暴力，黄色网站等，而使用路由器连接网络时可能会访问到具有不良信息的网站，访问不良网站不但会造成数据资源的浪费，网站中还可能存在病毒等恶意内容影响用户设备的安全。【
发明内容】[0004]本发明实施例所要解决的技术问题是提供一种基于路由器的网络访问控制方法，以对访问的网站进行控制。[0005]相应的，本发明实施例还提供了一种路由器和一种网络访问控制系统，用以保证上述方法的实现及应用。[0006]为了解决上述问题，本发明实施例公开了一种基于路由器的网络访问控制方法，其特征在于，在路由器一侧，包括:接收服务器下发的监控内容，依据所述监控内容配置自身的网络监控信息；当检测到被监控设备时，按照所述网络监控信息对所述被监控设备的报文数据进行检测；当检测结果为不通过时，丢弃所述数据报文以禁止被监控设备访问所述数据报文对应网页；当检测结果为通过时，将所述数据报文发送到网络。[0007]本发明实施例还公开了一种路由器，包括:接收并配置模块，用于接收服务器下发的监控内容，依据所述监控内容配置自身的网络监控信息；报文检测模块，用于当检测到被监控设备时，按照所述网络监控信息对所述被监控设备的报文数据进行检测；访问控制模块，用于当检测结果为不通过时，丢弃所述数据报文以禁止被监控设备访问所述数据报文对应网页；当检测结果为通过时，将所述数据报文发送到网络。[0008]与现有技术相比，本发明实施例的基于路由器的网络访问控制方法、路由器和系统包括以下优点:[0009]路由器基于服务器下发的监控内容配置网络监控信息，从而确定要监控的数据报文信息，在被监控设备发送数据报文给路由器后，路由器按照所述网络监控信息对所述被监控设备的报文数据进行检测，当检测结果为不通过时，确定数据报文具有非法内容，丢弃所述数据报文以禁止被监控设备访问所述数据报文对应网页，当检测结果为通过时确定数据报文为合法数据，将所述数据报文发送到网络，从而路由器可以对被监控设备的网络访问进行控制，丢弃对不良网站等非法数据进行访问的数据报文，防止造成数据资源的浪费同时保护设备安全。【附图说明】[0010]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。[0011]图1是本发明的一种基于路由器的网络访问控制方法实施例的步骤流程图；[0012]图2是本发明的另一种基于路由器的网络访问控制方法实施例中路由器配置的步骤流程图；[0013]图3是本发明的另一种基于路由器的网络访问控制方法实施例中访问控制的步骤流程图；[0014]图4是本发明实施例的一种访问控制系统的交互示意图；[0015]图5是本发明一种路由器实施例的结构框图；[0016]图6是本发明另一种路由器实施例的结构框图；[0017]图7是本发明一种网络访问控制系统实施例的结构框图。【具体实施方式】[0018]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。[0019]本发明实施例的核心构思之一在于，一种基于路由器的网络访问控制方法、路由器和系统，以对访问的网站进行控制。路由器基于服务器下发的监控内容配置网络监控信息，从而确定要监控的数据报文信息，在被监控设备发送数据报文给路由器后，路由器按照所述网络监控信息对所述被监控设备的报文数据进行检测，当检测结果为不通过时，确定数据报文具有非法内容，丢弃所述数据报文以禁止被监控设备访问所述数据报文对应网页，当检测结果为通过时确定数据报文为合法数据，将所述数据报文发送到网络，从而路由器可以对被监控设备的网络访问进行控制，丢弃对不良网站等非法数据进行访问的数据报文，防止造成数据资源的浪费同时保护设备安全。[0020]实施例一[0021]参照图1，示出了本发明的一种基于路由器的网络访问控制方法实施例的步骤流程图，具体可以包括如下步骤:[0022]步骤102，接收服务器下发的监控内容，依据所述监控内容配置自身的网络监控信息。[0023]本实施例中，为了对用户通过路由器访问的网络地址进行监控，通过服务器配置路由器的网络访问控制规则，实现路由器对连接的设备的数据报文的控制。[0024]服务器通过数据分析等方式确定监控内容，所述监控内容是服务器通过数据分析确定的对网络访问数据进行监控的信息内容。服务器将监控内容下发给路由器，路由器依据该监控内容配置相应的网络监控信息，该网络监控信息用于路由器对已连接设备的数据报文进行监控。[0025]本发明实施例中，将用户使用的能够连接网络的各种设备均称为用户设备，即用户设备包括各种能够连接网络的计算设备，如计算机，又如平板电脑、手机等移动设备。其中，通过路由器连接网络的用户设备称为局域网设备，不通过路由器直接连接网络的设备称为外网设备，例如手机通过3G、4G等通信网络连接互联网时该手机为外网设备，而手机等移动设备开启WIFI(WIreless-Fidelity，无线保真)连接路由器进而连接网络时手机为局域网设备。[0026]本实施例中，将路由器作为网络访问控制的监控设备，则从局域网设备中选取需要监控的设备作为被监控设备，即被监控设备是部分或全部的局域网设备。[0027]步骤104，当检测到被监控设备时，按照所述网络监控信息对所述被监控设备的报文数据进行检测。[0028]用户通过局域网设备连接路由器访问网络时，路由器对接入的局域网设备进行监控，在检测到当前发送数据报文的移动设备为被监控设备时，按照所述网络监控信息对所述被监控设备的报文数据进行检测，依据检测结果对报文数据进行相应的处理操作。其中合法的数据报文对应检测结果为通过，不合法的数据报文对应检测结果为不通过。[0029]步骤106，丢弃所述数据报文。[0030]当检测结果为不通过时，表征该数据报文是非法的，即其请求的禁止访问的网络数据，路由器丢弃该数据报文，以禁止被监控设备(即被监控的局域网设备)访问所述数据报文对应网页。[0031]因而对于不良网站等非法数据，可以将其配置到网络监控信息中，从而在路由器端截断对非法数据的请求，不但可以节省数据资源，还能防止这些非法数据对应网站中病毒等恶意内容对局域网设备安全的影响。[0032]步骤108，将所述数据报文发送到网络。[0033]当检测结果为通过时，表征该数据报文不存在非法内容，路由器将所述数据报文正常转发到网络中，例如正常发送数据报文来请求网页，从而所述被监控设备能够正常访问相应的网页页面。[0034]综上所述，路由器基于服务器下发的监控内容配置网络监控信息，从而确定要监控的数据报文信息，在被监控设备发送数据报文给路由器后，路由器按照所述网络监控信息对所述被监控设备的报文数据进行检测，当数据结果为不通过时，确定数据报文具有非法内容，丢弃所述数据报文以禁止被监控设备访问所述数据报文对应网页，当数据结果为通过时确定数据报文为合法数据，将所述数据报文发送到网络，从而路由器可以对被监控设备的网络访问进行控制，丢弃对不良网站等非法数据进行访问的数据报文，防止造成数据资源的浪费同时保护设备安全。[0035]实施例二[0036]在上述实施例的基础上，本实施例详细论述基于路由器的网络浏览控制方法。[0037]路由器在对局域网设备进行访问控制时，需要预先在路由器中配置监控的内容，而后路由器对接入的局域网设备进行监控。[0038]1、路由器的配置[0039]参照图2，示出了本发明的另一种基于路由器的网络访问控制方法实施例中路由器配置的步骤流程图，具体可以包括如下步骤:[0040]步骤202，收集接入所述路由器的各局域网设备的设备信息生成局域网设备列表。[0041]局域网设备在接入路由器后可以通过路由器连接网络，路由器会对接入的局域网设备的设备信息进行收集，生成相应的局域网设备列表。即该局域网列表用于记录接入路由器的局域网设备的设备彳目息，如设备名称、型号、标识、设备的MAC(MediaAccessControI，介质访问控制)地址，接入时间等信息。[0042]步骤204，反馈所述局域网设备列表中的设备信息以供用户选择被监控设备。[0043]步骤206，依据用户的指示信息确定被监控设备，依据所述局域网设备列表获取所述被监控设备的设备信息添加到监控列表中。[0044]用户若要对设备进行监控，例如家长要指定监控的儿童设备，用户可以通过设备与路由器交互设置被监控设备。其中，用户可以通过路由器的管理页面即web页面或移动设备的APP(Applicat1n，应用程序)设置路由器所构成局域网中的被监控设备。[0045]A、web页面的设置[0046]用户使用局域网设备连接路由器访问路由器的web页面，该web页面上会反馈路由器收集的局域网设备列表中的设备信息，通过设备信息标识出不同的局域网设备，例如设备名称、设备型号、设备MAC地址等信息中的至少一项。用户可以web页面上选择要监控的设备，例如家里儿童使用的儿童机，又如Ipad等，在选择完成后可以发送指示信息，该指示信息中携带有设备的设备标识，通过该设备标识确定用户选择的局域设备，将选择的局域网设备设置为被监控设备，将被监控设备的设备信息如设备名称、MAC地址等添加到监控列表中。[0047]B、移动设备APP页面的设置[0048]如手机等移动设备可以通过路由器或通信网络连接互联网，在APP中设置被监控设备，即一种方式是移动设备自身为局域网设备时通过APP页面进行被监控设备的设置，另一种方式是移动设备作为外网设备通过APP页面进行被监控设备的设置。该app是安装在手机上的，对路由器进行功能控制的app。[0049]其中，移动设备作为局域网设备时，移动设备通过路由器连接互联网，在移动设备中启动APP后，进入路由器的监控设置相关页面后，该页面上会反馈路由器收集的局域网设备列表中的设备信息，此时可以理解的是该局域网设备列表中具有该移动设备的设备信息，页面中通过设备信息标识出不同的局域网设备，例如设备名称、设备型号、设备MAC地址等信息中的至少一项。用户可以web页面上选择要监控的设备，在选择完成后可以发送指示信息，该指示信息中携带有设备的设备标识，通过该设备标识确定用户选择的局域设备，将选择的局域网设备设置为被监控设备，将被监控设备的设备信息如设备名称、MAC地址等添加到监控列表中。[0050]移动设备作为外网设备时，移动设备通过通信网络如2G、3G、4G等网络连接互联网，在移动设备中启动APP后，此时手机与路由器通过云端服务器进行通信，进入路由器的监控设置相关页面后，该页面上会反馈路由器收集的局域网设备列表中的设备信息，此时可以理解的是该局域网设备列表中可以不具有该移动设备的设备信息，当然若该设备曾经通过该路由器连接过互联网，则局域网设备列表中是会具有该移动设备的设备信息的。页面中通过设备信息标识出不同的局域网设备，例如设备名称、设备型号、设备MAC地址等信息中的至少一项。用户可以在app的设置页面上选择要监控的设备，在选择完成后可以发送指示信息，该指示信息中携带有设备的设备标识，通过该设备标识确定用户选择的局域设备，将选择的局域网设备设置为被监控设备，将被监控设备的设备信息如设备名称、MAC地址等添加到监控列表中。[0051]步骤208，接收服务器下发的监控内容。[0052]路由器初次对局域网设备进行访问控制时，可以接收服务器下发的监控内容，从而依据该监控内容配置路由器的网络监控信息。[0053]本发明一个可选实施例中，接收服务器更新的监控内容；依据所述更新的监控内容更新所述网络监控信息。[0054]本实施例中，服务器还可以从路由器中获取反馈的数据报文，以及收集网络中的网络数据等信息，通过对上述信息的分析以及设置的规则等更新监控内容。例如，通过互联网将数据报文后收集的网页信息等传输到平台的数据服务器后，通过云平台的大数据智能中心，可以对上述数据信息分析确定对应数据帧信息，从而形成更新的上网规则生成对应的监控内容，并将更新的监控内同发送给路由器，以更新路由器的网络监控信息。[0055]步骤210，从所述监控内容中获取待监控网址数据。[0056]步骤212，将所述待监控网址数据配置到所述路由器的防火墙列表中，将所述防火墙列表作为网络监控信息。[0057]本发明实施例中，监控内容包括以下至少一项:待监控网址数据、时间数据和报文识别规则，通过上述监控内容可以配置相应的监控项目。[0058]其中，待监控网址数据是禁止访问网站的网址数据，如为IP地址，又如为网站的根域名等，从所述监控内容中获取待监控网址数据，将待监控网址数据配置到所述路由器的防火墙列表Iptable中，将防火墙列表作为网络监控信息之一，后续对被监控设备进行监控。[0059]例如，待监控网址数据中包括一IP地址为1.1.0.0，假设其对应网址为暴力非法网站，则会将IP地址1.1.0.0设置到路由器的Iptable表中。[0060]步骤214，从所述监控内容中获取所述时间数据。[0061]步骤216，依据所述时间数据配置网络监控信息的监控时间；[0062]时间数据是对访问网络的时间进行监控的数据，如设置为周一到周六禁止访问网络，又如设置为每天18点到20点之外的时间禁止访问网络等。从所述监控内容中获取所述时间数据，依据所述时间数据配置网络监控信息的监控时间，该监控时间可以配置为禁止访问网络的时间，也可以配置为允许访问网络的时间，可以依据实际需求设备，本发明实施例对此不作限定。[0063]步骤218，从所述监控内容中获取报文识别规则。[0064]步骤220，将所述报文识别规则作为网络监控信息存储到所述路由器的本地缓存中。[0065]报文识别规则是是路由器执行网络访问控制的时对报文进行识别的相关规则，从所述监控内容中获取报文识别规则，将所述报文识别规则作为网络监控信息，然后将报文识别规则存储到所述路由器的本地缓存中。[0066]从而通过路由器收集的局域网设备列表配置被监控设备，通过下发的监控内容配置网络监控信息，可以对网址、时间以及访问内容等分别进行配置，生成准确的网络监控信息，提供更加准确的访问控制。[0067]2、访问控制[0068]参照图3，示出了本发明的另一种基于路由器的网络访问控制方法实施例中访问控制的步骤流程图，具体可以包括如下步骤:[0069]步骤302，接收数据报文。[0070]步骤304，依据所述数据报文确定发送报文的局域网设备。[0071]步骤306，检测所述局域网设备是否是监控列表中的被监控设备。[0072]用户使用局域网设备要通过路由器访问网络，需要先发送请求的数据报文给路由器，如数据报文为TCP/IP(Transmiss1nControlProtocol/InternetProtocol，传输控制协议/因特网互联协议)报文，对该数据报文进行分析确定发送该报文的局域网设备的MAC地址，基于该MAC地址查找监控列表中，确定该MAC地址是否是监控列表中被监控设备的MAC地址。[0073]若是监控列表中被监控设备的MAC地址，则执行步骤308。若不是监控列表中被监控设备的MAC地址，执行步骤314。[0074]步骤308，获取当前的时间信息，检测所述时间信息是否位于监控时间内。[0075]针对被监控设备需要对访问进行控制，其一是对访问网络的时间进行控制。获取当前的时间信息即访问网络的时间，当监控时间配置为禁止访问网络的时间时，检测所述时间信息是否位于监控时间内。若位于监控时间内则执行步骤316;若非位于监控时间内执行步骤310。[0076]当然，若监控时间配置为允许访问网络的时间时，则可以检测所述时间信息是否位于监控时间外。即在禁止访问网络的时间丢弃网络报文，不允许被监控设备访问网络。[0077]例如，每天18点到20点之外的时间禁止访问网络，若当前的时间信息未21点，则丢弃网络报文禁止访问网络，若当前的时间信息为19点，则为允许访问网络的时间。[0078]步骤310，检测所述被监控设备的报文数据中请求访问的网络地址是否在防火墙列表内。[0079]除了对访问时间进行控制之外，还可以对网络的网络地址进行控制，即若当前的时间信息未允许访问网络的时间，则检测所述被监控设备的报文数据中请求访问的网络地址是否在防火墙列表内。[0080]防火墙列表中配置有禁止访问的网址数据，因此确定报文数据中请求访问的网络地址是否在防火墙列表内，若在防火墙列表内，执行步骤316，若不在防火墙列表内执行步骤312。当然若不对数据报文进行识别，则在判断请求访问的网络地址不在防火墙列表内后可以直接执行步骤314。[0081]例如，请求访问的网络地址为1.1.0.0，通过检测确定其在路由器的Iptable表中，则丢弃报文进行访问该网络地址。[0082]步骤312，按照本地缓存中的报文识别规则确定是否能够识别所述数据报文。[0083]本发明实施例中网络访问控制还包括对数据报文的识别，即当在未允许访问网络的时间，且报文数据中请求访问的网络地址不在防火墙列表内时，仍然可以继续按照本地缓存中的报文识别规则对数据报文进行识别，确定能够识别该数据报文。[0084]若能够识别数据报文，执行步骤314;若不能识别数据报文，执行步骤318。[0085]步骤314，将所述数据报文发送到网络。[0086]当发送数据报文的局域网设备不是被监控设备，无需对数据报文进行检测，可以直接将数据报文发送到网络，即路由器连接的互联网等外部网络。[0087]在当前的时间信息未允许访问网络的时间，报文数据中请求访问的网络地址不在防火墙列表内，可以直接将数据报文发送到网络，使得被监控设备能够访问该数据报文对应请求的网页。[0088]或者，在当前的时间信息未允许访问网络的时间，报文数据中请求访问的网络地址不在防火墙列表内，且按照本地缓存中的报文识别规则能够识别数据报文时，表征请求的数据报文为合法数据，可以直接将数据报文发送到网络，使得被监控设备能够访问该数据报文对应请求的网页。[0089]步骤316，丢弃所述数据报文。[0090]在当前的时间信息为禁止访问网络的时间时，丢弃网络报文，禁止该被监控设备访问网络。[0091]在当前的时间信息未允许访问网络的时间，但报文数据中请求访问的网络地址在防火墙列表内，表征报文数据请求访问的网络地址包含非法数据，丢弃网络报文，禁止该被监控设备访问网络。[0092]步骤318，复制所述数据报文，将复制的数据报文上传给服务器。[0093]在当前的时间信息未允许访问网络的时间，报文数据中请求访问的网络地址不在防火墙列表内，但是按照本地缓存中的报文识别规则无法识别数据报文时，表征请求的数据报文为不识别的数据，复制所述数据报文，将复制的数据报文上传给服务器。后续服务器可以依据该数据包进行分析，确定该报文数据是否合法，从而基于合法与否的分析结果确定后续处理操作，例如分析确定数据报文为非法数据，则可以将其作为监控内容后续更新网络监控信息。[0094]从而路由器通过监控列表对接入的局域网设备进行监控，通过配置的网络监控信息对被监控设备的数据报文进行检测，通过时间、访问网址以及数据报文内容等各方面对数据报文进行全面的检测，更加准确的对被监控设备的访问进行控制。[0095]可以理解的是，本发明实施例并不受所描述的动作顺序的限制，某些步骤可以采用其他顺序或者同时进行，例如不执行步骤312，又如在步骤308之前执行步骤312等，因此本领域技术人员知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。[0096]本发明实施例中，一种访问控制系统的交互示意图如图4所示。该访问控制系统包括用户设备、路由器、云平台服务器和外部网络。用户设备包括局域网设备和外网设备。[0097]用户设备接入路由器后确定其为局域网设备，此后发送TCP/IP报文到路由器，路由器中的数据流监控进程检测该TCP/IP报文的源MAC是否位于被监控设备列表中。当确定源MAC位于被监控设备列表中，将该数据报文转交给安全检测进程，否则，即确定源MAC非位于被监控设备列表中，表征数据报文对应局域网设备是非监控的设备，直接将数据报文转发到外部网络，如互联网。[0098]安全检测进程根据配置的网络监控信息对数据报文进行分析，包括分析访问网络的时间信息(即上网时间)，请求访问的网络地址(即目的IP)以及本地缓存的报文识别规则等。如果通过网络监控信息的分析，则路由器转发TCP/IP报文到互联网中；如果通过网络监控信息分析确定该TCP/IP报文为非法数据，则禁止被监控设备访问网络，安全检测进程直接丢弃该报文；如果通过网络监控信息分析确定无法识别TCP/IP报文的数据，则拷贝一份TCP/IP报文，通过互联网传输到云平台的数据服务器中。[0099]后续TCP/IP报文通过大数据智能中心，分析TCP/IP报文的数据帧，形成新的上网规则，即更新的监控内容，并下发更新的监控内容到路由器中，路由器的安全监测进程基于该监控内容更新网络监控信息。[0100]本发明实施例中，通过网络流分析在路由器侧截获需要监控的数据报文的数据流，通过路由器内置的进程进行分析，并且可以转发到云平台的服务器中与安全数据库匹配，一旦发现有非法的数据流，路由器可以自动屏蔽该设备与非法网站的数据连接。[0101]本实施例中，通过服务器下发的监控内容自动配置路由器的网络监控信息，不需要用户了解复杂的网络安全协议，配置简单，用户只需指示要监控的局域网设备，其余的基于云平台的服务器与路由器配置即可自动实现设备的访问控制。[0102]本实施例将大量的逻辑处理放在服务器侧，如对数据分析确定监控内容等，从而降低路由器的硬件成本，可以降低路由器的CPU配置。[0103]并且，通过在服务器侧不停的分析数据，并不断的更新服务器侧的安全数据库以及监控内容，使得路由器配置的网络监控信息也不断更新，从而准确的控制网络的访问，使得网络访问更加安全。[0104]需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。[0105]实施例三[0106]在上述实施例的基础上，本实施例还提供了一种路由器。[0107]参照图5，示出了本发明一种路由器实施例的结构框图，具体可以包括如下模块:[0108]接收并配置模块502，用于接收服务器下发的监控内容，依据所述监控内容配置自身的网络监控信息。[0109]报文检测模块504，用于当检测到被监控设备时，按照所述网络监控信息对所述被监控设备的报文数据进行检测。[0110]访问控制模块506，用于当当检测结果为不通过时，丢弃所述数据报文以禁止被监控设备访问所述数据报文对应网页；当检测结果为通过时，将所述数据报文发送到网络。[0111]综上所述，路由器基于服务器下发的监控内容配置网络监控信息，从而确定要监控的数据报文信息，在被监控设备发送数据报文给路由器后，路由器按照所述网络监控信息对所述被监控设备的报文数据进行检测，当检测结果为不通过时，确定数据报文具有非法内容，丢弃所述数据报文以禁止被监控设备访问所述数据报文对应网页，当检测结果为通过时确定数据报文为合法数据，将所述数据报文发送到网络，从而路由器可以对被监控设备的网络访问进行控制，丢弃对不良网站等非法数据进行访问的数据报文，防止造成数据资源的浪费同时保护设备安全。[0112]参照图6，示出了本发明另一种路由器实施例的结构框图，具体可以包括如下模块:[0113]接收并配置模块602，用于接收依据服务器下发的监控内容，依据所述监控内容配置自身的网络监控信息。[0114]报文检测模块604，用于当检测到被监控设备时，按照所述网络监控信息对所述被监控设备的报文数据进行检测。[0115]访问控制模块606，用于当检测结果为不通过时，丢弃所述数据报文以禁止被监控设备访问所述数据报文对应网页；当检测结果为通过时，将所述数据报文发送到网络以使所述被监控设备正常访问所述数据报文对应网页；当检测结果为不识别时，将所述数据报文上传给服务器进行分析。[0116]本发明一个可选实施例中，所述监控内容包括以下至少一项:待监控网址数据、时间数据和识别规则。[0117]所述接收并配置模块602，包括:[0118]网址配置子模块60202，用于从所述监控内容中获取待监控网址数据；将所述待监控网址数据配置到所述路由器的防火墙列表中，将所述防火墙列表作为网络监控信息。[0119]时间配置子模块60204，用于从所述监控内容中获取所述时间数据，依据所述时间数据配置网络监控信息的监控时间。[0120]识别规则配置子模块60206，用于从所述监控内容中获取报文识别规则，将所述报文识别规则作为网络监控信息存储到所述路由器的本地缓存中。[0121]所述报文检测模块604，包括:[0122]网址检测子模块60402，用于检测所述被监控设备的报文数据中请求访问的网络地址是否在防火墙列表内；当所述请求访问的网络地址在防火墙列表中，确认所述数据报文与所述网络监控信息匹配，记录检测结果为不通过；当所述请求访问的网络地址不在防火墙列表中，确认所述数据报文与所述网络监控信息不匹配，记录检测结果为通过。[0123]时间检测子模块60404，用于获取当前的时间信息，检测所述时间信息是否位于监控时间内；当所述时间信息位于监控时间内，记录检测结果为不通过；当所述时间信息不位于监控时间内，执行检测请求访问的网络地址是否在防火墙列表内的步骤。[0124]识别规则检测子模块60406，用于按照本地缓存中的报文识别规则对所述数据报文进行识别，当无法识别所述数据报文时，记录检测结果为不识别，执行将所述数据报文发送到网络的步骤以上传给服务器进行分析；当能够识别所述数据报文时，执行将所述数据报文发送到网络的步骤以使所述被监控设备访问所述数据报文对应的网页。[0125]本发明另一个可选实施例中，所述接收并配置模块602，还用于获取服务器更新的监控内容；依据所述更新的监控内容更新所述网络监控信息。[0126]被监控设备配置模块608，用于收集接入所述路由器的各局域网设备的设备信息生成局域网设备列表；反馈所述局域网设备列表中的设备信息以供用户选择被监控设备；依据用户的指示信息从所述局域网设备列表中选择局域网设备作为被监控设备，获取所述被监控设备的设备信息添加到监控列表中。[0127]设备检测模块610，接收局域网设备发送的数据报文，依据所述数据报文获取局域网设备的地址信息；依据所述地址信息检测所述局域网设备是否为监控列表中配置的被监控设备；当所述局域网设备为非被监控设备时，将所述数据报文发送到网络。[0128]实施例四[0129]在上述实施例的基础上，本实施例还提供了一种网络访问控制系统。[0130]参照图7，示出了本发明一种网络访问控制系统实施例的结构框图。[0131]该网络访问控制系统包括:用户设备702、服务器704和如上述实施例三所述路由器706。[0132]本发明实施例中，通过网络流分析在路由器侧截获需要监控的数据报文的数据流，通过路由器内置的进程进行分析，并且可以转发到云平台的服务器中与安全数据库匹配，一旦发现有非法的数据流，路由器可以自动屏蔽该设备与非法网站的数据连接。[0133]本实施例中，通过服务器下发的监控内容自动配置路由器的网络监控信息，不需要用户了解复杂的网络安全协议，配置简单，用户只需指示要监控的用户设备，其余的基于云平台的服务器与路由器配置即可自动实现设备的访问控制。[0134]本实施例将大量的逻辑处理放在服务器侧，如对数据分析确定监控内容等，从而降低路由器的硬件成本，可以降低路由器的CPU配置。[0135]并且，通过在服务器侧不停的分析数据，并不断的更新服务器侧的安全数据库以及监控内容，使得路由器配置的网络监控信息也不断更新，从而准确的控制网络的访问，使得网络访问更加安全。[0136]对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。[0137]本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。[0138]本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。[0139]本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。[0140]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。[0141]这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。[0142]尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。[0143]最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。[0144]以上对本发明所提供的一种基于路由器的网络访问控制方法，一种路由器，以及一种网络访问控制系统，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。【主权项】1.一种基于路由器的网络访问控制方法，其特征在于，在路由器一侧，包括:接收服务器下发的监控内容，依据所述监控内容配置自身的网络监控信息；当检测到被监控设备时，按照所述网络监控信息对所述被监控设备的报文数据进行检测；当检测结果为不通过时，丢弃所述数据报文以禁止被监控设备访问所述数据报文对应网页；当检测结果为通过时，将所述数据报文发送到网络。2.根据权利要求1所述的方法，其特征在于，所述监控内容包括待监控网址数据，所述依据所述监控内容配置自身的网络监控信息，包括:从所述监控内容中获取待监控网址数据；将所述待监控网址数据配置到所述路由器的防火墙列表中，将所述防火墙列表作为网络监控信息。3.根据权利要求2所述的方法，其特征在于，所述网络监控信息对所述被监控设备的报文数据进行检测，包括:检测所述被监控设备的报文数据中请求访问的网络地址是否在防火墙列表内；当所述请求访问的网络地址在防火墙列表中，确认所述数据报文与所述网络监控信息匹配，记录检测结果为不通过；当所述请求访问的网络地址不在防火墙列表中，确认所述数据报文与所述网络监控信息不匹配，记录检测结果为通过。4.根据权利要求3所述的方法，其特征在于，所述监控内容还包括:时间数据；所述依据所述监控内容配置自身的网络监控信息，还包括:从所述监控内容中获取所述时间数据，依据所述时间数据配置所述网络监控信息的监控时间；所述检测所述被监控设备的报文数据中请求访问的网络地址是否在防火墙列表内之前，还包括:获取当前的时间信息，检测所述时间信息是否位于监控时间内；当所述时间信息位于监控时间内，记录检测结果为不通过；当所述时间信息不位于监控时间内，执行检测请求访问的网络地址是否在防火墙列表内的步骤。5.根据权利要求3所述的方法，其特征在于，所述监控内容还包括:报文识别规则，所述依据所述监控内容配置自身的网络监控信息，包括:从所述监控内容中获取报文识别规则，将所述报文识别规则作为所述网络监控信息存储到所述路由器的本地缓存中；检测到请求访问的网络地址不在防火墙列表之后，所述的方法还包括:按照本地缓存中的报文识别规则对所述数据报文进行识别；当无法识别所述数据报文时，记录检测结果为不识别，执行将所述数据报文发送到网络的步骤以上传给服务器进行分析；当能够识别所述数据报文时，执行将所述数据报文发送到网络的步骤以使所述被监控设备访问所述数据报文对应的网页。6.根据权利要求1至5任一项所述的方法，其特征在于，还包括:接收服务器更新的监控内容；依据所述更新的监控内容更新所述网络监控信息。7.根据权利要求1所述的方法，其特征在于，还包括:收集接入所述路由器的各局域网设备的设备信息生成局域网设备列表；反馈所述局域网设备列表中的设备信息以供用户选择被监控设备；依据用户的指示信息从所述局域网设备列表中选择被监控设备，获取所述被监控设备的设备信息添加到监控列表中。8.根据权利要求7所述的方法，其特征在于，还包括:接收局域网设备发送的数据报文，依据所述数据报文获取局域网设备的地址信息；依据所述地址信息检测所述局域网设备是否为监控列表中配置的被监控设备；当所述局域网设备为非被监控设备时，将所述数据报文发送到网络。9.一种路由器，其特征在于，包括:接收并配置模块，用于接收服务器下发的监控内容，依据所述监控内容配置自身的网络监控信息；报文检测模块，用于当检测到被监控设备时，按照所述网络监控信息对所述被监控设备的报文数据进行检测；访问控制模块，用于当检测结果为不通过时，丢弃所述数据报文以禁止被监控设备访问所述数据报文对应网页；当检测结果为通过时，将所述数据报文发送到网络。10.根据权利要求9所述的路由器，其特征在于，所述监控内容包括待监控网址数据，所述接收并配置模块，包括:网址配置子模块，用于从所述监控内容中获取待监控网址数据；将所述待监控网址数据配置到所述路由器的防火墙列表中，将所述防火墙列表作为网络监控信息。11.根据权利要求10所述的路由器，其特征在于，所述网络监控信息对所述报文检测丰吴块，包括:网址检测子模块，用于检测所述被监控设备的报文数据中请求访问的网络地址是否在防火墙列表内；当所述请求访问的网络地址在防火墙列表中，确认所述数据报文与所述网络监控信息匹配，记录检测结果为不通过；当所述请求访问的网络地址不在防火墙列表中，确认所述数据报文与所述网络监控信息不匹配，记录检测结果为通过。12.根据权利要求11所述的路由器，其特征在于，所述监控内容还包括:时间数据；所述接收并配置模块，还包括:时间配置子模块，用于从所述监控内容中获取所述时间数据，依据所述时间数据配置所述网络监控信息的监控时间；所述报文检测模块，还包括:时间检测子模块，用于获取当前的时间信息，检测所述时间信息是否位于监控时间内；当所述时间信息位于监控时间内，记录检测结果为不通过；当所述时间信息不位于监控时间内，调用网址检测子模块执行检测请求访问的网络地址是否在防火墙列表内的步骤。13.根据权利要求11所述的路由器，其特征在于，所述监控内容还包括:报文识别规则，所述接收并配置模块，包括:识别规则配置子模块，用于从所述监控内容中获取报文识别规则，将所述报文识别规则作为所述网络监控信息存储到所述路由器的本地缓存中；所述报文检测模块，还包括:识别规则检测子模块，用于按照本地缓存中的报文识别规则对所述数据报文进行识别，当无法识别所述数据报文时，记录检测结果为不识别，执行将所述数据报文发送到网络的步骤以上传给服务器进行分析；当能够识别所述数据报文时，执行将所述数据报文发送到网络的步骤以使所述被监控设备访问所述数据报文对应的网页。14.根据权利要求9至13任一项所述的路由器，其特征在于，所述接收并配置模块，还用于接收服务器更新的监控内容；依据所述更新的监控内容更新所述网络监控信息。15.根据权利要求9所述的路由器，其特征在于，还包括:被监控设备配置模块，用于收集接入所述路由器的各局域网设备的设备信息生成局域网设备列表；反馈所述局域网设备列表中的设备信息以供用户选择被监控设备；依据用户的指示信息从所述局域网设备列表中选择局域网设备作为被监控设备，获取所述被监控设备的设备信息添加到监控列表中。16.根据权利要求15所述的路由器，其特征在于，还包括:设备检测模块，接收局域网设备发送的数据报文，依据所述数据报文获取局域网设备的地址信息；依据所述地址信息检测所述局域网设备是否为监控列表中配置的被监控设备；当所述局域网设备为非被监控设备时，将所述数据报文发送到网络。17.—种网络访问控制系统，其特征在于，包括:用户设备、服务器和上述权利要求9-13、15任一项所述路由器。【文档编号】H04L29/06GK105978844SQ201510305623【公开日】2016年9月28日【申请日】2015年6月4日【发明人】张国良【申请人】乐视致新电子科技（天津）有限公司