(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211461953.9 (22)申请日 2022.11.17 (71)申请人 北京首信科技股份有限公司 地址 100015 北京市朝阳区将台路5号 (72)发明人 何余锋　董芸　林锋　许晓伟　 王菲　 (74)专利代理 机构 北京惟专知识产权代理事务 所(普通合伙) 16074 专利代理师 赵星　霍东岳 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) H04L 67/02(2022.01) H04L 67/563(2022.01) (54)发明名称 一种WEB访问控制及重定向系统、 方法及存 储介质 (57)摘要 本申请公开了一种WEB访问控制及重定向系 统、 方法及存储介质， 属于通信和互联网领域， 包 括终端、 防火墙以及白名单， 所述白名单中设置 有重定向网站以及若干其他白名单网站， 还包括 WEB访问控制及重定向设备， 所述终端与WEB访问 控制及重定向设备网络互通， 所述WEB访问控制 及重定向设备与第三方DNS服务器网络互通， 所 述终端通过防火墙访问白名单网站。 使用本发明 的WEB访问控制及重定向系统或方法： 终端输入 http网址或https网址都可以重定向。 支持将携 带动态入参的URL加入到域名白名单， 对 这类URL 不做重定向， 可以直接访问。 不需要防火墙放通 80端口， 无漏洞风险。 不是所有数据流都经过本 系统， 系统性能要求相对较低， 并且可 以云化部 署。 权利要求书1页 说明书5页 附图4页 CN 115550059 A 2022.12.30 CN 115550059 A 1.一种WEB访 问控制及重定向系统， 包括终端、 防火墙以及白名单， 所述白名单中设置 有重定向网站以及若干其他白名单网站， 其特征在于， 还包括WEB访问控制及重定向设备， 所述终端与WEB访问控制及重定向设备网络互通， 所述WEB访问控制及重定向设备与第三方 DNS服务器网络互通， 所述终端通过防火墙访问白名单网站。 2.根据权利 要求1所述的WEB访问控制及重定向系统， 其特征在于， 所述WEB访问控制及 重定向设备包括 域名解析及重 定向模块以及WEB重 定向模块， 其中： 所述域名解析及重定向模块用于白名单域名管理、 白名单域名解析、 非白名单域名解 析成WEB重 定向模块 IP地址； 所述WEB重定向模块用于将所有http/https请求重定向到指定URL， 引导终端访问重定 向URL网站。 3.一种采用上述权利要求1或2的WEB访问控制及重定向系统的WEB访问控制及重定向 方法， 其特 征在于， 包括如下步骤： 步骤1： 为终端指定DNS地址， 所述DNS地址为 WEB访问控制及重 定向设备中的IP地址； 步骤2： 在终端的浏览器中输入网站的URL并发起访问请求时， 先向WEB访问控制 及重定 向设备发起 域名解析请求， 用于获取访问网站的IP地址； 步骤3： WEB访问控制及重定向设备判断终端要解析的域名是否在白名单的列表内， 如 果在， 在转发给第三方DNS服务器进行域名解析， 并将解析结果返回给终端， 终端可正常访 问输入的URL； 如果不在， 则向终端返回步骤1中的IP地址， 终端浏览器发起重定向URL的访问， 打开重 定向页面。 4.根据权利要求3所述的WEB访问控制及重定向方法， 其特征在于， 在步骤1中， 所述IP 地址为域名解析及重 定向模块的IP地址 。 5.根据权利 要求3所述的WEB访问控制及重定向方法， 其特征在于， WEB访问控制及重定 向设备中将允许终端访问的域名加入到白名单的列表中， 其中包括重定向URL； 配置第三方 DNS服务器用于白名单域名的地址解析， 配置非白名单域名的重 定向URL。 6.根据权利要求3所述的WEB访问控制及重定向方法， 其特征在于， 在步骤2中， 终端的 浏览器发起访问请求时， 先向域名解析及重 定向模块发起 域名解析请求。 7.根据权利 要求3所述的WEB访问控制及重定向方法， 其特征在于， 在步骤3中， WEB访问 控制及重定 向设备中的域名解析及重定 向模块来判断要解析的域名是否在本地配置的白 名单列表内。 8.根据权利要求3所述的WEB访 问控制及重定向方法， 其特征在于， 终端浏览器发起重 定向URL的访问的具体方法为： 终端向WEB重定向模块发起http/https连接请求， WEB重定向 模块通过http重定向机制向终端返回响应， 其中包括3开头的状态码、 以及携带重定向URL 的Location属性， 终端浏览器根据WEB重 定向模块的响应发起重 定向URL的访问。 9.根据权利要求3所述的WEB访 问控制及重定向方法， 其特征在于， 防火墙上配置终端 只允许访问重 定向网站和其 他白名单域名网站的IP地址 。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有计算机 程序， 所述计算机程序被执行时实现权利要求3至9中任一项所述的WEB访问控制及重定向 方法。权　利　要　求　书 1/1 页 2 CN 115550059 A 2一种WEB访 问控制及 重定向系统、 方 法及存储介质 技术领域 [0001]本申请属于通信和互联 网领域， 特别涉及一种WEB访问控制及重定向系统、 方法及 存储介质。 背景技术 [0002]WEB访问控制及重定向技术是互联网应用中常用的技术之一， 其主要作用是实现 终端仅能访问指定白名单域名网站， 且能够将非指 定白名单网站访问重定向到某个特定网 站的效果。 [0003]例如， 当手机 终端或固网宽带欠费时， 为了便于用户充值缴费， 运营商可以为用户 提供充值缴费绿色通道， 用户在欠费状态下仍可以正常访问网厅、 网银等完成充值缴费， 但 不允许用户通过绿色通道访问其他互联网应用。 当用户尝试访问其他互联网网站 时， 需要 将用户访问重定 向到网厅， 引导用户充值缴费。 这种服务不但为用户及时复通网络提供方 便， 而且缩短了运营商账务周期， 提升 了用户服 务体验。 [0004]除此之外， 未成年上网管控、 工业互联网等场景中也会涉及到终端访问控制， 其典 型特征是只 允许终端访问指定白名单域名网站， 不允许访问非指定白名单域名网站， 当访 问非指定白名单域名网站时重 定向到某个特定的引导页面。 [0005]然而， 现有重定向设备是串接在终端和防火墙之间， 监测http的响应报文并做重 定向， 这种方式存在以下一些问题： 1、 不支持ht tps请求的重 定向。 [0006]2、 不支持将携带动态入参的URL加入到域名白名单。 [0007]3、 需要先与原访问网站建立连接才能完成重定向， 因此需要放通防火墙80端口， 从而导致终端访问控制的一些漏洞。 [0008]4、 所有数据流都经 过重定向设备， 对重 定向设备的性能要求很高。 [0009]因此， 需要一种新型的WEB 访问控制及重 定向系统或方法， 能够解决上述问题。 发明内容 [0010]为了解决所述现有技术的不足， 本申请提供了一种WEB访问控制及重定向系统和 方法， 在域名解析阶段进 行域名访问控制及重定向， 支持域名白名单控制机制， 将白名单中 的域名通过第三方DNS进 行正常解析并响应结果， 非白名单中的域名统一解析为WEB重定向 模块的IP地址。 终端访问WEB时， 通过域名解析及重定向、 WEB重定向两者相组合， 完成对终 端可访问WEB的控制及重 定向。 [0011]本申请所要达 到的技术效果通过以下 方案实现： 根据本发明的第一方面， 提供了一种WEB访问控制及重定向系统， 包括终端、 防火 墙以及白名单， 所述白名单中设置有重定向网站以及若干其他白名单网站， 还包括WEB访问 控制及重定向设备， 所述终端与WEB访问控制及重定向设备网络互通， 所述WEB访问控制及 重定向设备与第三方DNS服 务器网络互通， 所述终端通过防火墙访问白名单网站。说　明　书 1/5 页 3 CN 115550059 A 3