访问控制作为网络安全防范和保护的主要技术,主要任务是保证网络资源不被非法访问和使用。它是保证网络安全的核心策略之一,也是信息安全技术的重要组成部分。域名系统以地址解析为主要功能,已经经历了20多年的发展,同时还在不断发展并扩充新的功能。 国税系统的网络是一个典型的Intranet架构,各级网络通过路由器互连,每一级网络中都有一些服务器和很多工作站,并且提供了域名解析服务以及其他办公应用服务。由于整个网络系统结构大、层次多、发展快,计算机数量庞大且绝大多数安装的都是Windows操作系统,因此随着网络建设的不断推进,逐渐出现了一些问题。其中很突出的一个问题就是网络系统中有很多由于无效或非法域名查询引起的垃圾流量,它们往往会引起网络堵塞,降低网络使用效率,严重时甚至影响工作。 本文以访问控制和域名系统为基础,结合国税系统网络建设过程中出现的一些问题,仔细研究分析了包过滤技术和域名过滤技术的功能特点,并将这两种技术结合利用到实际中去,提出了一个完整的解决方案。一方面在CISCO路由器和BAY路由器中实现基于包过滤的访问控制功能,另一方面分别在采用了WINDOWS和UNIX操作系统的DNS服务器中实现了基于条件转发的域名过滤功能。另外在应用研究中发现了微软DNS服务器设置中的一个漏洞并经过分析测试找到了解决办法。通过在各级网络系统中应用该解决方案,有效减少了网络中和域名查询有关的垃圾流量,显著提高了网络使用效率和工作效率。 在现有的条件转发基础上,本文又做了进一步的研究,提出了域名过滤器的概念,并给出了改造后的域名解析流程和过滤器函数算法及初步的研究结果,为扩充和完善DNS服务在域名过滤方面的功能打下基础。