数据转发方法及装置.pdf

摘要
申请专利号：	CN201410404513.9	申请日：	2014.08.15
公开号：	CN104202307A	公开日：	2014.12.10
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 29/06申请日:20140815\|\|\|公开
IPC分类号：	H04L29/06; H04L12/70(2013.01)I	主分类号：	H04L29/06
申请人：	小米科技有限责任公司
发明人：	贾跃华; 李政; 陈现麟
地址：	100085 北京市海淀区清河中街68号华润五彩城购物中心二期13层
优先权：
专利代理机构：	北京三高永信知识产权代理有限责任公司 11138	代理人：	林锦澜
PDF下载：	PDF下载

内容摘要

本公开关于一种数据转发方法及装置，属于网络技术领域。所述方法应用于路由器中，包括：接收用户设备发送的请求数据包；获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器，远程服务器是请求数据包中携带的URL所指示的服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备。所述装置包括：数据接收模块、域名获取模块、条件检测模块、第一转发模块和数据反馈模块。本公开可解决接入到路由器的终端都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制终端访问网络资源，提高网络安全性的效果。

权利要求书

1.  一种数据转发方法，其特征在于，应用于路由器中，包括：
接收用户设备发送的请求数据包；
获取所述请求数据包的域名；
检测所述域名是否满足预设的转发条件；
若检测出所述域名满足所述转发条件，则将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器；
接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。

2.  根据权利要求1所述的方法，其特征在于，若所述请求数据包是传输控制协议TCP数据包，则所述获取所述请求数据包的域名，包括：
将所述TCP数据包解析成超文本传输协议HTTP数据包；
从所述HTTP数据包中读取所述域名。

3.  根据权利要求1所述的方法，其特征在于，所述检测所述域名是否满足预设的转发条件，包括：
检测预存的转发域名列表中是否包括所述域名，所述转发域名列表所包括的域名是允许所述用户设备访问的远程服务器的域名；
若检测出所述转发域名列表中包括所述域名，确定所述域名满足所述转发条件。

4.  根据权利要求1至3任一项所述的方法，其特征在于，所述获取所述请求数据包的域名之前，还包括：
获取所述请求数据包的协议类型和端口信息；
检测所述协议类型和端口信息是否满足丢弃条件；
若检测出所述协议类型和所述端口信息均不满足所述丢弃条件，则触发执行所述获取所述请求数据包的域名的步骤。

5.  根据权利要求4所述的方法，其特征在于，所述方法还包括：
确定所述路由器上是否开启了域名控制的功能，所述域名控制的功能的开启和关闭由连接至所述路由器的所述用户设备控制；
若确定所述路由器上开启了所述域名控制的功能，则触发执行所述获取所述请求数据包的协议类型和端口信息的步骤；
若确定所述路由器上未开启所述域名控制的功能，则将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的URL所指示的服务器，接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。

6.  根据权利要求1所述的方法，其特征在于，所述方法还包括：
若检测出所述域名不满足所述转发条件，则向所述用户设备发送禁止访问所述远程服务器的提示信息。

7.  一种数据转发装置，其特征在于，用于路由器中，包括：
数据接收模块，被配置为接收用户设备发送的请求数据包；
域名获取模块，被配置为获取所述数据接收模块接收到的所述请求数据包的域名；
条件检测模块，被配置为检测所述域名获取模块获取到的所述域名是否满足预设的转发条件；
第一转发模块，被配置为在所述条件检测模块检测出所述域名满足所述转发条件时，将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器；
数据反馈模块，被配置为接收所述远程服务器根据所述第一转发模块发送的所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。

8.  根据权利要求7所述的装置，其特征在于，若所述请求数据包是传输控制协议TCP数据包，则所述域名获取模块，包括：
数据解析子模块，被配置为将所述TCP数据包解析成超文本传输协议HTTP 数据包；
域名读取子模块，被配置为从所述数据解析子模块解析出的所述HTTP数据包中读取所述域名。

9.  根据权利要求7所述的装置，其特征在于，所述条件检测模块，包括：
列表检测子模块，被配置为检测预存的转发域名列表中是否包括所述域名，所述转发域名列表所包括的域名是允许所述用户设备访问的远程服务器的域名；
域名确定子模块，被配置为在所述列表检测子模块检测出所述转发域名列表中包括所述域名时，确定所述域名满足所述转发条件。

10.  根据权利要求7至9任一项所述的装置，其特征在于，所述装置，还包括：
数据获取模块，被配置为在所述域名获取模块获取所述请求数据包的域名之前，获取所述请求数据包的协议类型和端口信息；
丢弃检测模块，被配置为检测所述数据获取模块获取到的所述协议类型和端口信息是否满足丢弃条件；
转发触发模块，被配置为在所述丢弃检测模块检测出所述协议类型和所述端口信息均不满足所述丢弃条件，则触发执行所述获取所述请求数据包的域名的操作。

11.  根据权利要求10所述的装置，其特征在于，所述装置还包括：
功能确定模块，被配置为确定所述路由器上是否开启了域名控制的功能，所述域名控制的功能的开启和关闭由连接至所述路由器的所述用户设备控制；
获取触发模块，被配置为在所述功能确定模块确定所述路由器上开启了所述域名控制的功能时，触发执行所述获取所述请求数据包的协议类型和端口信息的操作；
第二转发模块，被配置为在所述功能确定模块确定所述路由器上未开启所述域名控制的功能时，将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的URL所指示的服务器，接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。

12.  根据权利要求7所述的装置，其特征在于，所述装置还包括：
信息发送模块，被配置为在所述条件检测模块检测出所述域名不满足所述转发条件时，向所述用户设备发送禁止访问所述远程服务器的提示信息。

13.  一种数据转发装置，其特征在于，应用于路由器中，包括：
处理器；
用于存储处理器可执行指令的存储器；
其中，所述处理器被配置为：
接收用户设备发送的请求数据包；
获取所述请求数据包的域名；
检测所述域名是否满足预设的转发条件；
若检测出所述域名满足所述转发条件，则将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器；
接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。

说明书

数据转发方法及装置
技术领域
本公开涉及网络技术领域，特别涉及一种数据转发方法及装置。
背景技术
路由器是连接因特网中各局域网、广域网的设备，它可以根据信道的情况自动选择和设定路由，以最佳路径顺序发送数据。在信息化极度发展的今天，路由器已经广泛应用于网络中。
相关技术提供的一种数据转发方法包括：路由器接收用户设备发送的访问数据包；路由器根据信道情况以最佳路径转发该访问数据包至远程服务器；路由器接收远程服务器返回的反馈数据包，并将该反馈数据包发送给发起访问的用户设备。
公开人在实现本公开的过程中，发现相关技术中至少存在以下缺陷：
由于路由器可以提供数据转发的功能，接入到路由器的用户设备都能访问网络资源，导致网络资源的安全性较低。
发明内容
为解决接入到路由器的用户设备都能访问网络资源，导致网络资源的安全性较低的问题，本公开提供了一种数据转发方法及装置。
根据本公开实施例的第一方面，提供一种数据转发方法，应用于路由器中，包括：
接收用户设备发送的请求数据包；
获取所述请求数据包的域名；
检测所述域名是否满足预设的转发条件；
若检测出所述域名满足所述转发条件，则将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器；
接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。
可选的，若所述请求数据包是传输控制协议TCP数据包，则所述获取所述请求数据包的域名，包括：
将所述TCP数据包解析成超文本传输协议HTTP数据包；
从所述HTTP数据包中读取所述域名。
可选的，所述检测所述域名是否满足预设的转发条件，包括：
检测预存的转发域名列表中是否包括所述域名，所述转发域名列表所包括的域名是允许所述用户设备访问的远程服务器的域名；
若检测出所述转发域名列表中包括所述域名，确定所述域名满足所述转发条件。
可选的，所述获取所述请求数据包的域名之前，还包括：
获取所述请求数据包的协议类型和端口信息；
检测所述协议类型和端口信息是否满足丢弃条件；
若检测出所述协议类型和所述端口信息均不满足所述丢弃条件，则触发执行所述获取所述请求数据包的域名的步骤。
可选的，所述方法还包括：
确定所述路由器上是否开启了域名控制的功能，所述域名控制的功能的开启和关闭由连接至所述路由器的所述用户设备控制；
若确定所述路由器上开启了所述域名控制的功能，则触发执行所述获取所述请求数据包的协议类型和端口信息的步骤；
若确定所述路由器上未开启所述域名控制的功能，则将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的URL所指示的服务器，接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。
可选的，所述方法还包括：
若检测出所述域名不满足所述转发条件，则向所述用户设备发送禁止访问所述远程服务器的提示信息。
根据本公开实施例的第二方面，提供一种数据转发装置，用于路由器中，包括：
数据接收模块，被配置为接收用户设备发送的请求数据包；
域名获取模块，被配置为获取所述数据接收模块接收到的所述请求数据包的域名；
条件检测模块，被配置为检测所述域名获取模块获取到的所述域名是否满足预设的转发条件；
第一转发模块，被配置为在所述条件检测模块检测出所述域名满足所述转发条件时，将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器；
数据反馈模块，被配置为接收所述远程服务器根据所述第一转发模块发送的所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。
可选的，若所述请求数据包是传输控制协议TCP数据包，则所述域名获取模块，包括：
数据解析子模块，被配置为将所述TCP数据包解析成超文本传输协议HTTP数据包；
域名读取子模块，被配置为从所述数据解析子模块解析出的所述HTTP数据包中读取所述域名。
可选的，所述条件检测模块，包括：
列表检测子模块，被配置为检测预存的转发域名列表中是否包括所述域名，所述转发域名列表所包括的域名是允许所述用户设备访问的远程服务器的域名；
域名确定子模块，被配置为在所述列表检测子模块检测出所述转发域名列表中包括所述域名时，确定所述域名满足所述转发条件。
可选的，所述装置还包括：
数据获取模块，被配置为在所述域名获取模块获取所述请求数据包的域名之前，获取所述请求数据包的协议类型和端口信息；
丢弃检测模块，被配置为检测所述数据获取模块获取到的所述协议类型和端口信息是否满足丢弃条件；
转发触发模块，被配置为在所述丢弃检测模块检测出所述协议类型和所述端口信息均不满足所述丢弃条件，则触发执行所述获取所述请求数据包的域名的操作。
可选的，所述装置还包括：
功能确定模块，被配置为确定所述路由器上是否开启了域名控制的功能，所述域名控制的功能的开启和关闭由连接至所述路由器的所述用户设备控制；
获取触发模块，被配置为在所述功能确定模块确定所述路由器上开启了所述域名控制的功能时，触发执行所述获取所述请求数据包的协议类型和端口信息的操作；
第二转发模块，被配置为在所述功能确定模块确定所述路由器上未开启所述域名控制的功能时，将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的URL所指示的服务器，接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。
可选的，所述装置还包括：
信息发送模块，被配置为在所述条件检测模块检测出所述域名不满足所述转发条件时，向所述用户设备发送禁止访问所述远程服务器的提示信息。
根据本公开实施例的第三方面，提供一种数据转发装置，应用于路由器中，包括：
处理器；
用于存储处理器可执行指令的存储器；
其中，所述处理器被配置为：
接收用户设备发送的请求数据包；
获取所述请求数据包的域名；
检测所述域名是否满足预设的转发条件；
若检测出所述域名满足所述转发条件，则将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器；
接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。
本公开的实施例提供的技术方案可以包括以下有益效果：
通过获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，可以通过路由器直接解析请求数据包得到域名，并在该域名是否满足转发条件时转发请求数据包，解决接入到路由器的用户设备都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制用户设备访问网络资源，提高网络安全性的效果。
应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本公开说明书的一部分，示出了符合本公开的实施例，并于说明书一起用于解释本公开的原理。
图1是根据部分示例性实施例示出的一种数据转发方法所涉及的实施环境的示意图。
图2是根据一示例性实施例示出的一种数据转发方法的流程图。
图3是根据另一示例性实施例示出的一种数据转发方法的流程图。
图4是根据一示例性实施例示出的一种数据转发装置的框图。
图5是根据另一示例性实施例示出的一种数据转发装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
图1是本公开各个实施例所涉及的一种实施环境的结构示意图。该实施环境包括：用户设备110、路由器120和远程服务器130。
用户设备110包括通信组件，该通信组件用于与其它设备之间通过有线或者无线的方式进行通信。用户设备110可以是电话机、手机、计算机或者平板电脑等。至少一个用户设备110与路由器120之间通过有线或无线的方式相连。
路由器120用于为用户设备110和远程服务器130之间建立通信连接，实现用户设备110与远程服务器130之间的信息交换。路由器120与远程服务器130之间可以通过有线或者无线的方式相连。
远程服务器130包括通信组件，该通信组件用于与其它设备之间通过有线或者无线的方式进行通信。远程服务器130可以是电话机、手机、计算机或者平板电脑等。
图2是根据一示例性实施例示出的一种数据转发方法的流程图，该数据转发方法应用于图1所示的路由器中，如图2所示，该数据转发方法包括以下步骤。
在步骤201中，接收用户设备发送的请求数据包。
请求数据包是用户设备发送至路由器，将要由路由器转发给远程服务器的数据包，用于向远程服务器请求网络资源。
在步骤202中，获取请求数据包的域名。
当路由器接收到用户设备发送的请求数据包时，路由器可以对请求数据包进行解析得到域名。其中，域名是一串用点分隔的名字组成的远程服务器的名称，用于在传输数据时标识远程服务器。
在步骤203中，检测域名是否满足预设的转发条件。
远程服务器中存储了网络资源，但是，一些网络资源是保密的，为了保护这些保密的网络资源，路由器可以根据域名对请求数据包进行过滤，即对过滤的请求数据包所访问的网络资源进行保护。本实施例中，路由器可以根据请求数据包的域名和转发条件对请求数据包进行过滤，来实现对用户设备访问网络资源的控制。
在步骤204中，若检测出域名满足转发条件，则将请求数据包发送给远程服务器，该远程服务器是请求数据包中携带的URL(Uniform Resource Locator，统一资源定位符)所指示的服务器。
若路由器检测出请求数据包的域名满足转发条件，则确定与该域名对应的网络资源是公开的网络资源，路由器可以读取请求数据包中携带的URL，确定该URL所指示的远程服务器，将该请求数据包转发给该远程服务器。
在步骤205中，接收远程服务器根据该请求数据包发送的反馈数据包，将该反馈数据包发送给用户设备。
远程服务器在接收到请求数据包后，确定该请求数据包所访问的网络资源，根据该网络资源生成反馈数据包，并将该反馈数据包发送给路由器，由路由器将该反馈数据包转发至用户设备。
综上所述，本公开提供的数据转发方法，通过获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，可以通过路由器直接解析请求数据包得到域名，并在该域名是否满足转发条件时转发请求数据包，解决接入到路由器的用户设备都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制用户设备访问网络资源，提高网络安全性的效果。
图3是根据另一示例性实施例示出的一种数据转发方法的流程图，该数据转发方法应用于图1所示的路由器中，如图3所示，该数据转发方法包括如下步骤。
在步骤301中，接收用户设备发送的请求数据包。
请求数据包是用户设备发送至路由器，将要由路由器转发给远程服务器的数据包，用于向远程服务器请求网络资源。其中，用户设备可以为手机、计算机、平板电脑等电子设备。
在步骤302中，确定路由器上是否开启了域名控制的功能，该域名控制的功能的开启和关闭由连接至路由器的用户设备控制；若确定路由器上开启了域名控制的功能，则执行步骤303；若确定路由器上未开启域名控制的功能，则将请求数据包发送给远程服务器，远程服务器是请求数据包中携带的URL所指示的服务器，接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备。
其中，域名控制的功能用于控制路由器对接收到的请求数据包进行过滤。比如，若在路由器上开启了域名控制的功能，则路由器需要对请求数据包进行过滤，即执行步骤303；若在路由器上未开启域名控制功能，则路由器不需要对请求数据包进行过滤，直接读取请求数据包中携带的URL，确定该URL所指示的远程服务器，将该请求数据包转发给该远程服务器。
其中，域名控制的功能的开启和关闭可以通过路由器上设置的选项控制，也可以通过连接至路由器的用户设备控制。若通过用户设备控制，则可以在用户设备上安装预定应用程序，该预定应用程序用于通过近距离或远程控制域名控制功能的开启和关闭。
在控制路由器时，预定应用程序可以向路由器发送控制指令，路由器根据控制指令执行对应的操作。比如，预定应用程序可以向路由器发送打开指令，则路由器可以根据打开指令打开域名控制的功能；或，预定应用程序可以向路由器发送关闭指令，则路由器可以根据关闭指令关闭域名控制的功能。
在步骤303中，获取请求数据包的协议类型和端口信息。
本实施例中，若打开指令用于指示路由器对请求数据包进行过滤，则路由器还需要获取请求数据包的协议类型和端口信息，或，若路由器中设置了防火墙，则路由器还可以根据打开指令开启防火墙，并通过防火墙获取请求数据包的协议类型和端口信息。其中，协议类型和端口信息用于对请求数据包进行过滤。协议类型可以是路由器用于传输请求数据包的协议，比如，协议类型可以是TCP(Transmission Control Protocol传输控制协议)类型、FTP(File Transfer Protocol，文件传输协议)类型等，端口信息可以是80端口、21端口等。本实施例中，防火墙可以是iptable。
本实施例以路由器通过防火墙获取请求数据包的协议类型和端口信息为例进行说明，则防火墙可以对请求数据包进行解析，从解析得到的协议头中获取到协议类型和端口信息。
本实施例以请求数据包是IP(Internet Protocol，因特网协议)数据包为例进行说明，则防火墙可以对IP数据包进行解析，得到IP头和TCP数据包；再对TCP数据包进行解析，得到TCP头，防火墙可以从TCP头中读取到协议类型和端口信息。
在步骤304中，检测协议类型和端口信息是否满足丢弃条件，若检测出协议类型和端口信息均不满足丢弃条件，则执行步骤305。
丢弃条件用于对请求数据包进行过滤，即，路由器对不满足丢弃条件的请求数据包进行转发，对满足丢弃条件的请求数据包进行丢弃。本实施例中，丢弃条件是根据协议类型和端口信息中的至少一种设置的。本实施例仅以协议类型是TCP类型、FTP类型，端口信息是端口80、端口21为例对丢弃条件的检测进行举例说明，则检测过程如下：
比如，可以将丢弃条件设置为丢弃非TCP类型的请求数据包。此时，路由器通过防火墙检测获取到的协议类型是否是TCP类型；若检测出获取到的协议类型是TCP类型，由于不管端口信息是什么都不满足丢弃条件，则确定该请求数据包不满足丢弃条件。若检测出获取到的协议类型不是TCP类型，则确定该请求数据包是需要丢弃的请求数据包。
又比如，可以将丢弃条件设置为丢弃非TCP类型且非80端口的请求数据包。此时，路由器通过防火墙检测获取到的协议类型是否是TCP类型且获取到的端口信息是否是80；若检测出获取到的协议类型是TCP类型且端口信息是80，则确定该请求数据包不满足丢弃条件。若检测出获取到的协议类型不是TCP类型和端口信息不是80中的至少一种，则确定该请求数据包是需要丢弃的请求数据包。
又比如，可以将丢弃条件设置为丢弃非FTP类型且非21端口的请求数据包。此时，路由器通过防火墙检测获取到的协议类型是否是FTP类型且获取到的端口信息是否是21；若检测出获取到的协议类型是FTP类型且端口信息是21，则确定该请求数据包不满足丢弃条件。若检测出获取到的协议类型不是FTP类型和端口信息不是21中的至少一种，则确定该请求数据包是需要丢弃的请求数据包。
在步骤305中，获取请求数据包的域名。
在路由器根据丢弃条件确定出接收到的请求数据包不满足丢弃条件后，路由器可以对该请求数据包的域名进行解析。由于路由器可以直接对请求数据包进行解析得到域名，从而实现根据域名过滤请求数据包，而不需要将域名解析成IP地址，根据IP地址过滤请求数据包，既节省了对域名进行解析所占用的资源，也可以提高对请求数据包的过滤效率。
本实施例以请求数据包是TCP数据包为例对解析域名的过程进行说明，则若请求数据包是TCP数据包，则获取请求数据包的域名，包括：
1)将TCP数据包解析成超文本传输协议HTTP(Hyper Text Transfer Protocol，超文本传输协议)数据包；
2)从HTTP数据包中读取域名。
其中，TCP数据包包括TCP头和HTTP数据包，因此，路由器可以对TCP数据包进行解析，得到HTTP数据包。由于域名存储在HTTP头中，因此，路由器还需要对HTTP数据包进行解析，从解析得到的HTTP头中读取域名。
在实际实现时，路由器可以通过后台运行的web服务器对请求数据包的域名进行解析，则防火墙在确定请求数据包不满足丢弃条件后，还需要将请求数据包转发给web服务器，由web服务器对请求数据包的域名进行解析和过滤。其中，web服务器是设置在路由器中的应用层的服务器。比如，web服务器可以是nginx。
在步骤306中，检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则执行步骤307；若检测出域名不满足转发条件，则执行步骤309。
转发条件用于过滤路由器转发的请求数据包，由于请求数据包用于访问网络资源，因此，转发条件可以限制用户设备对网络资源的访问。即，路由器对满足转发条件的请求数据包进行转发，对不满足转发条件的请求数据包进行丢弃。
本实施例中，转发条件是根据域名设置的。比如，可以根据允许访问的网络资源所对应的域名生成转发条件。即，可以将允许访问的网络资源所对应的域名添加到转发域名列表中，则检测域名是否满足预设的转发条件，包括：
1)检测预存的转发域名列表中是否包括域名，该转发域名列表所包括的域名是允许用户设备访问的远程服务器的域名；
2)若检测出转发域名列表中包括域名，则确定域名满足转发条件。
路由器可以获取预存的域名转发列表，由于域名转发列表中存储的域名是允许用户设备访问的网络资源所在的远程服务器的域名，因此，路由器可以检测该域名转发列表是否包括该域名。若路由器检测出该域名转发列表包括该域名，则确定该请求数据包满足转发条件；若路由器检测出该域名转发列表不包括该域名，则确定该请求数据包不满足转发条件。
在实际实现时，路由器还可以通过web服务器检测域名是否满足转发条件。即，web服务器检测预存的转发域名列表中是否包括域名，该转发域名列表所包括的域名是允许用户设备访问的远程服务器的域名；若检测出转发域名列表中包括域名，则web服务器确定域名满足转发条件。
在步骤307中，将请求数据包发送给远程服务器，该远程服务器是请求数据包中携带的URL所指示的服务器，执行步骤308。
在将请求数据包转发给远程服务器时，路由器可以读取请求数据包中携带的URL，确定该URL所指示的远程服务器，通过反向代理将该请求数据包转发给该远程服务器。
在步骤308中，接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，流程结束。
远程服务器在接收到请求数据包后，确定该请求数据包所访问的网络资源，根据该网络资源生成反馈数据包，并将该反馈数据包发送给路由器，由路由器将该反馈数据包转发至用户设备。
步骤309，向用户设备发送禁止访问远程服务器的提示信息。
若路由器丢弃了请求数据包，则路由器可以向用户设备发送提示信息，该提示信息用于提示禁止用户设备访问远程服务器。比如，路由器可以向用户设备发送包含提示信息的网页，该提示信息可以是“对不起，您没有访问该网站的权限”。
需要补充说明的是，还可以将禁止访问的网络资源所对应的域名添加到禁止转发域名列表中。此时，web服务器可以检测该禁止转发域名列表中是否包括获取到的域名。若web服务器检测出禁止转发域名列表中不包括获取到的域名，则确定该请求数据包满足转发条件，将该请求数据包转发给域名对应的远程服务器，以实现对网络资源的访问；若web服务器检测出禁止转发域名列表中包括获取到的域名，则确定该请求数据包不满足转发条件，丢弃该请求数据包。
综上所述，本公开提供的数据转发方法，通过获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，可以通过路由器直接解析请求数据包得到域名，并在该域名是否满足转发条件时转发请求数据包，解决接入到路由器的终端都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制终端访问网络资源，提高网络安全性的效果。
另外，通过将TCP数据包解析成HTTP数据包；从HTTP数据包中读取域名，可以直接对请求数据包进行解析得到域名，从而实现根据域名过滤请求数据包，而不需要将域名解析成IP地址，根据IP地址过滤请求数据包，既节省了对域名进行解析所占用的资源，也可以提高对请求数据包的过滤效率。
图4是根据一示例性实施例示出的一种数据转发装置的框图，该数据转发装置应用于图1所示的路由器中，如图4所示，该数据转发装置包括：数据接收模块401、域名获取模块402、条件检测模块403、第一转发模块404和数据反馈模块405。
该数据接收模块401，被配置为接收用户设备发送的请求数据包；
该域名获取模块402，被配置为获取数据接收模块401接收到的请求数据包的域名；
该条件检测模块403，被配置为检测域名获取模块402获取到的域名是否满足预设的转发条件；
该第一转发模块404，被配置为在条件检测模块403检测出域名满足转发条件时，将请求数据包发送给远程服务器，远程服务器是请求数据包中携带的URL所指示的服务器；
该数据反馈模块405，被配置为接收远程服务器根据第一转发模块404发送的请求数据包发送的反馈数据包，将反馈数据包发送给用户设备。
综上所述，本公开提供的数据转发装置，通过获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，可以通过路由器直接解析请求数据包得到域名，并在该域名是否满足转发条件时转发请求数据包，解决接入到路由器的终端都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制终端访问网络资源，提高网络安全性的效果。
图5是根据另一示例性实施例示出的一种数据转发装置的框图，该数据转发装置应用于图1所示的路由器中，如图5所示，该数据转发装置包括：数据接收模块401、域名获取模块402、条件检测模块403、第一转发模块404和数据反馈模块405。
该数据接收模块401，被配置为接收用户设备发送的请求数据包；
该域名获取模块402，被配置为获取数据接收模块401接收到的请求数据包的域名；
该条件检测模块403，被配置为检测域名获取模块402获取到的域名是否满足预设的转发条件；
该第一转发模块404，被配置为在条件检测模块403检测出域名满足转发条件时，将请求数据包发送给远程服务器，远程服务器是请求数据包中携带的URL所指示的服务器；
该数据反馈模块405，被配置为接收远程服务器根据第一转发模块404发送的请求数据包发送的反馈数据包，将反馈数据包发送给用户设备；
可选的，若请求数据包是TCP数据包，则域名获取模块402，包括：数据解析子模块4021和域名读取子模块4022。
该数据解析子模块4021，被配置为将TCP数据包解析成HTTP数据包；
该域名读取子模块4022，被配置为从数据解析子模块4021解析出的HTTP数据包中读取域名。
可选的，条件检测模块403，包括：列表检测子模块4031和域名确定子模块4032。
该列表检测子模块4031，被配置为检测预存的转发域名列表中是否包括域名，转发域名列表所包括的域名是允许用户设备访问的远程服务器的域名；
域名确定子模块4032，被配置为在列表检测子模块4031检测出转发域名列表中包括域名时，确定域名满足转发条件。
可选的，本实施例提供的数据转发装置还包括：数据获取模块409、丢弃检测模块410和转发触发模块411。
该数据获取模块409，被配置为在域名获取模块402获取请求数据包的域名之前，获取请求数据包的协议类型和端口信息；
该丢弃检测模块410，被配置为检测数据获取模块409获取到的协议类型和端口信息是否满足丢弃条件；
该转发触发模块411，被配置为在丢弃检测模块410检测出协议类型和端口信息均不满足丢弃条件，则触发执行获取请求数据包的域名的操作。
可选的，本实施例提供的数据转发装置还包括：功能确定模块406、获取触发模块407和第二转发模块408。
该功能确定模块406，被配置为确定路由器上是否开启了域名控制的功能，域名控制的功能的开启和关闭由连接至路由器的用户设备控制；
该获取触发模块407，被配置为在功能确定模块406确定路由器上开启了域名控制的功能时，触发执行获取请求数据包的协议类型和端口信息的操作；
该第二转发模块408，被配置为在功能确定模块406确定路由器上未开启域名控制的功能时，将请求数据包发送给远程服务器，远程服务器是请求数据包中携带的URL所指示的服务器，接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备。
可选的，本实施例提供的数据转发装置还包括：信息发送模块412。
该信息发送模块412，被配置为在条件检测模块403检测出域名不满足转发条件时，向用户设备发送禁止访问远程服务器的提示信息。
综上所述，本公开提供的数据转发装置，通过获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，可以通过路由器直接解析请求数据包得到域名，并在该域名是否满足转发条件时转发请求数据包，解决接入到路由器的终端都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制终端访问网络资源，提高网络安全性的效果。
另外，通过将TCP数据包解析成HTTP数据包；从HTTP数据包中读取域名，可以直接对请求数据包进行解析得到域名，从而实现根据域名过滤请求数据包，而不需要将域名解析成IP地址，根据IP地址过滤请求数据包，既节省了对域名进行解析所占用的资源，也可以提高对请求数据包的过滤效率。
本公开一示例性实施例还提供了一种数据转发装置，该数据转发装置应用于路由器中，包括：
处理器；
用于存储处理器可执行指令的存储器；
其中，处理器被配置为：
接收用户设备发送的请求数据包；
获取请求数据包的域名；
检测域名是否满足预设的转发条件；
若检测出域名满足转发条件，则将请求数据包发送给远程服务器，远程服务器是请求数据包中携带的URL所指示的服务器；
接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备。
综上所述，本公开提供的数据转发装置，通过获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，可以通过路由器直接解析请求数据包得到域名，并在该域名是否满足转发条件时转发请求数据包，解决接入到路由器的终端都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制终端访问网络资源，提高网络安全性的效果。
关于上述实施例中的数据转发装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
本领域技术人员在考虑说明书及实践这里的公开的后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。
应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

资源描述

《数据转发方法及装置.pdf》由会员分享，可在线阅读，更多相关《数据转发方法及装置.pdf（18页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104202307A43申请公布日20141210CN104202307A21申请号201410404513922申请日20140815H04L29/06200601H04L12/7020130171申请人小米科技有限责任公司地址100085北京市海淀区清河中街68号华润五彩城购物中心二期13层72发明人贾跃华李政陈现麟74专利代理机构北京三高永信知识产权代理有限责任公司11138代理人林锦澜54发明名称数据转发方法及装置57摘要本公开关于一种数据转发方法及装置，属于网络技术领域。所述方法应用于路由器中，包括接收用户设备发送的请求数据包；获取请求数据包的域名；检测域名是否满足。

2、预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器，远程服务器是请求数据包中携带的URL所指示的服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备。所述装置包括数据接收模块、域名获取模块、条件检测模块、第一转发模块和数据反馈模块。本公开可解决接入到路由器的终端都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制终端访问网络资源，提高网络安全性的效果。51INTCL权利要求书3页说明书11页附图3页19中华人民共和国国家知识产权局12发明专利申请权利要求书3页说明书11页附图3页10申请公布号CN104202307ACN10420230。

3、7A1/3页21一种数据转发方法，其特征在于，应用于路由器中，包括接收用户设备发送的请求数据包；获取所述请求数据包的域名；检测所述域名是否满足预设的转发条件；若检测出所述域名满足所述转发条件，则将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器；接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。2根据权利要求1所述的方法，其特征在于，若所述请求数据包是传输控制协议TCP数据包，则所述获取所述请求数据包的域名，包括将所述TCP数据包解析成超文本传输协议HTTP数据包；从所述HTTP数据包中读取所述域名。

4、。3根据权利要求1所述的方法，其特征在于，所述检测所述域名是否满足预设的转发条件，包括检测预存的转发域名列表中是否包括所述域名，所述转发域名列表所包括的域名是允许所述用户设备访问的远程服务器的域名；若检测出所述转发域名列表中包括所述域名，确定所述域名满足所述转发条件。4根据权利要求1至3任一项所述的方法，其特征在于，所述获取所述请求数据包的域名之前，还包括获取所述请求数据包的协议类型和端口信息；检测所述协议类型和端口信息是否满足丢弃条件；若检测出所述协议类型和所述端口信息均不满足所述丢弃条件，则触发执行所述获取所述请求数据包的域名的步骤。5根据权利要求4所述的方法，其特征在于，所述方法还包括确。

5、定所述路由器上是否开启了域名控制的功能，所述域名控制的功能的开启和关闭由连接至所述路由器的所述用户设备控制；若确定所述路由器上开启了所述域名控制的功能，则触发执行所述获取所述请求数据包的协议类型和端口信息的步骤；若确定所述路由器上未开启所述域名控制的功能，则将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的URL所指示的服务器，接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。6根据权利要求1所述的方法，其特征在于，所述方法还包括若检测出所述域名不满足所述转发条件，则向所述用户设备发送禁止访问所述远程服务器的提示信息。7一种数据转发。

6、装置，其特征在于，用于路由器中，包括数据接收模块，被配置为接收用户设备发送的请求数据包；域名获取模块，被配置为获取所述数据接收模块接收到的所述请求数据包的域名；条件检测模块，被配置为检测所述域名获取模块获取到的所述域名是否满足预设的转发条件；权利要求书CN104202307A2/3页3第一转发模块，被配置为在所述条件检测模块检测出所述域名满足所述转发条件时，将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器；数据反馈模块，被配置为接收所述远程服务器根据所述第一转发模块发送的所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。

7、。8根据权利要求7所述的装置，其特征在于，若所述请求数据包是传输控制协议TCP数据包，则所述域名获取模块，包括数据解析子模块，被配置为将所述TCP数据包解析成超文本传输协议HTTP数据包；域名读取子模块，被配置为从所述数据解析子模块解析出的所述HTTP数据包中读取所述域名。9根据权利要求7所述的装置，其特征在于，所述条件检测模块，包括列表检测子模块，被配置为检测预存的转发域名列表中是否包括所述域名，所述转发域名列表所包括的域名是允许所述用户设备访问的远程服务器的域名；域名确定子模块，被配置为在所述列表检测子模块检测出所述转发域名列表中包括所述域名时，确定所述域名满足所述转发条件。10根据权利要。

8、求7至9任一项所述的装置，其特征在于，所述装置，还包括数据获取模块，被配置为在所述域名获取模块获取所述请求数据包的域名之前，获取所述请求数据包的协议类型和端口信息；丢弃检测模块，被配置为检测所述数据获取模块获取到的所述协议类型和端口信息是否满足丢弃条件；转发触发模块，被配置为在所述丢弃检测模块检测出所述协议类型和所述端口信息均不满足所述丢弃条件，则触发执行所述获取所述请求数据包的域名的操作。11根据权利要求10所述的装置，其特征在于，所述装置还包括功能确定模块，被配置为确定所述路由器上是否开启了域名控制的功能，所述域名控制的功能的开启和关闭由连接至所述路由器的所述用户设备控制；获取触发模块，被。

9、配置为在所述功能确定模块确定所述路由器上开启了所述域名控制的功能时，触发执行所述获取所述请求数据包的协议类型和端口信息的操作；第二转发模块，被配置为在所述功能确定模块确定所述路由器上未开启所述域名控制的功能时，将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的URL所指示的服务器，接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。12根据权利要求7所述的装置，其特征在于，所述装置还包括信息发送模块，被配置为在所述条件检测模块检测出所述域名不满足所述转发条件时，向所述用户设备发送禁止访问所述远程服务器的提示信息。13一种数据转发装置，。

10、其特征在于，应用于路由器中，包括处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为接收用户设备发送的请求数据包；权利要求书CN104202307A3/3页4获取所述请求数据包的域名；检测所述域名是否满足预设的转发条件；若检测出所述域名满足所述转发条件，则将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器；接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。权利要求书CN104202307A1/11页5数据转发方法及装置技术领域0001本公开涉及网络技术领域，特别涉及一种数据转发方法及装。

11、置。背景技术0002路由器是连接因特网中各局域网、广域网的设备，它可以根据信道的情况自动选择和设定路由，以最佳路径顺序发送数据。在信息化极度发展的今天，路由器已经广泛应用于网络中。0003相关技术提供的一种数据转发方法包括路由器接收用户设备发送的访问数据包；路由器根据信道情况以最佳路径转发该访问数据包至远程服务器；路由器接收远程服务器返回的反馈数据包，并将该反馈数据包发送给发起访问的用户设备。0004公开人在实现本公开的过程中，发现相关技术中至少存在以下缺陷0005由于路由器可以提供数据转发的功能，接入到路由器的用户设备都能访问网络资源，导致网络资源的安全性较低。发明内容0006为解决接入到路。

12、由器的用户设备都能访问网络资源，导致网络资源的安全性较低的问题，本公开提供了一种数据转发方法及装置。0007根据本公开实施例的第一方面，提供一种数据转发方法，应用于路由器中，包括0008接收用户设备发送的请求数据包；0009获取所述请求数据包的域名；0010检测所述域名是否满足预设的转发条件；0011若检测出所述域名满足所述转发条件，则将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器；0012接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。0013可选的，若所述请求数据包是传输控制协议TCP数据。

13、包，则所述获取所述请求数据包的域名，包括0014将所述TCP数据包解析成超文本传输协议HTTP数据包；0015从所述HTTP数据包中读取所述域名。0016可选的，所述检测所述域名是否满足预设的转发条件，包括0017检测预存的转发域名列表中是否包括所述域名，所述转发域名列表所包括的域名是允许所述用户设备访问的远程服务器的域名；0018若检测出所述转发域名列表中包括所述域名，确定所述域名满足所述转发条件。0019可选的，所述获取所述请求数据包的域名之前，还包括0020获取所述请求数据包的协议类型和端口信息；0021检测所述协议类型和端口信息是否满足丢弃条件；说明书CN104202307A2/11页。

14、60022若检测出所述协议类型和所述端口信息均不满足所述丢弃条件，则触发执行所述获取所述请求数据包的域名的步骤。0023可选的，所述方法还包括0024确定所述路由器上是否开启了域名控制的功能，所述域名控制的功能的开启和关闭由连接至所述路由器的所述用户设备控制；0025若确定所述路由器上开启了所述域名控制的功能，则触发执行所述获取所述请求数据包的协议类型和端口信息的步骤；0026若确定所述路由器上未开启所述域名控制的功能，则将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的URL所指示的服务器，接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述。

15、用户设备。0027可选的，所述方法还包括0028若检测出所述域名不满足所述转发条件，则向所述用户设备发送禁止访问所述远程服务器的提示信息。0029根据本公开实施例的第二方面，提供一种数据转发装置，用于路由器中，包括0030数据接收模块，被配置为接收用户设备发送的请求数据包；0031域名获取模块，被配置为获取所述数据接收模块接收到的所述请求数据包的域名；0032条件检测模块，被配置为检测所述域名获取模块获取到的所述域名是否满足预设的转发条件；0033第一转发模块，被配置为在所述条件检测模块检测出所述域名满足所述转发条件时，将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的统。

16、一资源定位符URL所指示的服务器；0034数据反馈模块，被配置为接收所述远程服务器根据所述第一转发模块发送的所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。0035可选的，若所述请求数据包是传输控制协议TCP数据包，则所述域名获取模块，包括0036数据解析子模块，被配置为将所述TCP数据包解析成超文本传输协议HTTP数据包；0037域名读取子模块，被配置为从所述数据解析子模块解析出的所述HTTP数据包中读取所述域名。0038可选的，所述条件检测模块，包括0039列表检测子模块，被配置为检测预存的转发域名列表中是否包括所述域名，所述转发域名列表所包括的域名是允许所述用户设备访。

17、问的远程服务器的域名；0040域名确定子模块，被配置为在所述列表检测子模块检测出所述转发域名列表中包括所述域名时，确定所述域名满足所述转发条件。0041可选的，所述装置还包括0042数据获取模块，被配置为在所述域名获取模块获取所述请求数据包的域名之前，获取所述请求数据包的协议类型和端口信息；说明书CN104202307A3/11页70043丢弃检测模块，被配置为检测所述数据获取模块获取到的所述协议类型和端口信息是否满足丢弃条件；0044转发触发模块，被配置为在所述丢弃检测模块检测出所述协议类型和所述端口信息均不满足所述丢弃条件，则触发执行所述获取所述请求数据包的域名的操作。0045可选的，所述。

18、装置还包括0046功能确定模块，被配置为确定所述路由器上是否开启了域名控制的功能，所述域名控制的功能的开启和关闭由连接至所述路由器的所述用户设备控制；0047获取触发模块，被配置为在所述功能确定模块确定所述路由器上开启了所述域名控制的功能时，触发执行所述获取所述请求数据包的协议类型和端口信息的操作；0048第二转发模块，被配置为在所述功能确定模块确定所述路由器上未开启所述域名控制的功能时，将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的URL所指示的服务器，接收所述远程服务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。0049可选的，所述装置。

19、还包括0050信息发送模块，被配置为在所述条件检测模块检测出所述域名不满足所述转发条件时，向所述用户设备发送禁止访问所述远程服务器的提示信息。0051根据本公开实施例的第三方面，提供一种数据转发装置，应用于路由器中，包括0052处理器；0053用于存储处理器可执行指令的存储器；0054其中，所述处理器被配置为0055接收用户设备发送的请求数据包；0056获取所述请求数据包的域名；0057检测所述域名是否满足预设的转发条件；0058若检测出所述域名满足所述转发条件，则将所述请求数据包发送给远程服务器，所述远程服务器是所述请求数据包中携带的统一资源定位符URL所指示的服务器；0059接收所述远程服。

20、务器根据所述请求数据包发送的反馈数据包，将所述反馈数据包发送给所述用户设备。0060本公开的实施例提供的技术方案可以包括以下有益效果0061通过获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，可以通过路由器直接解析请求数据包得到域名，并在该域名是否满足转发条件时转发请求数据包，解决接入到路由器的用户设备都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制用户设备访问网络资源，提高网络安全性的效果。0062应当理解的是，以上的一般描述和后文的细节描述仅。

21、是示例性的，并不能限制本公开。附图说明0063此处的附图被并入说明书中并构成本公开说明书的一部分，示出了符合本公开的说明书CN104202307A4/11页8实施例，并于说明书一起用于解释本公开的原理。0064图1是根据部分示例性实施例示出的一种数据转发方法所涉及的实施环境的示意图。0065图2是根据一示例性实施例示出的一种数据转发方法的流程图。0066图3是根据另一示例性实施例示出的一种数据转发方法的流程图。0067图4是根据一示例性实施例示出的一种数据转发装置的框图。0068图5是根据另一示例性实施例示出的一种数据转发装置的框图。具体实施方式0069这里将详细地对示例性实施例进行说明，其示。

22、例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。0070图1是本公开各个实施例所涉及的一种实施环境的结构示意图。该实施环境包括用户设备110、路由器120和远程服务器130。0071用户设备110包括通信组件，该通信组件用于与其它设备之间通过有线或者无线的方式进行通信。用户设备110可以是电话机、手机、计算机或者平板电脑等。至少一个用户设备110与路由器120之间通过有线或无线的方式相连。00。

23、72路由器120用于为用户设备110和远程服务器130之间建立通信连接，实现用户设备110与远程服务器130之间的信息交换。路由器120与远程服务器130之间可以通过有线或者无线的方式相连。0073远程服务器130包括通信组件，该通信组件用于与其它设备之间通过有线或者无线的方式进行通信。远程服务器130可以是电话机、手机、计算机或者平板电脑等。0074图2是根据一示例性实施例示出的一种数据转发方法的流程图，该数据转发方法应用于图1所示的路由器中，如图2所示，该数据转发方法包括以下步骤。0075在步骤201中，接收用户设备发送的请求数据包。0076请求数据包是用户设备发送至路由器，将要由路由器转。

24、发给远程服务器的数据包，用于向远程服务器请求网络资源。0077在步骤202中，获取请求数据包的域名。0078当路由器接收到用户设备发送的请求数据包时，路由器可以对请求数据包进行解析得到域名。其中，域名是一串用点分隔的名字组成的远程服务器的名称，用于在传输数据时标识远程服务器。0079在步骤203中，检测域名是否满足预设的转发条件。0080远程服务器中存储了网络资源，但是，一些网络资源是保密的，为了保护这些保密的网络资源，路由器可以根据域名对请求数据包进行过滤，即对过滤的请求数据包所访问的网络资源进行保护。本实施例中，路由器可以根据请求数据包的域名和转发条件对请求数据包进行过滤，来实现对用户设备。

25、访问网络资源的控制。0081在步骤204中，若检测出域名满足转发条件，则将请求数据包发送给远程服务器，该远程服务器是请求数据包中携带的URLUNIFORMRESOURCELOCATOR，统一资源定位符说明书CN104202307A5/11页9所指示的服务器。0082若路由器检测出请求数据包的域名满足转发条件，则确定与该域名对应的网络资源是公开的网络资源，路由器可以读取请求数据包中携带的URL，确定该URL所指示的远程服务器，将该请求数据包转发给该远程服务器。0083在步骤205中，接收远程服务器根据该请求数据包发送的反馈数据包，将该反馈数据包发送给用户设备。0084远程服务器在接收到请求数据包。

26、后，确定该请求数据包所访问的网络资源，根据该网络资源生成反馈数据包，并将该反馈数据包发送给路由器，由路由器将该反馈数据包转发至用户设备。0085综上所述，本公开提供的数据转发方法，通过获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，可以通过路由器直接解析请求数据包得到域名，并在该域名是否满足转发条件时转发请求数据包，解决接入到路由器的用户设备都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制用户设备访问网络资源，提高网络安全性的效果。0086图3是。

27、根据另一示例性实施例示出的一种数据转发方法的流程图，该数据转发方法应用于图1所示的路由器中，如图3所示，该数据转发方法包括如下步骤。0087在步骤301中，接收用户设备发送的请求数据包。0088请求数据包是用户设备发送至路由器，将要由路由器转发给远程服务器的数据包，用于向远程服务器请求网络资源。其中，用户设备可以为手机、计算机、平板电脑等电子设备。0089在步骤302中，确定路由器上是否开启了域名控制的功能，该域名控制的功能的开启和关闭由连接至路由器的用户设备控制；若确定路由器上开启了域名控制的功能，则执行步骤303；若确定路由器上未开启域名控制的功能，则将请求数据包发送给远程服务器，远程服务。

28、器是请求数据包中携带的URL所指示的服务器，接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备。0090其中，域名控制的功能用于控制路由器对接收到的请求数据包进行过滤。比如，若在路由器上开启了域名控制的功能，则路由器需要对请求数据包进行过滤，即执行步骤303；若在路由器上未开启域名控制功能，则路由器不需要对请求数据包进行过滤，直接读取请求数据包中携带的URL，确定该URL所指示的远程服务器，将该请求数据包转发给该远程服务器。0091其中，域名控制的功能的开启和关闭可以通过路由器上设置的选项控制，也可以通过连接至路由器的用户设备控制。若通过用户设备控制，则可以在用户设备上安。

29、装预定应用程序，该预定应用程序用于通过近距离或远程控制域名控制功能的开启和关闭。0092在控制路由器时，预定应用程序可以向路由器发送控制指令，路由器根据控制指令执行对应的操作。比如，预定应用程序可以向路由器发送打开指令，则路由器可以根据打开指令打开域名控制的功能；或，预定应用程序可以向路由器发送关闭指令，则路由器可以根据关闭指令关闭域名控制的功能。0093在步骤303中，获取请求数据包的协议类型和端口信息。说明书CN104202307A6/11页100094本实施例中，若打开指令用于指示路由器对请求数据包进行过滤，则路由器还需要获取请求数据包的协议类型和端口信息，或，若路由器中设置了防火墙，则。

30、路由器还可以根据打开指令开启防火墙，并通过防火墙获取请求数据包的协议类型和端口信息。其中，协议类型和端口信息用于对请求数据包进行过滤。协议类型可以是路由器用于传输请求数据包的协议，比如，协议类型可以是TCPTRANSMISSIONCONTROLPROTOCOL传输控制协议类型、FTPFILETRANSFERPROTOCOL，文件传输协议类型等，端口信息可以是80端口、21端口等。本实施例中，防火墙可以是IPTABLE。0095本实施例以路由器通过防火墙获取请求数据包的协议类型和端口信息为例进行说明，则防火墙可以对请求数据包进行解析，从解析得到的协议头中获取到协议类型和端口信息。0096本实施例。

31、以请求数据包是IPINTERNETPROTOCOL，因特网协议数据包为例进行说明，则防火墙可以对IP数据包进行解析，得到IP头和TCP数据包；再对TCP数据包进行解析，得到TCP头，防火墙可以从TCP头中读取到协议类型和端口信息。0097在步骤304中，检测协议类型和端口信息是否满足丢弃条件，若检测出协议类型和端口信息均不满足丢弃条件，则执行步骤305。0098丢弃条件用于对请求数据包进行过滤，即，路由器对不满足丢弃条件的请求数据包进行转发，对满足丢弃条件的请求数据包进行丢弃。本实施例中，丢弃条件是根据协议类型和端口信息中的至少一种设置的。本实施例仅以协议类型是TCP类型、FTP类型，端口信息。

32、是端口80、端口21为例对丢弃条件的检测进行举例说明，则检测过程如下0099比如，可以将丢弃条件设置为丢弃非TCP类型的请求数据包。此时，路由器通过防火墙检测获取到的协议类型是否是TCP类型；若检测出获取到的协议类型是TCP类型，由于不管端口信息是什么都不满足丢弃条件，则确定该请求数据包不满足丢弃条件。若检测出获取到的协议类型不是TCP类型，则确定该请求数据包是需要丢弃的请求数据包。0100又比如，可以将丢弃条件设置为丢弃非TCP类型且非80端口的请求数据包。此时，路由器通过防火墙检测获取到的协议类型是否是TCP类型且获取到的端口信息是否是80；若检测出获取到的协议类型是TCP类型且端口信息是。

33、80，则确定该请求数据包不满足丢弃条件。若检测出获取到的协议类型不是TCP类型和端口信息不是80中的至少一种，则确定该请求数据包是需要丢弃的请求数据包。0101又比如，可以将丢弃条件设置为丢弃非FTP类型且非21端口的请求数据包。此时，路由器通过防火墙检测获取到的协议类型是否是FTP类型且获取到的端口信息是否是21；若检测出获取到的协议类型是FTP类型且端口信息是21，则确定该请求数据包不满足丢弃条件。若检测出获取到的协议类型不是FTP类型和端口信息不是21中的至少一种，则确定该请求数据包是需要丢弃的请求数据包。0102在步骤305中，获取请求数据包的域名。0103在路由器根据丢弃条件确定出接。

34、收到的请求数据包不满足丢弃条件后，路由器可以对该请求数据包的域名进行解析。由于路由器可以直接对请求数据包进行解析得到域名，从而实现根据域名过滤请求数据包，而不需要将域名解析成IP地址，根据IP地址过滤请求数据包，既节省了对域名进行解析所占用的资源，也可以提高对请求数据包的过滤效率。说明书CN104202307A107/11页110104本实施例以请求数据包是TCP数据包为例对解析域名的过程进行说明，则若请求数据包是TCP数据包，则获取请求数据包的域名，包括01051将TCP数据包解析成超文本传输协议HTTPHYPERTEXTTRANSFERPROTOCOL，超文本传输协议数据包；01062从H。

35、TTP数据包中读取域名。0107其中，TCP数据包包括TCP头和HTTP数据包，因此，路由器可以对TCP数据包进行解析，得到HTTP数据包。由于域名存储在HTTP头中，因此，路由器还需要对HTTP数据包进行解析，从解析得到的HTTP头中读取域名。0108在实际实现时，路由器可以通过后台运行的WEB服务器对请求数据包的域名进行解析，则防火墙在确定请求数据包不满足丢弃条件后，还需要将请求数据包转发给WEB服务器，由WEB服务器对请求数据包的域名进行解析和过滤。其中，WEB服务器是设置在路由器中的应用层的服务器。比如，WEB服务器可以是NGINX。0109在步骤306中，检测域名是否满足预设的转发条。

36、件；若检测出域名满足转发条件，则执行步骤307；若检测出域名不满足转发条件，则执行步骤309。0110转发条件用于过滤路由器转发的请求数据包，由于请求数据包用于访问网络资源，因此，转发条件可以限制用户设备对网络资源的访问。即，路由器对满足转发条件的请求数据包进行转发，对不满足转发条件的请求数据包进行丢弃。0111本实施例中，转发条件是根据域名设置的。比如，可以根据允许访问的网络资源所对应的域名生成转发条件。即，可以将允许访问的网络资源所对应的域名添加到转发域名列表中，则检测域名是否满足预设的转发条件，包括01121检测预存的转发域名列表中是否包括域名，该转发域名列表所包括的域名是允许用户设备访。

37、问的远程服务器的域名；01132若检测出转发域名列表中包括域名，则确定域名满足转发条件。0114路由器可以获取预存的域名转发列表，由于域名转发列表中存储的域名是允许用户设备访问的网络资源所在的远程服务器的域名，因此，路由器可以检测该域名转发列表是否包括该域名。若路由器检测出该域名转发列表包括该域名，则确定该请求数据包满足转发条件；若路由器检测出该域名转发列表不包括该域名，则确定该请求数据包不满足转发条件。0115在实际实现时，路由器还可以通过WEB服务器检测域名是否满足转发条件。即，WEB服务器检测预存的转发域名列表中是否包括域名，该转发域名列表所包括的域名是允许用户设备访问的远程服务器的域名。

38、；若检测出转发域名列表中包括域名，则WEB服务器确定域名满足转发条件。0116在步骤307中，将请求数据包发送给远程服务器，该远程服务器是请求数据包中携带的URL所指示的服务器，执行步骤308。0117在将请求数据包转发给远程服务器时，路由器可以读取请求数据包中携带的URL，确定该URL所指示的远程服务器，通过反向代理将该请求数据包转发给该远程服务器。0118在步骤308中，接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，流程结束。0119远程服务器在接收到请求数据包后，确定该请求数据包所访问的网络资源，根据说明书CN104202307A118/11页12该网络资源生。

39、成反馈数据包，并将该反馈数据包发送给路由器，由路由器将该反馈数据包转发至用户设备。0120步骤309，向用户设备发送禁止访问远程服务器的提示信息。0121若路由器丢弃了请求数据包，则路由器可以向用户设备发送提示信息，该提示信息用于提示禁止用户设备访问远程服务器。比如，路由器可以向用户设备发送包含提示信息的网页，该提示信息可以是“对不起，您没有访问该网站的权限”。0122需要补充说明的是，还可以将禁止访问的网络资源所对应的域名添加到禁止转发域名列表中。此时，WEB服务器可以检测该禁止转发域名列表中是否包括获取到的域名。若WEB服务器检测出禁止转发域名列表中不包括获取到的域名，则确定该请求数据包满。

40、足转发条件，将该请求数据包转发给域名对应的远程服务器，以实现对网络资源的访问；若WEB服务器检测出禁止转发域名列表中包括获取到的域名，则确定该请求数据包不满足转发条件，丢弃该请求数据包。0123综上所述，本公开提供的数据转发方法，通过获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，可以通过路由器直接解析请求数据包得到域名，并在该域名是否满足转发条件时转发请求数据包，解决接入到路由器的终端都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制终端访问网络。

41、资源，提高网络安全性的效果。0124另外，通过将TCP数据包解析成HTTP数据包；从HTTP数据包中读取域名，可以直接对请求数据包进行解析得到域名，从而实现根据域名过滤请求数据包，而不需要将域名解析成IP地址，根据IP地址过滤请求数据包，既节省了对域名进行解析所占用的资源，也可以提高对请求数据包的过滤效率。0125图4是根据一示例性实施例示出的一种数据转发装置的框图，该数据转发装置应用于图1所示的路由器中，如图4所示，该数据转发装置包括数据接收模块401、域名获取模块402、条件检测模块403、第一转发模块404和数据反馈模块405。0126该数据接收模块401，被配置为接收用户设备发送的请求。

42、数据包；0127该域名获取模块402，被配置为获取数据接收模块401接收到的请求数据包的域名；0128该条件检测模块403，被配置为检测域名获取模块402获取到的域名是否满足预设的转发条件；0129该第一转发模块404，被配置为在条件检测模块403检测出域名满足转发条件时，将请求数据包发送给远程服务器，远程服务器是请求数据包中携带的URL所指示的服务器；0130该数据反馈模块405，被配置为接收远程服务器根据第一转发模块404发送的请求数据包发送的反馈数据包，将反馈数据包发送给用户设备。0131综上所述，本公开提供的数据转发装置，通过获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测。

43、出域名满足转发条件，则将请求数据包发送给远程服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，可以通过路由器直接解析请求数据包得到域名，并在该域名是否满足转发条件时转发请求数据说明书CN104202307A129/11页13包，解决接入到路由器的终端都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制终端访问网络资源，提高网络安全性的效果。0132图5是根据另一示例性实施例示出的一种数据转发装置的框图，该数据转发装置应用于图1所示的路由器中，如图5所示，该数据转发装置包括数据接收模块401、域名获取模块402、条件检测模块403、第一转发模块404和数据。

44、反馈模块405。0133该数据接收模块401，被配置为接收用户设备发送的请求数据包；0134该域名获取模块402，被配置为获取数据接收模块401接收到的请求数据包的域名；0135该条件检测模块403，被配置为检测域名获取模块402获取到的域名是否满足预设的转发条件；0136该第一转发模块404，被配置为在条件检测模块403检测出域名满足转发条件时，将请求数据包发送给远程服务器，远程服务器是请求数据包中携带的URL所指示的服务器；0137该数据反馈模块405，被配置为接收远程服务器根据第一转发模块404发送的请求数据包发送的反馈数据包，将反馈数据包发送给用户设备；0138可选的，若请求数据包是T。

45、CP数据包，则域名获取模块402，包括数据解析子模块4021和域名读取子模块4022。0139该数据解析子模块4021，被配置为将TCP数据包解析成HTTP数据包；0140该域名读取子模块4022，被配置为从数据解析子模块4021解析出的HTTP数据包中读取域名。0141可选的，条件检测模块403，包括列表检测子模块4031和域名确定子模块4032。0142该列表检测子模块4031，被配置为检测预存的转发域名列表中是否包括域名，转发域名列表所包括的域名是允许用户设备访问的远程服务器的域名；0143域名确定子模块4032，被配置为在列表检测子模块4031检测出转发域名列表中包括域名时，确定域名满。

46、足转发条件。0144可选的，本实施例提供的数据转发装置还包括数据获取模块409、丢弃检测模块410和转发触发模块411。0145该数据获取模块409，被配置为在域名获取模块402获取请求数据包的域名之前，获取请求数据包的协议类型和端口信息；0146该丢弃检测模块410，被配置为检测数据获取模块409获取到的协议类型和端口信息是否满足丢弃条件；0147该转发触发模块411，被配置为在丢弃检测模块410检测出协议类型和端口信息均不满足丢弃条件，则触发执行获取请求数据包的域名的操作。0148可选的，本实施例提供的数据转发装置还包括功能确定模块406、获取触发模块407和第二转发模块408。0149该。

47、功能确定模块406，被配置为确定路由器上是否开启了域名控制的功能，域名控制的功能的开启和关闭由连接至路由器的用户设备控制；0150该获取触发模块407，被配置为在功能确定模块406确定路由器上开启了域名控制的功能时，触发执行获取请求数据包的协议类型和端口信息的操作；说明书CN104202307A1310/11页140151该第二转发模块408，被配置为在功能确定模块406确定路由器上未开启域名控制的功能时，将请求数据包发送给远程服务器，远程服务器是请求数据包中携带的URL所指示的服务器，接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备。0152可选的，本实施例提供的数据。

48、转发装置还包括信息发送模块412。0153该信息发送模块412，被配置为在条件检测模块403检测出域名不满足转发条件时，向用户设备发送禁止访问远程服务器的提示信息。0154综上所述，本公开提供的数据转发装置，通过获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，可以通过路由器直接解析请求数据包得到域名，并在该域名是否满足转发条件时转发请求数据包，解决接入到路由器的终端都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制终端访问网络资源，提高网络安全性的。

49、效果。0155另外，通过将TCP数据包解析成HTTP数据包；从HTTP数据包中读取域名，可以直接对请求数据包进行解析得到域名，从而实现根据域名过滤请求数据包，而不需要将域名解析成IP地址，根据IP地址过滤请求数据包，既节省了对域名进行解析所占用的资源，也可以提高对请求数据包的过滤效率。0156本公开一示例性实施例还提供了一种数据转发装置，该数据转发装置应用于路由器中，包括0157处理器；0158用于存储处理器可执行指令的存储器；0159其中，处理器被配置为0160接收用户设备发送的请求数据包；0161获取请求数据包的域名；0162检测域名是否满足预设的转发条件；0163若检测出域名满足转发条件。

50、，则将请求数据包发送给远程服务器，远程服务器是请求数据包中携带的URL所指示的服务器；0164接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备。0165综上所述，本公开提供的数据转发装置，通过获取请求数据包的域名；检测域名是否满足预设的转发条件；若检测出域名满足转发条件，则将请求数据包发送给远程服务器；接收远程服务器根据请求数据包发送的反馈数据包，将反馈数据包发送给用户设备，可以通过路由器直接解析请求数据包得到域名，并在该域名是否满足转发条件时转发请求数据包，解决接入到路由器的终端都能访问网络资源，导致网络资源的安全性较低的问题，可达到限制终端访问网络资源，提高网络安全。

展开阅读全文