一种支持基于主机名的出站防火墙规则的方法和防火墙单元与流程

本发明大体上涉及一种方法和计算机程序产品，用于计算机网络中的防火墙单元根据防火墙规则允许或拒绝连接。此外，本发明还涉及一种用于计算机网络中的防火墙单元，以根据防火墙规则允许或拒绝连接。

背景技术：

1、在当今世界，虚拟世界中的互联网和隐私已变得至关重要。在这个新的技术时代，避免计算机系统遭黑客攻击以及避免在线门户上的信息和数据泄露已变得至关重要。

2、防火墙是一种网络安全设备，用于监控传入和传出网络流量，并根据定义的一组安全规则决定是允许还是阻止特定流量。在访问万维网的众多页面时加强网络安全的关键之一是跟踪和存储设备的ip(互联网协议)地址。缺乏定义允许和禁止的互联网流量的虚拟源和虚拟目的地。在互联网中，主机名逻辑上定义了当前位于ip地址的实体。ip地址是动态的，主机名可能会因多种原因更改其ip地址。主机名通常允许访问同一站点，而不管其当前ip地址如何。有时，由于ip地址的长度和字母数字性质，使用ip地址可能是一项乏味的任务。由于设备的ip地址可以更改，跟踪ip地址不是最好的安全技术方案。

3、已知技术方案定义了ip地址上的防火墙规则，以提高网络安全。在另一个已知的技术方案中，在防火墙规则设置期间分析主机名，转换为ip地址，并使用生成的ip地址设置防火墙规则。在另一种已知的技术方案中，在预定义的间隔内，一旦分析主机名，则更新防火墙规则中的ip地址。但是，如果域名系统执行负载均衡，则ip地址和接收到的防火墙之间可能存在不匹配。此外，上述所有已知技术方案都不考虑真正的动态ip地址。如果ip地址发生变化，可能需要一段时间才能更新防火墙规则。这可能会导致安全问题，因为ip地址的更改可能会导致黑名单用户的漏洞，有时可能会导致白名单用户的安全性过高。

4、因此，在基于主机名定义和更新ip地址的防火墙规则时，需要解决现有技术方案或技术中的上述技术问题。

技术实现思路

1、本发明的目的是提供一种方法和计算机程序产品，用于计算机网络中的防火墙单元根据防火墙规则允许或拒绝连接，以及用于所述计算机网络中根据防火墙规则允许或拒绝连接的防火墙单元。

2、通过独立权利要求的特征来实现上述目的。进一步的实现方式在从属权利要求、说明书和附图中显而易见。

3、本发明提供了一种方法和计算机程序产品，用于计算机网络中的防火墙单元根据防火墙规则允许或拒绝连接，以及用于计算机网络中根据防火墙规则允许或拒绝连接的防火墙单元。

4、根据第一方面，存在一种用于计算机网络中的防火墙单元的方法，在所述计算机网络中，客户端计算机可以连接到多个主机计算机。所述防火墙单元被布置成根据防火墙规则允许或拒绝连接。至少设置了一条防火墙规则以允许基于主机名的连接。所述方法包括以下步骤：从所述客户端计算机接收对与所述主机名关联的第一ip地址的请求。如果存在允许基于所述主机名的所述连接的防火墙规则，则所述方法执行以下步骤：(i)将所述请求转发到域名服务器，(ii)从所述域名服务器接收第一响应，并从所述第一响应获取所述第一ip地址，(iii)根据所述第一ip地址创建第一逻辑防火墙规则，以允许所述客户端计算机建立到所述第一ip地址的连接。

5、所述方法的优点是可以在主机名上定义所述防火墙规则。所述方法使防火墙规则即使在远程站点改变了其ip地址之后仍然有效，从而使维护成本更低，并使防火墙规则的有效性和更新自动化。所述方法立即自动检测ip地址中的变化。所述方法使防火墙规则始终是最新的。所述方法固有地支持域名系统(domain name system，dns)负载均衡。

6、可选地，如果没有允许基于所述主机名的所述连接的防火墙规则，则可以创建逻辑防火墙规则以拒绝到所述第一ip地址的连接。

7、可选地，所述方法包括以下步骤：当从所述客户端计算机接收到对与所述主机名关联的ip地址的新请求时，将所述新请求转发到所述域名服务器，从所述域名服务器接收新响应，从所述新响应中获取第二ip地址，并根据所述第二ip地址修改所述第一逻辑防火墙规则，以允许所述客户端计算机建立到所述第二ip地址的连接。所述修改所述逻辑防火墙规则的步骤可以包括停用所述第一逻辑防火墙规则，并创建新的逻辑防火墙规则。所述修改所述第一逻辑防火墙规则的步骤可以包括更新所述第一逻辑防火墙规则以包括所述第二ip地址，以允许所述客户端计算机建立到所述第一ip地址和所述第二ip地址的连接。

8、所述修改所述第一逻辑防火墙规则的步骤可以包括在保留所述第一逻辑防火墙规则的同时增加附加的逻辑防火墙规则。所述第一逻辑防火墙规则和/或所述新的逻辑防火墙规则可以包括定义所述逻辑防火墙规则处于活跃状态的时间段的时间帧。所述方法可选地包括在所述时间段之后停用所述逻辑防火墙规则的步骤。

9、所述第一逻辑防火墙规则和/或所述新的逻辑防火墙规则可以包括最大数量的数据包。所述方法可选地包括在所述防火墙中接收到用于所述连接的所述最大数量的数据包之后停用所述逻辑防火墙规则的步骤。可选地，所述方法包括当在防火墙单元中接收到从客户端计算机到第一主机的出站数据包时，停用第一逻辑防火墙规则和/或新的逻辑防火墙规则。

10、根据第二方面，提供了一种用于计算机网络中的防火墙单元的计算机程序产品，在所述计算机网络中，所述客户端计算机可以连接到多个主机计算机。所述防火墙单元被布置成根据防火墙规则允许或拒绝连接。所述计算机程序产品包括计算机可读代码装置，当在处理器中运行时，所述代码装置可以使防火墙单元执行上述方法。可选地，所述计算机程序产品包括非瞬时存储装置，其上存储有计算机可读代码装置。

11、根据第三方面，提供了一种用于计算机网络中的防火墙单元，在所述计算机网络中，客户端计算机可以连接到多个主机计算机。所述防火墙单元被布置成根据防火墙规则允许或拒绝连接。所述防火墙单元包括被布置成执行上述方法的控制单元。

12、所述防火墙单元的优点是可以在主机名上定义所述防火墙规则。所述防火墙单元使所述防火墙规则即使在远程站点改变了其ip地址之后仍然有效，从而使维护成本更低，并使防火墙规则的有效性和更新自动化。所述防火墙单元立即自动检测所述ip地址中的变化。所述防火墙单元使所述防火墙规则始终是最新的。所述防火墙单元固有地支持dns负载均衡。

13、根据第四方面，提供了一种计算机网络，包括一个或多个客户端计算机、一个或多个主机计算机和用于检测一个或多个客户端计算机与一个或多个主机计算机之间的流量并阻止不希望的流量的防火墙单元。所述防火墙单元是如上所述的防火墙单元。

14、本领域的技术问题得以解决，其中技术问题是ip地址冗长。

15、因此，与现有技术不同的是，所述方法和计算机程序产品用于计算机网络中的防火墙单元根据防火墙规则允许或拒绝连接，以及用于计算机网络中根据防火墙规则允许或拒绝连接的防火墙单元。所述方法可以在所述主机名上定义所述防火墙规则。所述方法使防火墙规则即使在远程站点改变了其ip地址之后仍然有效，从而使维护成本更低，并使防火墙规则的有效性和更新自动化。所述方法立即自动检测ip地址中的变化。所述方法固有地支持dns负载均衡。

16、根据下文描述的一个或多个实现方式，本发明的这些和其它方面是显而易见的。