本發(fā)明涉及網(wǎng)絡(luò)服務(wù)技術(shù)領(lǐng)域，尤其涉及一種內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制方法及裝置。

背景技術(shù)：

隨著互聯(lián)網(wǎng)與計(jì)算機(jī)的普及，基于局域網(wǎng)的信息化辦公、自動(dòng)化辦公已經(jīng)逐步建立起來(lái)。在基于局域網(wǎng)(也可以稱為內(nèi)網(wǎng))的交互過(guò)程中，人們?cè)谙硎艿骄W(wǎng)絡(luò)信息、辦公資源互聯(lián)以及共享所帶來(lái)方便與快捷的同時(shí)，也面臨著網(wǎng)絡(luò)服務(wù)安全的挑戰(zhàn)。

現(xiàn)有技術(shù)主要依靠身份認(rèn)證的方式來(lái)解決網(wǎng)絡(luò)服務(wù)安全的問(wèn)題。例如，客戶端在發(fā)送網(wǎng)絡(luò)服務(wù)請(qǐng)求時(shí)提供用戶名和密碼，或者通過(guò)表單驗(yàn)證的方式提供給服務(wù)器用戶名和密碼，但這兩種方式極容易被抓包破解，因而無(wú)法保障網(wǎng)絡(luò)服務(wù)的安全性能。還有就是通過(guò)證書認(rèn)證的方式來(lái)解決網(wǎng)絡(luò)服務(wù)的安全問(wèn)題，例如SSL/TLS協(xié)議，通過(guò)網(wǎng)絡(luò)安全通信的方式提升網(wǎng)絡(luò)服務(wù)的安全，雖然這種方式在一定程度上提高了網(wǎng)絡(luò)服務(wù)的安全性，但該認(rèn)證方式較為復(fù)雜，且服務(wù)性能較低，因而不適合于重要且性能需求較高的網(wǎng)絡(luò)服務(wù)。因此亟需提供一種更加安全高效地訪問(wèn)重要網(wǎng)路服務(wù)的控制方法。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明提供了一種內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制方法及裝置，由中央路由器依據(jù)內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的網(wǎng)段對(duì)終端訪問(wèn)內(nèi)網(wǎng)服務(wù)進(jìn)行控制，從而不需要再使用復(fù)雜的認(rèn)證方式，簡(jiǎn)化用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)的操作，并確保了訪問(wèn)內(nèi)網(wǎng)服務(wù)的安全性。

本發(fā)明為解決技術(shù)問(wèn)題而采用的技術(shù)方案是提供一種內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制方法，所述方法包括：中央路由器接收來(lái)自終端的訪問(wèn)請(qǐng)求；依據(jù)本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段，如果是，則依據(jù)路由轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求至對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器；否則，拒絕轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求。

根據(jù)本發(fā)明一優(yōu)選實(shí)施例，在所述依據(jù)本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段之前，還包括：根據(jù)所述訪問(wèn)請(qǐng)求的目的IP地址，判斷該目的IP地址是否為內(nèi)網(wǎng)服務(wù)器的IP地址；若否，則將該訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)至連接外網(wǎng)的網(wǎng)關(guān)；若是，則繼續(xù)執(zhí)行所述依據(jù)本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段。

根據(jù)本發(fā)明一優(yōu)選實(shí)施例，在所述依據(jù)本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段之前，還包括：判斷路由轉(zhuǎn)發(fā)表中是否存在所述目的IP地址對(duì)應(yīng)的表項(xiàng)，如果是，則繼續(xù)執(zhí)行所述依據(jù)本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段；若否，則拒絕轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求。

根據(jù)本發(fā)明一優(yōu)選實(shí)施例，所述方法還包括：從服務(wù)注冊(cè)器獲取內(nèi)網(wǎng)服務(wù)信息與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，依據(jù)該對(duì)應(yīng)關(guān)系在本地存儲(chǔ)內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，并在路由轉(zhuǎn)發(fā)表中添加該內(nèi)網(wǎng)服務(wù)器IP地址對(duì)應(yīng)的表項(xiàng)。

根據(jù)本發(fā)明一優(yōu)選實(shí)施例，所述終端為虛擬終端，所述內(nèi)網(wǎng)服務(wù)器為虛擬服務(wù)器。

一種內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制方法，所述方法包括：終端從服務(wù)注冊(cè)器獲取所構(gòu)建內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的網(wǎng)段信息，在該網(wǎng)段內(nèi)生成內(nèi)網(wǎng)IP地址；終端向中央路由器發(fā)送訪問(wèn)請(qǐng)求，所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址包括所述內(nèi)網(wǎng)IP地址，目的IP地址為所述內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器IP地址。

根據(jù)本發(fā)明一優(yōu)選實(shí)施例，所述方法還包括：所述終端在發(fā)送所述訪問(wèn)請(qǐng)求后的設(shè)定時(shí)長(zhǎng)內(nèi)未收到中央路由器返回的指示轉(zhuǎn)發(fā)成功的響應(yīng)，或者接收到中央路由器返回的拒絕訪問(wèn)的響應(yīng)，則向所述服務(wù)注冊(cè)器發(fā)送更新路由轉(zhuǎn)發(fā)表的請(qǐng)求，以便所述服務(wù)注冊(cè)器向所述中央路由器發(fā)送所述所構(gòu)建內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系。

一種內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制方法，所述方法包括：服務(wù)注冊(cè)器接收終端所發(fā)送的更新路由轉(zhuǎn)發(fā)表的請(qǐng)求；將所述終端所構(gòu)建內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系發(fā)送給中央路由器，以便中央路由器存儲(chǔ)內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，并更新路由轉(zhuǎn)發(fā)表。

根據(jù)本發(fā)明一優(yōu)選實(shí)施例，所述方法還包括：所述服務(wù)注冊(cè)器在所述終端創(chuàng)建內(nèi)網(wǎng)服務(wù)時(shí)，向所述終端提供所構(gòu)建內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的網(wǎng)段信息。

本發(fā)明為解決技術(shù)問(wèn)題提供一種內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制裝置，該裝置設(shè)置于中央路由器，該裝置包括：第一接收單元，用于接收來(lái)自終端的訪問(wèn)請(qǐng)求；判斷單元，用于依據(jù)中央路由器本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段；轉(zhuǎn)發(fā)處理單元，用于在所述判斷單元的判斷結(jié)果為是時(shí)，依據(jù)路由轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求至對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器；否則，拒絕轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求。

根據(jù)本發(fā)明一優(yōu)選實(shí)施例，所述判斷單元在依據(jù)本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段之前，還執(zhí)行：根據(jù)所述訪問(wèn)請(qǐng)求的目的IP地址，判斷該目的IP地址是否為內(nèi)網(wǎng)服務(wù)器的IP地址；若否，則觸發(fā)所述轉(zhuǎn)發(fā)處理單元將該訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)至連接外網(wǎng)的網(wǎng)關(guān)；若是，則繼續(xù)執(zhí)行所述依據(jù)本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段。

根據(jù)本發(fā)明一優(yōu)選實(shí)施例，所述判斷單元在依據(jù)本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段之前，還執(zhí)行：判斷路由轉(zhuǎn)發(fā)表中是否存在所述目的IP地址對(duì)應(yīng)的表項(xiàng)，如果是，則繼續(xù)執(zhí)行所述依據(jù)本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段；若否，則觸發(fā)所述轉(zhuǎn)發(fā)處理單元拒絕轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求。

根據(jù)本發(fā)明一優(yōu)選實(shí)施例，所述裝置還包括：表項(xiàng)維護(hù)單元，用于中央路由器從服務(wù)注冊(cè)器獲取內(nèi)網(wǎng)服務(wù)信息與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，依據(jù)該對(duì)應(yīng)關(guān)系在本地存儲(chǔ)內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，并在路由轉(zhuǎn)發(fā)表中添加該內(nèi)網(wǎng)服務(wù)器IP地址對(duì)應(yīng)的表項(xiàng)。

根據(jù)本發(fā)明一優(yōu)選實(shí)施例，所述終端為虛擬終端，所述內(nèi)網(wǎng)服務(wù)器為虛擬服務(wù)器。

一種內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制裝置，該裝置設(shè)置于終端，該裝置包括：生成單元，用于終端從服務(wù)注冊(cè)器獲取所構(gòu)建內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的網(wǎng)段信息，在該網(wǎng)段內(nèi)生成內(nèi)網(wǎng)IP地址；第一發(fā)送單元，用于終端向中央路由器發(fā)送訪問(wèn)請(qǐng)求，所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址包括所述內(nèi)網(wǎng)IP地址，目的IP地址為所述內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器IP地址。

根據(jù)本發(fā)明一優(yōu)選實(shí)施例，所述裝置還包括：請(qǐng)求單元，用于在所述第一發(fā)送單元發(fā)送所述訪問(wèn)請(qǐng)求后的設(shè)定時(shí)長(zhǎng)內(nèi)未收到中央路由器返回的指示轉(zhuǎn)發(fā)成功的響應(yīng)，或者接收到中央路由器返回的拒絕訪問(wèn)的響應(yīng)，則向所述服務(wù)注冊(cè)器發(fā)送更新路由轉(zhuǎn)發(fā)表的請(qǐng)求，以便所述服務(wù)注冊(cè)器向所述中央路由器發(fā)送所述所構(gòu)建內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系。

一種內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制裝置，該裝置設(shè)置于服務(wù)注冊(cè)器，該裝置包括：第二接收單元，用于服務(wù)注冊(cè)器接收終端所發(fā)送的更新路由轉(zhuǎn)發(fā)表的請(qǐng)求；第二發(fā)送單元，用于服務(wù)注冊(cè)器將所述終端所構(gòu)建內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系發(fā)送給中央路由器，以便中央路由器存儲(chǔ)內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，并更新路由轉(zhuǎn)發(fā)表。

根據(jù)本發(fā)明一優(yōu)選實(shí)施例，所述裝置還包括：第三發(fā)送單元，用于所述服務(wù)注冊(cè)器在所述終端創(chuàng)建內(nèi)網(wǎng)服務(wù)時(shí)，向所述終端提供所構(gòu)建內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的網(wǎng)段信息。

由以上技術(shù)方案可以看出，通過(guò)中央路由器依據(jù)本地所存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所發(fā)送訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段，從而使得中央路由器能夠依據(jù)內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的網(wǎng)段實(shí)現(xiàn)終端對(duì)該內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制，保證了只有某一內(nèi)網(wǎng)服務(wù)的合法終端才能夠訪問(wèn)該內(nèi)網(wǎng)服務(wù)，不需要再使用其他的認(rèn)證方式，從而簡(jiǎn)化了用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)的操作，并確保了訪問(wèn)內(nèi)網(wǎng)服務(wù)的安全性。

【附圖說(shuō)明】

圖1為本發(fā)明一實(shí)施例提供的方法流程圖。

圖2為本發(fā)明另一實(shí)施例提供的方法流程圖。

圖3為本發(fā)明一實(shí)施例提供的方法拓?fù)鋱D。

圖4為本發(fā)明一實(shí)施例提供的設(shè)置于中央路由器的裝置結(jié)構(gòu)圖。

圖5為本發(fā)明一實(shí)施例提供的設(shè)置于終端的裝置結(jié)構(gòu)圖。

圖6為本發(fā)明一實(shí)施例提供的設(shè)置于服務(wù)注冊(cè)器的裝置結(jié)構(gòu)圖。

圖7為本發(fā)明一實(shí)施例提供的設(shè)備結(jié)構(gòu)圖。

【具體實(shí)施方式】

為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述。

在本發(fā)明實(shí)施例中使用的術(shù)語(yǔ)是僅僅出于描述特定實(shí)施例的目的，而非旨在限制本發(fā)明。在本發(fā)明實(shí)施例和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。

應(yīng)當(dāng)理解，本文中使用的術(shù)語(yǔ)“和/或”僅僅是一種描述關(guān)聯(lián)對(duì)象的關(guān)聯(lián)關(guān)系，表示可以存在三種關(guān)系，例如，A和/或B，可以表示：?jiǎn)为?dú)存在A，同時(shí)存在A和B，單獨(dú)存在B這三種情況。另外，本文中字符“/”，一般表示前后關(guān)聯(lián)對(duì)象是一種“或”的關(guān)系。

取決于語(yǔ)境，如在此所使用的詞語(yǔ)“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”或“響應(yīng)于檢測(cè)”。類似地，取決于語(yǔ)境，短語(yǔ)“如果確定”或“如果檢測(cè)(陳述的條件或事件)”可以被解釋成為“當(dāng)確定時(shí)”或“響應(yīng)于確定”或“當(dāng)檢測(cè)(陳述的條件或事件)時(shí)”或“響應(yīng)于檢測(cè)(陳述的條件或事件)”。

內(nèi)網(wǎng)服務(wù)通常具有重要性以及隱秘性，在訪問(wèn)內(nèi)網(wǎng)服務(wù)時(shí)，現(xiàn)有技術(shù)大多使用身份認(rèn)證的方式，例如使用用戶名和密碼，但這種方式極易被抓包破解，因而無(wú)法保障訪問(wèn)內(nèi)網(wǎng)服務(wù)的安全性；而使用證書認(rèn)證的方式進(jìn)行內(nèi)網(wǎng)服務(wù)訪問(wèn)時(shí)，認(rèn)證方式較為繁瑣，服務(wù)性能較差。因此，本發(fā)明提出一種更加安全高效的內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制方法，保證只有構(gòu)建某一內(nèi)網(wǎng)服務(wù)的終端才擁有訪問(wèn)該內(nèi)網(wǎng)服務(wù)的權(quán)限，不需要再使用其他的認(rèn)證方式，從而簡(jiǎn)化用戶的操作，提升內(nèi)網(wǎng)服務(wù)訪問(wèn)的安全性。

圖1為本發(fā)明一實(shí)施例提供的方法流程圖，如圖1中所示，該方法可以主要包括以下步驟：

在101中，中央路由器接收來(lái)自終端的訪問(wèn)請(qǐng)求。

在本步驟中，終端向中央路由器發(fā)送訪問(wèn)請(qǐng)求，所述發(fā)送訪問(wèn)請(qǐng)求的終端位于構(gòu)建某一內(nèi)網(wǎng)服務(wù)的子網(wǎng)中，且在該子網(wǎng)中的終端只能看到該子網(wǎng)所構(gòu)建的內(nèi)網(wǎng)服務(wù)。子網(wǎng)具體可以為構(gòu)建內(nèi)網(wǎng)服務(wù)的終端集群或者網(wǎng)絡(luò)，而各個(gè)終端集群或者網(wǎng)絡(luò)所能夠訪問(wèn)內(nèi)網(wǎng)服務(wù)的權(quán)限則通過(guò)服務(wù)注冊(cè)器進(jìn)行配置。對(duì)于服務(wù)注冊(cè)器的具體配置過(guò)程將在下文進(jìn)行詳述。

舉例來(lái)說(shuō)，若存在子網(wǎng)A以及子網(wǎng)B，內(nèi)網(wǎng)服務(wù)A以及內(nèi)網(wǎng)服務(wù)B。其中，子網(wǎng)A構(gòu)建內(nèi)網(wǎng)服務(wù)A，子網(wǎng)B構(gòu)建內(nèi)網(wǎng)服務(wù)B。那么，位于子網(wǎng)A中的終端只能夠訪問(wèn)內(nèi)網(wǎng)服務(wù)A，例如僅能夠訪問(wèn)內(nèi)網(wǎng)服務(wù)A中的服務(wù)選項(xiàng)，同樣地，位于子網(wǎng)B中的終端也只能夠訪問(wèn)內(nèi)網(wǎng)服務(wù)B，例如僅能夠訪問(wèn)內(nèi)網(wǎng)服務(wù)B中的服務(wù)選項(xiàng)。本發(fā)明對(duì)子網(wǎng)中所包含終端的個(gè)數(shù)不進(jìn)行限定，同時(shí)對(duì)內(nèi)網(wǎng)服務(wù)中所包含服務(wù)選項(xiàng)的個(gè)數(shù)也不進(jìn)行限定。

在本步驟中，位于構(gòu)建某一內(nèi)網(wǎng)服務(wù)子網(wǎng)中的終端，通過(guò)子網(wǎng)中的分路由器將訪問(wèn)請(qǐng)求發(fā)送至中央路由器，其中中央路由器指的是負(fù)責(zé)在各子網(wǎng)和內(nèi)網(wǎng)服務(wù)器之間進(jìn)行報(bào)文路由轉(zhuǎn)發(fā)的路由器，更進(jìn)一步地，中央路由器還可以負(fù)責(zé)內(nèi)網(wǎng)設(shè)備與連接外網(wǎng)的網(wǎng)關(guān)之間的報(bào)文轉(zhuǎn)發(fā)，即實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間報(bào)文的路由轉(zhuǎn)發(fā)。

中央路由器接收到終端發(fā)送的訪問(wèn)請(qǐng)求時(shí)，該訪問(wèn)請(qǐng)求攜帶有源內(nèi)網(wǎng)IP地址和目的IP地址。其中，源內(nèi)網(wǎng)IP地址包括發(fā)送該訪問(wèn)請(qǐng)求的終端的內(nèi)網(wǎng)IP地址，目的IP地址則包括該訪問(wèn)請(qǐng)求所要訪問(wèn)服務(wù)器的IP地址。

需要說(shuō)明的是，本發(fā)明實(shí)施例中所涉及的終端可以是一個(gè)具體的實(shí)體，例如計(jì)算機(jī)終端，也可以是運(yùn)行于計(jì)算機(jī)實(shí)體上的虛擬終端，例如虛擬機(jī)。終端的內(nèi)網(wǎng)IP地址是在構(gòu)建子網(wǎng)時(shí)自動(dòng)生成的，例如該終端加入某內(nèi)網(wǎng)的子網(wǎng)時(shí)，依據(jù)預(yù)設(shè)的IP地址生成策略自動(dòng)生成的。在本發(fā)明實(shí)施例中，為了實(shí)現(xiàn)中央路由器對(duì)終端的訪問(wèn)控制，可以針對(duì)各內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的子網(wǎng)分別設(shè)定網(wǎng)段，子網(wǎng)中的終端在生成IP地址時(shí)，只能在對(duì)應(yīng)網(wǎng)段內(nèi)生成IP地址。然后，將在對(duì)應(yīng)不同內(nèi)網(wǎng)服務(wù)的網(wǎng)段中所生成的內(nèi)網(wǎng)IP地址作為終端的源內(nèi)網(wǎng)IP地址，該源內(nèi)網(wǎng)IP地址即用以表明該終端所能夠訪問(wèn)的內(nèi)網(wǎng)服務(wù)。

舉個(gè)例子，例如針對(duì)內(nèi)網(wǎng)服務(wù)器A預(yù)先配置網(wǎng)段a，那么其對(duì)應(yīng)的子網(wǎng)A中的終端只能夠在該網(wǎng)段a中生成IP地址，將所生成的IP地址作為位于子網(wǎng)A中的終端的源內(nèi)網(wǎng)IP地址。針對(duì)內(nèi)網(wǎng)服務(wù)器B預(yù)先配置網(wǎng)段b，那么其對(duì)應(yīng)的子網(wǎng)B中的終端只能夠在網(wǎng)段b中生成IP地址，將所生成的IP地址作為位于子網(wǎng)B中的終端的源內(nèi)網(wǎng)IP地址。

上述內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，在子網(wǎng)構(gòu)建時(shí)從服務(wù)注冊(cè)器獲取，也就是說(shuō)，預(yù)先在服務(wù)注冊(cè)器中配置有各內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系。

終端向中央路由器所發(fā)送訪問(wèn)請(qǐng)求的目的IP地址是其要訪問(wèn)服務(wù)器的IP地址，該目的IP地址可能是外網(wǎng)服務(wù)器的IP地址，也可能是內(nèi)網(wǎng)服務(wù)器的IP地址。通過(guò)訪問(wèn)請(qǐng)求的目的IP地址，中央路由器一方面可以區(qū)分該訪問(wèn)請(qǐng)求要訪問(wèn)的是內(nèi)網(wǎng)服務(wù)器還是外網(wǎng)服務(wù)器，另一方面如果訪問(wèn)的是內(nèi)網(wǎng)服務(wù)也可以區(qū)分具體訪問(wèn)的是哪個(gè)內(nèi)網(wǎng)服務(wù)。

終端訪問(wèn)請(qǐng)求的發(fā)送方式可以為用戶通過(guò)終端對(duì)某一網(wǎng)絡(luò)服務(wù)的鏈接進(jìn)行點(diǎn)擊的方式，也可以為用戶通過(guò)終端輸入某一網(wǎng)絡(luò)服務(wù)的地址的方式。本發(fā)明對(duì)終端向中央路由器發(fā)送訪問(wèn)請(qǐng)求的方式不進(jìn)行限定。

可選地，在本實(shí)施例的一個(gè)具體實(shí)現(xiàn)過(guò)程中，用戶通過(guò)終端對(duì)某一網(wǎng)絡(luò)服務(wù)的鏈接進(jìn)行點(diǎn)擊，觸發(fā)終端將該鏈接所指向網(wǎng)絡(luò)服務(wù)的訪問(wèn)請(qǐng)求發(fā)送至中央路由器。在獲取終端發(fā)送訪問(wèn)請(qǐng)求的同時(shí)，攜帶源IP地址以及目的IP地址。還可以為用戶輸入某一網(wǎng)絡(luò)服務(wù)的地址的名稱，觸發(fā)終端將該地址所對(duì)應(yīng)網(wǎng)絡(luò)服務(wù)的訪問(wèn)請(qǐng)求發(fā)送至中央路由器，并同時(shí)攜帶有源IP地址以及目的IP地址。

在102中，依據(jù)本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段，如果是，則執(zhí)行103，依據(jù)路由轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求至對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器；否則，執(zhí)行104，拒絕轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求。

在本步驟中，中央路由器接收到來(lái)自某個(gè)子網(wǎng)中終端的訪問(wèn)請(qǐng)求后，需要首先查找路由轉(zhuǎn)發(fā)表，即根據(jù)訪問(wèn)請(qǐng)求的目的IP地址確定對(duì)應(yīng)的轉(zhuǎn)發(fā)端口。若在路由轉(zhuǎn)發(fā)表中，根據(jù)訪問(wèn)請(qǐng)求的目的IP地址無(wú)法確定其對(duì)應(yīng)的轉(zhuǎn)發(fā)端口，則丟棄該訪問(wèn)請(qǐng)求，拒絕該訪問(wèn)請(qǐng)求的進(jìn)一步轉(zhuǎn)發(fā)，還可以進(jìn)一步向發(fā)送該訪問(wèn)請(qǐng)求的終端返回拒絕訪問(wèn)的響應(yīng)報(bào)文；若在路由轉(zhuǎn)發(fā)表中，根據(jù)訪問(wèn)請(qǐng)求的目的IP地址能夠確定其對(duì)應(yīng)的轉(zhuǎn)發(fā)端口，則執(zhí)行該訪問(wèn)請(qǐng)求的下一步轉(zhuǎn)發(fā)。

在本發(fā)明實(shí)施例中，除了基本的轉(zhuǎn)發(fā)功能之外，需要由中央路由器實(shí)現(xiàn)針對(duì)內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制。

具體地，在中央路由器中需要預(yù)先配置各內(nèi)網(wǎng)服務(wù)器的IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系。當(dāng)接收到來(lái)自某個(gè)子網(wǎng)中終端的訪問(wèn)請(qǐng)求后，在根據(jù)訪問(wèn)請(qǐng)求的目的IP地址確定該訪問(wèn)請(qǐng)求對(duì)應(yīng)的轉(zhuǎn)發(fā)端口后，判斷本地是否存儲(chǔ)有該訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段信息，如果否，則丟棄該訪問(wèn)請(qǐng)求，拒絕該訪問(wèn)請(qǐng)求的進(jìn)一步轉(zhuǎn)發(fā)，還可以進(jìn)一步向發(fā)送該訪問(wèn)請(qǐng)求的終端返回拒絕訪問(wèn)的響應(yīng)報(bào)文。如果本地存儲(chǔ)有該訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段信息，則進(jìn)一步判斷該訪問(wèn)請(qǐng)求的源IP地址是否屬于該目的IP地址對(duì)應(yīng)的網(wǎng)段，如果是，則依據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)該訪問(wèn)請(qǐng)求至對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器；否則，丟棄該訪問(wèn)請(qǐng)求，拒絕該訪問(wèn)請(qǐng)求的進(jìn)一步轉(zhuǎn)發(fā)，還可以進(jìn)一步向發(fā)送該訪問(wèn)請(qǐng)求的終端返回拒絕訪問(wèn)的響應(yīng)報(bào)文。

需要說(shuō)明的是，中央路由器中的路由轉(zhuǎn)發(fā)表以及內(nèi)網(wǎng)服務(wù)器的IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系可以靜態(tài)配置，也可以從服務(wù)注冊(cè)器中獲取內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系后動(dòng)態(tài)生成。

靜態(tài)配置的方式在此不做詳述，下面僅對(duì)動(dòng)態(tài)生成的方式進(jìn)行介紹。動(dòng)態(tài)生成的方式可以采用但不限于以下兩種方式：

第一種方式：服務(wù)注冊(cè)器可以在每個(gè)子網(wǎng)創(chuàng)建之后，就將內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系提供給中央路由器。然后中央路由器依據(jù)服務(wù)注冊(cè)器提供的內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，在本地生成內(nèi)網(wǎng)服務(wù)器的IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，以及更新路由轉(zhuǎn)發(fā)表(即將該內(nèi)網(wǎng)服務(wù)器IP地址與轉(zhuǎn)發(fā)端口之間的對(duì)應(yīng)關(guān)系添加入路由轉(zhuǎn)發(fā)表)。其中路由轉(zhuǎn)發(fā)表的生成為已有技術(shù)，在此不做詳述。

第二種方式：服務(wù)注冊(cè)器可以在收到終端的請(qǐng)求后，將內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系提供給中央路由器。具體過(guò)程可以如圖2所示：

在201中，終端向中央路由器發(fā)送訪問(wèn)請(qǐng)求。

在202中，中央路由器接收到該訪問(wèn)請(qǐng)求后，確定本地尚不存在該訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的路由轉(zhuǎn)發(fā)表，丟棄該訪問(wèn)請(qǐng)求。

在203中，終端在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)未收到中央路由器的響應(yīng)，則向服務(wù)注冊(cè)器發(fā)送更新路由轉(zhuǎn)發(fā)表的請(qǐng)求。

需要說(shuō)明的是，中央路由器通常在正常轉(zhuǎn)發(fā)訪問(wèn)請(qǐng)求后，會(huì)向終端發(fā)送指示轉(zhuǎn)發(fā)成功的響應(yīng)，若在設(shè)定時(shí)長(zhǎng)內(nèi)終端未收到來(lái)自中央路由器的響應(yīng)，則說(shuō)明轉(zhuǎn)發(fā)失敗。或者，中央路由器在丟棄訪問(wèn)請(qǐng)求后可以向終端返回指示拒絕訪問(wèn)的響應(yīng)，若終端接收到該指示拒絕訪問(wèn)的響應(yīng)，則也可以向服務(wù)注冊(cè)器發(fā)送更新路由表的請(qǐng)求。

在204中，服務(wù)注冊(cè)器接收到終端發(fā)送的更新路由轉(zhuǎn)發(fā)表的請(qǐng)求后，將該終端所對(duì)應(yīng)網(wǎng)段與內(nèi)網(wǎng)服務(wù)之間的對(duì)應(yīng)關(guān)系發(fā)送給中央路由器。

在205中，中央路由器根據(jù)由服務(wù)注冊(cè)器發(fā)送來(lái)的該終端對(duì)應(yīng)網(wǎng)段與內(nèi)網(wǎng)服務(wù)之間的對(duì)應(yīng)關(guān)系，在本地生成內(nèi)網(wǎng)服務(wù)器的IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，并且更新路由轉(zhuǎn)發(fā)表。

在中央路由器中，內(nèi)網(wǎng)服務(wù)器的IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，以及路由轉(zhuǎn)發(fā)表可以分開存儲(chǔ)，也可以合并存儲(chǔ)。

例如，常規(guī)的路由轉(zhuǎn)發(fā)表，實(shí)際上是：“目的IP地址-轉(zhuǎn)發(fā)端口”這一對(duì)應(yīng)關(guān)系，在本發(fā)明實(shí)施例中，也可以將“內(nèi)網(wǎng)服務(wù)器IP地址-網(wǎng)段”之間的對(duì)應(yīng)關(guān)系與轉(zhuǎn)發(fā)表進(jìn)行合并存儲(chǔ)，從而形成類似于“網(wǎng)段-目的IP地址-轉(zhuǎn)發(fā)端口”的表項(xiàng)。當(dāng)然為了不影響現(xiàn)有路由轉(zhuǎn)發(fā)表的機(jī)制，也可以分開存儲(chǔ)。

中央路由器在接收到由終端發(fā)送來(lái)的訪問(wèn)請(qǐng)求后，如果依據(jù)目的IP地址確定該訪問(wèn)請(qǐng)求屬于外網(wǎng)服務(wù)請(qǐng)求，則將該訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)至對(duì)應(yīng)的網(wǎng)關(guān)，使得終端能夠訪問(wèn)該外網(wǎng)服務(wù)。

上述內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制方法的拓?fù)鋱D如圖3所示。其中，內(nèi)網(wǎng)服務(wù)器A對(duì)應(yīng)內(nèi)網(wǎng)服務(wù)A，內(nèi)網(wǎng)服務(wù)器B對(duì)應(yīng)內(nèi)網(wǎng)服務(wù)B，子網(wǎng)A為構(gòu)建內(nèi)網(wǎng)服務(wù)A的子網(wǎng)，子網(wǎng)B為構(gòu)建內(nèi)網(wǎng)服務(wù)B的子網(wǎng)。其中，子網(wǎng)A和B中的各終端可以為虛擬終端，內(nèi)網(wǎng)服務(wù)器A和內(nèi)網(wǎng)服務(wù)器B可以為虛擬服務(wù)器。

下面結(jié)合圖3，對(duì)內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制方法以一個(gè)實(shí)例進(jìn)行詳細(xì)描述：

位于子網(wǎng)A中的終端A，通過(guò)子網(wǎng)A中的分路由器向中央路由器發(fā)送訪問(wèn)內(nèi)網(wǎng)服務(wù)器A中內(nèi)網(wǎng)服務(wù)的請(qǐng)求。中央路由器首先根據(jù)終端A所發(fā)送訪問(wèn)請(qǐng)求的目的IP地址，在路由轉(zhuǎn)發(fā)表中確定與該目的IP地址(即要訪問(wèn)的內(nèi)網(wǎng)服務(wù)器的IP地址)所對(duì)應(yīng)的轉(zhuǎn)發(fā)端口。若在路由轉(zhuǎn)發(fā)表中存在該目的IP地址所對(duì)應(yīng)的轉(zhuǎn)發(fā)端口，中央路由器再判斷是否有與該目的IP地址對(duì)應(yīng)的網(wǎng)段信息，若存儲(chǔ)有該訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段信息，則進(jìn)一步判斷該訪問(wèn)請(qǐng)求的源IP地址是否屬于該目的IP地址所對(duì)應(yīng)的網(wǎng)段，如果是，則依據(jù)轉(zhuǎn)發(fā)表中確定的端口將該訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)至對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器，中央路由器向終端發(fā)送訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)成功的響應(yīng)。

若終端A在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)未收到中央路由器的響應(yīng)或者接收到中央路由器發(fā)送來(lái)的轉(zhuǎn)發(fā)失敗的響應(yīng)，則向服務(wù)注冊(cè)器發(fā)送更新路由轉(zhuǎn)發(fā)表的請(qǐng)求。服務(wù)注冊(cè)器在接收到終端A所發(fā)送更新路由轉(zhuǎn)發(fā)表的請(qǐng)求后，將該終端A所對(duì)應(yīng)網(wǎng)段與內(nèi)網(wǎng)服務(wù)之間的對(duì)應(yīng)關(guān)系發(fā)送給中央路由器。中央路由器依據(jù)由服務(wù)注冊(cè)器發(fā)送來(lái)的內(nèi)容，在本地生成該內(nèi)網(wǎng)服務(wù)器的IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，并且更新路由轉(zhuǎn)發(fā)表。在經(jīng)過(guò)上述操作后，位于子網(wǎng)A中的終端A便能夠訪問(wèn)該內(nèi)網(wǎng)服務(wù)器A。

若中央路由器根據(jù)終端A所發(fā)送訪問(wèn)請(qǐng)求中的目的IP地址，確定該IP地址屬于外網(wǎng)服務(wù)器的IP地址，中央路由器則將該訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)至網(wǎng)關(guān)，使得終端A能夠訪問(wèn)對(duì)應(yīng)的外網(wǎng)服務(wù)。

下面對(duì)本發(fā)明實(shí)施例提供的裝置結(jié)構(gòu)圖進(jìn)行詳述，如圖4中所示，所述裝置設(shè)置于中央路由器，包括第一接收單元41、判斷單元42、轉(zhuǎn)發(fā)處理單元43以及表項(xiàng)維護(hù)單元44。

第一接收單元41，用于接收終端發(fā)送來(lái)的訪問(wèn)請(qǐng)求。

需要說(shuō)明的是，本發(fā)明實(shí)施例中所涉及的終端可以是一個(gè)具體的實(shí)體，例如計(jì)算機(jī)終端，也可以是運(yùn)行于計(jì)算機(jī)實(shí)體上的虛擬終端，例如虛擬機(jī)。

在本步驟中，位于構(gòu)建某一內(nèi)網(wǎng)服務(wù)子網(wǎng)中的終端，通過(guò)子網(wǎng)中的分路由器將訪問(wèn)請(qǐng)求發(fā)送至中央路由器，其中中央路由器指的是負(fù)責(zé)在各子網(wǎng)和內(nèi)網(wǎng)服務(wù)器之間進(jìn)行報(bào)文路由轉(zhuǎn)發(fā)的路由器，更進(jìn)一步地，中央路由器還可以負(fù)責(zé)內(nèi)網(wǎng)設(shè)備與連接外網(wǎng)的網(wǎng)關(guān)之間的報(bào)文轉(zhuǎn)發(fā)，即實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間報(bào)文的路由轉(zhuǎn)發(fā)。

第一接收單元41所接收到由終端發(fā)送的訪問(wèn)請(qǐng)求，該訪問(wèn)請(qǐng)求攜帶有源內(nèi)網(wǎng)IP地址和目的IP地址。其中，源內(nèi)網(wǎng)IP地址包括發(fā)送該訪問(wèn)請(qǐng)求終端的內(nèi)網(wǎng)IP地址，目的IP地址則包括該訪問(wèn)請(qǐng)求所要訪問(wèn)服務(wù)器的IP地址。

判斷單元42，用于依據(jù)中央路由器本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段。如果判斷單元42的判斷結(jié)果為是，則由轉(zhuǎn)發(fā)處理單元43依據(jù)路由轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求至對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器；否則，拒絕轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求。

表項(xiàng)維護(hù)單元44，用于從服務(wù)注冊(cè)器獲取內(nèi)網(wǎng)服務(wù)信息與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，依據(jù)該對(duì)應(yīng)關(guān)系在本地存儲(chǔ)內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，并在路由轉(zhuǎn)發(fā)表中添加該內(nèi)網(wǎng)服務(wù)器IP地址對(duì)應(yīng)的表項(xiàng)。

具體地，第一接收單元41在接收到來(lái)自某個(gè)子網(wǎng)中終端的訪問(wèn)請(qǐng)求后，需要首先由判斷單元42查找表項(xiàng)維護(hù)單元44所添加的路由轉(zhuǎn)發(fā)表，即根據(jù)訪問(wèn)請(qǐng)求的目的IP地址確定對(duì)應(yīng)的轉(zhuǎn)發(fā)端口。若在路由轉(zhuǎn)發(fā)表中，判斷單元42根據(jù)訪問(wèn)請(qǐng)求的目的IP地址無(wú)法確定其對(duì)應(yīng)的轉(zhuǎn)發(fā)端口，則觸發(fā)轉(zhuǎn)發(fā)處理單元43丟棄該訪問(wèn)請(qǐng)求，拒絕該訪問(wèn)請(qǐng)求的進(jìn)一步轉(zhuǎn)發(fā)，還可以進(jìn)一步向發(fā)送該訪問(wèn)請(qǐng)求的終端返回拒絕訪問(wèn)的響應(yīng)報(bào)文；若在路由轉(zhuǎn)發(fā)表中，判斷單元42根據(jù)訪問(wèn)請(qǐng)求的目的IP地址能夠確定其對(duì)應(yīng)的轉(zhuǎn)發(fā)端口，則執(zhí)行該訪問(wèn)請(qǐng)求的下一步轉(zhuǎn)發(fā)。

在本發(fā)明實(shí)施例中，除了基本的轉(zhuǎn)發(fā)功能之外，需要由中央路由器實(shí)現(xiàn)針對(duì)內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制。

具體地，表項(xiàng)維護(hù)單元44在中央路由器中預(yù)先配置各內(nèi)網(wǎng)服務(wù)器的IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系。當(dāng)?shù)谝唤邮諉卧?1接收到來(lái)自某個(gè)子網(wǎng)中終端的訪問(wèn)請(qǐng)求，在判斷單元42根據(jù)訪問(wèn)請(qǐng)求的目的IP地址確定該訪問(wèn)請(qǐng)求對(duì)應(yīng)的轉(zhuǎn)發(fā)端口后，由判斷單元42進(jìn)一步判斷本地是否存儲(chǔ)有該訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段信息，如果否，則觸發(fā)轉(zhuǎn)發(fā)處理單元43丟棄該訪問(wèn)請(qǐng)求，拒絕該訪問(wèn)請(qǐng)求的進(jìn)一步轉(zhuǎn)發(fā)，還可以進(jìn)一步向發(fā)送該訪問(wèn)請(qǐng)求的終端返回拒絕訪問(wèn)的響應(yīng)報(bào)文。如果本地存儲(chǔ)有該訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段信息，則進(jìn)一步判斷該訪問(wèn)請(qǐng)求的源IP地址是否屬于該目的IP地址對(duì)應(yīng)的網(wǎng)段，如果是，則由轉(zhuǎn)發(fā)處理單元43依據(jù)轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)該訪問(wèn)請(qǐng)求至對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器；否則，觸發(fā)轉(zhuǎn)發(fā)處理單元43丟棄該訪問(wèn)請(qǐng)求，拒絕該訪問(wèn)請(qǐng)求的進(jìn)一步轉(zhuǎn)發(fā)，還可以進(jìn)一步向發(fā)送該訪問(wèn)請(qǐng)求的終端返回拒絕訪問(wèn)的響應(yīng)報(bào)文。

第一接收單元41在接收到由終端發(fā)送來(lái)的訪問(wèn)請(qǐng)求后，若由判斷單元42依據(jù)目的IP地址確定該訪問(wèn)請(qǐng)求屬于外網(wǎng)服務(wù)請(qǐng)求，則觸發(fā)轉(zhuǎn)發(fā)處理單元43將該訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)至對(duì)應(yīng)的網(wǎng)關(guān)，使得終端能夠訪問(wèn)該外網(wǎng)服務(wù)。

下面對(duì)本發(fā)明實(shí)施例提供的裝置結(jié)構(gòu)圖進(jìn)行詳述，如圖5中所示，所述裝置設(shè)置于終端，包括生成單元51、第一發(fā)送單元52以及請(qǐng)求單元53。

生成單元51，用于從服務(wù)注冊(cè)器獲取所構(gòu)建內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的網(wǎng)段信息，在該網(wǎng)段內(nèi)生成內(nèi)網(wǎng)IP地址。

生成單元51利用所獲取的構(gòu)建內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的網(wǎng)段信息，在該網(wǎng)段內(nèi)生成內(nèi)網(wǎng)IP地址。也就是說(shuō)，終端的內(nèi)網(wǎng)IP地址是在構(gòu)建子網(wǎng)時(shí)由生成單元51自動(dòng)生成的。例如該終端在加入某內(nèi)網(wǎng)的子網(wǎng)時(shí)，依據(jù)預(yù)設(shè)的IP地址生成策略自動(dòng)生成。在本發(fā)明實(shí)施例中，為了實(shí)現(xiàn)中央路由器對(duì)終端的訪問(wèn)控制，可以針對(duì)各內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的子網(wǎng)分別設(shè)定網(wǎng)段，生成單元51在生成IP地址時(shí)，只能在對(duì)應(yīng)網(wǎng)段內(nèi)生成IP地址。然后，將由生成單元51所生成的內(nèi)網(wǎng)IP地址作為該終端的源內(nèi)網(wǎng)IP地址，該源內(nèi)網(wǎng)IP地址即用以表明該終端所能夠訪問(wèn)的內(nèi)網(wǎng)服務(wù)。

上述內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，在子網(wǎng)構(gòu)建時(shí)從服務(wù)注冊(cè)器獲取，也就是說(shuō)，預(yù)先在服務(wù)注冊(cè)器中配置有各內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系。

第一發(fā)送單元52，用于向中央路由器發(fā)送訪問(wèn)請(qǐng)求，所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址包括所述內(nèi)網(wǎng)IP地址，目的IP地址為所述內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器IP地址。

所述發(fā)送訪問(wèn)請(qǐng)求的終端位于構(gòu)建某一內(nèi)網(wǎng)服務(wù)的子網(wǎng)中，且在該子網(wǎng)中的終端只能訪問(wèn)該子網(wǎng)所構(gòu)建的內(nèi)網(wǎng)服務(wù)。子網(wǎng)具體可以為構(gòu)建內(nèi)網(wǎng)服務(wù)的終端集群或者網(wǎng)絡(luò)，而各個(gè)終端集群或者網(wǎng)絡(luò)所能夠訪問(wèn)內(nèi)網(wǎng)服務(wù)的權(quán)限則通過(guò)服務(wù)注冊(cè)器進(jìn)行配置。

第一發(fā)送單元52向中央路由器所發(fā)送訪問(wèn)請(qǐng)求的目的IP地址是其要訪問(wèn)服務(wù)器的IP地址，該目的IP地址可能是外網(wǎng)服務(wù)器的IP地址，也可能是內(nèi)網(wǎng)服務(wù)器的IP地址。通過(guò)訪問(wèn)請(qǐng)求的目的IP地址，中央路由器一方面可以區(qū)分該訪問(wèn)請(qǐng)求要訪問(wèn)的是內(nèi)網(wǎng)服務(wù)器還是外網(wǎng)服務(wù)器，另一方面如果訪問(wèn)的是內(nèi)網(wǎng)服務(wù)也可以區(qū)分具體訪問(wèn)的是哪個(gè)內(nèi)網(wǎng)服務(wù)。

第一發(fā)送單元52發(fā)送訪問(wèn)請(qǐng)求的方式可以為用戶通過(guò)終端對(duì)某一網(wǎng)絡(luò)服務(wù)的鏈接進(jìn)行點(diǎn)擊的方式，也可以為用戶通過(guò)終端輸入某一網(wǎng)絡(luò)服務(wù)的地址的方式。本發(fā)明對(duì)終端向中央路由器發(fā)送訪問(wèn)請(qǐng)求的方式不進(jìn)行限定。

可選地，在本實(shí)施例的一個(gè)具體實(shí)現(xiàn)過(guò)程中，用戶通過(guò)終端對(duì)某一網(wǎng)絡(luò)服務(wù)的鏈接進(jìn)行點(diǎn)擊，觸發(fā)終端將該鏈接所指向網(wǎng)絡(luò)服務(wù)的訪問(wèn)請(qǐng)求發(fā)送至中央路由器。在獲取終端發(fā)送訪問(wèn)請(qǐng)求的同時(shí)，攜帶源IP地址以及目的IP地址。還可以為用戶輸入某一網(wǎng)絡(luò)服務(wù)的地址的名稱，觸發(fā)終端將該地址所對(duì)應(yīng)網(wǎng)絡(luò)服務(wù)的訪問(wèn)請(qǐng)求發(fā)送至中央路由器，并同時(shí)攜帶有源IP地址以及目的IP地址。

若第一發(fā)送單元52在發(fā)送所述訪問(wèn)請(qǐng)求后的設(shè)定時(shí)長(zhǎng)內(nèi)未收到中央路由器返回的指示轉(zhuǎn)發(fā)成功的響應(yīng)，或者接收到中央路由器返回的拒絕訪問(wèn)的響應(yīng)，則由設(shè)置于終端的請(qǐng)求單元53向所述服務(wù)注冊(cè)器發(fā)送更新路由轉(zhuǎn)發(fā)表的請(qǐng)求，以便所述服務(wù)注冊(cè)器向所述中央路由器發(fā)送所述所構(gòu)建內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，從而使該終端能夠訪問(wèn)目的IP地址所對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器。

下面對(duì)本發(fā)明實(shí)施例提供的裝置結(jié)構(gòu)圖進(jìn)行詳述，如圖6中所示，所述裝置設(shè)置于服務(wù)注冊(cè)器，包括第二接收單元61、第二發(fā)送單元62以及第三發(fā)送單元63。

第二接收單元61，用于接收終端所發(fā)送的更新路由轉(zhuǎn)發(fā)表的請(qǐng)求。

第二發(fā)送單元62，用于將所述終端所構(gòu)建內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系發(fā)送給中央路由器，以便中央路由器存儲(chǔ)內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，并更新路由轉(zhuǎn)發(fā)表。

具體地，第二接收單元61接收來(lái)自終端請(qǐng)求單元53所發(fā)送的更新中央路由器中路由轉(zhuǎn)發(fā)表的請(qǐng)求后，由第二發(fā)送單元62將所述終端所構(gòu)建內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系發(fā)送給中央路由器中的表項(xiàng)維護(hù)單元44，以便中央路由器存儲(chǔ)內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，并更新路由轉(zhuǎn)發(fā)表。

第三發(fā)送單元63，用于在所述終端創(chuàng)建內(nèi)網(wǎng)服務(wù)時(shí)，向所述終端提供所構(gòu)建內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的網(wǎng)段信息。

具體地，在終端創(chuàng)建內(nèi)網(wǎng)服務(wù)時(shí)，第三發(fā)送單元63將構(gòu)建內(nèi)網(wǎng)服務(wù)所對(duì)應(yīng)的網(wǎng)段信息發(fā)送給設(shè)置于終端的生成單元51，生成單元51利用所獲取的構(gòu)建內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的網(wǎng)段信息，在該網(wǎng)段內(nèi)生成內(nèi)網(wǎng)IP地址作為該終端的源內(nèi)網(wǎng)IP地址。

本發(fā)明實(shí)施例提供的上述方法和裝置可以以設(shè)置并運(yùn)行于設(shè)備中的計(jì)算機(jī)程序體現(xiàn)。該設(shè)備可以包括一個(gè)或多個(gè)處理器，還包括存儲(chǔ)器和一個(gè)或多個(gè)程序，如圖7中所示。其中該一個(gè)或多個(gè)程序存儲(chǔ)于存儲(chǔ)器中，被上述一個(gè)或多個(gè)處理器執(zhí)行以實(shí)現(xiàn)本發(fā)明上述實(shí)施例中所示的方法流程和/或裝置操作。例如，被上述一個(gè)或多個(gè)處理器執(zhí)行的方法流程，可以包括：

接收來(lái)自終端的訪問(wèn)請(qǐng)求；

依據(jù)本地存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段，如果是，則依據(jù)路由轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求至對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器；否則，拒絕轉(zhuǎn)發(fā)所述訪問(wèn)請(qǐng)求。

再例如，被上述一個(gè)或多個(gè)處理器執(zhí)行的方法流程，可以包括：

從服務(wù)注冊(cè)器獲取所構(gòu)建內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的網(wǎng)段信息，在該網(wǎng)段內(nèi)生成內(nèi)網(wǎng)IP地址；

終端向中央路由器發(fā)送訪問(wèn)請(qǐng)求，所述訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址包括所述內(nèi)網(wǎng)IP地址，目的IP地址為所述內(nèi)網(wǎng)服務(wù)對(duì)應(yīng)的內(nèi)網(wǎng)服務(wù)器IP地址。

再例如，被上述一個(gè)或多個(gè)處理器執(zhí)行的方法流程，可以包括：

接收終端所發(fā)送的更新路由轉(zhuǎn)發(fā)表的請(qǐng)求；

將所述終端所構(gòu)建內(nèi)網(wǎng)服務(wù)與網(wǎng)段之間的對(duì)應(yīng)關(guān)系發(fā)送給中央路由器，以便中央路由器存儲(chǔ)內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，并更新路由轉(zhuǎn)發(fā)表。

利用本發(fā)明提供的技術(shù)方案，通過(guò)中央路由器依據(jù)本地所存儲(chǔ)的內(nèi)網(wǎng)服務(wù)器IP地址與網(wǎng)段之間的對(duì)應(yīng)關(guān)系，判斷所發(fā)送訪問(wèn)請(qǐng)求的源內(nèi)網(wǎng)IP地址是否屬于所述訪問(wèn)請(qǐng)求的目的IP地址對(duì)應(yīng)的網(wǎng)段，從而使得中央路由器能夠依據(jù)內(nèi)網(wǎng)服務(wù)所對(duì)應(yīng)的網(wǎng)段實(shí)現(xiàn)對(duì)終端對(duì)該內(nèi)網(wǎng)服務(wù)的訪問(wèn)控制，保證了只有某一內(nèi)網(wǎng)服務(wù)的合法終端才能夠訪問(wèn)該內(nèi)網(wǎng)服務(wù)，不需要再使用其他的認(rèn)證方式，簡(jiǎn)化了用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)的操作，并確保了訪問(wèn)內(nèi)網(wǎng)服務(wù)的安全性。

在本發(fā)明所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的裝置和方法，可以通過(guò)其它的方式實(shí)現(xiàn)。例如，以上所描述的裝置實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式。

所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用硬件加軟件功能單元的形式實(shí)現(xiàn)。

上述以軟件功能單元的形式實(shí)現(xiàn)的集成的單元，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。上述軟件功能單元存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)或處理器(processor)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的部分步驟。而前述的存儲(chǔ)介質(zhì)包括：U盤、移動(dòng)硬盤、只讀存儲(chǔ)器(Read-Only Memory，ROM)、隨機(jī)存取存儲(chǔ)器(Random Access Memory，RAM)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。