解决浏览器打开本地服务器显示警告提示的方法及系统

技术领域

本发明涉及云计算技术领域，具体为一种解决浏览器打开本地服务器显示警告提示的方法及系统。

背景技术

对于工控安全领域，通常部署网络审计系统、工业防火墙等安全设备，来保障工控网络的安全。在典型场景下，工控网络是没有互联网出口的，因此没有办法完成DNS解析，没有办法通过域名来访问上述安全设备以便进行操作维护工作，只能在浏览器中输入IP地址的方式连接目标机器。由于没有域名，没有办法颁发HTTPS/SSL证书，因此浏览器会提示该网址不安全。

多数情况下，最终用户并不明白为什么会产生该提示，会有恐惧心理，导致对产品的安全性产生怀疑。

在现有的技术中，没有互联网出口的网络，之所以没有办法正常使用域名，是因为DNS服务器通常部署在公网中，本地局域网几乎不可能会部署正常的DNS服务器，因此没有办法进行域名解析。通过修改终端的host文件可以进行本机的DNS解析，但是该方式需要每一台客户端修改host文件，对用户要求太高，具备修改host文件技能的用户，已经可以理解上述该提示的原理，反而不会有安全担心，因此该方法不可行，浏览器还是会提示该网址不安全的问题。

发明内容

本发明主要是提供一种解决浏览器打开本地服务器显示警告提示的方法及系统，在工控安全网络中，工控网络是没有互联网出口的，因此没有办法完成DNS解析，没有办法通过域名来访问上述安全设备以便进行操作维护工作，只能在浏览器中输入IP地址的方式连接目标机器。由于没有域名，没有办法颁发HTTPS/SSL证书，因此浏览器会提示该网址不安全。

为了解决上述技术问题，本发明采用如下技术方案：

第一方面一种解决浏览器打开本地服务器显示警告提示的方法，包括，

建立企业的域名以及建立所述企业防火墙所使用的域名，所述企业申请颁发了防火墙域名的证书部署在防火墙中；

对本地网络中需要发送DNS请求的其它机器进行ArpSpoof；

打开任意一个客户端的浏览器，在地址栏输入需要访问的域名；

所述客户端发送DNS解析请求给DNS服务器，同时设定一个假的DNS服务器，通过假的DNS服务器进行判断，对所述防火墙的域名，把该域名解析成防火墙的真实IP地址，然后直接返回解析结果给所述客户端；对除客户端以外的DNS请求则转发给真实的DNS服务器；

所述浏览器接收到DNS解析结果后，向所述防火墙的IP地址发起请求，防火墙将绑定到所述防火墙所使用的域名的证书返回给客户端的浏览器；

所述浏览器对防火墙所使用的域名的证书进行验证，当域名和证书匹配，不再提示该告警信息。

进一步的，在对本地机器进行ArpSpoof中，包括，

机器每间隔1秒向其它设备发送ARP响应报文，把目标机器的DNS服务器的MAC地址映射为本机的MAC地址，把自己伪装成DNS服务器。

进一步的，在所述客户端发送DNS解析请求给DNS服务器，所述DNS服务器包括假的DNS服务器和真的DNS服务器中，包括，

基于ArpSpoof对机器的处理，把目标机器的DNS服务器的MAC地址映射为本机的MAC地址，把自己伪装成DNS服务器，客户端发送DNS解析请求给假的DNS服务器。

进一步的，在所述客户端发送DNS解析请求给DNS服务器，所述DNS服务器包括假的DNS服务器和真的DNS服务器中，包括，

当假的DNS服务器在接收到DNS解析请求后，假的DNS服务器在回应的假的DNS解析响应中，把该域名指向所述防火墙的IP地址，并返回该解析结果。

进一步的，在所述客户端发送DNS解析请求给DNS服务器，所述DNS服务器包括假的DNS服务器和真的DNS服务器中，包括，

若所述客户端发送DNS解析请求给DNS服务器的是任何其它报文，直接转发到真正的DNS服务器。

第二方面，一种解决浏览器打开本地服务器显示警告提示的系统，包括，

建立域名模块，用于建立企业的域名以及建立所述企业防火墙所使用的域名，所述企业申请颁发了防火墙域名的证书部署在防火墙中；

ArpSpoof模块，用于本地网络中需要发送DNS请求的其它机器进行ArpSpoof；

域名访问模块，用于打开任意一个客户端的浏览器，在地址栏输入需要访问的域名；

DNS解析模块，所述客户端发送DNS解析请求给DNS服务器，同时设定一个假的DNS服务器，通过假的DNS服务器进行判断，对所述防火墙的域名，把该域名解析成防火墙的真实IP地址，然后直接返回解析结果给所述客户端；对除客户端以外的DNS请求则转发给真实的DNS服务器；

防火墙域名证书返回模块，用于所述浏览器接收到DNS解析结果后，向解析后的IP地址发起请求，防火墙将绑定到所述防火墙所使用的域名的证书返回给客户端的浏览器；

域名证书验证模块，用于所述浏览器对防火墙所使用的域名的证书进行验证，当域名和证书匹配时，不再提示该告警信息。

进一步的，ArpSpoof模块，包括，

ArpSpoof运行单元，用于机器每间隔1秒向其它设备发送ARP响应报文，把目标机器的DNS服务器的MAC地址映射为本机的MAC地址，把自己伪装成DNS服务器。

进一步的，DNS解析模块，包括，

基于ArpSpoof对机器的处理，把目标机器的DNS服务器的MAC地址映射为本机的MAC地址，把自己伪装成DNS服务器，客户端发送DNS解析请求给假的DNS服务器。

进一步的，DNS解析模块，包括，

假的DNS服务器处理单元，用于当假的DNS服务器在接收到DNS解析请求后，假的DNS服务器在回应的假的DNS解析响应中，把该域名指向所述防火墙的IP地址，并返回该解析结果。

进一步的，DNS解析模块，包括，

真的DNS服务器处理单元，用于若所述客户端发送DNS解析请求给DNS服务器的是任何其它报文，直接转发到真正的DNS服务器。

有益效果：一种解决浏览器打开本地服务器显示警告提示的方法通过ARPSpoof的方式来达到本地局域网域名解析的目的，让浏览器不会出现提示该网址不安全的标识。

附图说明

图1为解决浏览器打开本地服务器显示警告提示的方法流程示意图；

图2为解决浏览器打开本地服务器显示警告提示的系统流程示意图。

具体实施方式

以下将结合实施例对本发明涉及的一种解决浏览器打开本地服务器显示警告提示的方法及系统的技术方案进一步详细说明。

在工控安全网络中，工控网络是没有互联网出口的，因此没有办法完成DNS解析，没有办法通过域名来访问上述安全设备以便进行操作维护工作，只能在浏览器中输入IP地址的方式连接目标机器。由于没有域名，没有办法颁发HTTPS/SSL证书，因此浏览器会提示该网址不安全。

第一方面一种解决浏览器打开本地服务器显示警告提示的方法，包括，

S1:建立企业的域名以及建立所述企业防火墙所使用的域名，所述企业申请颁发了防火墙域名的证书部署在防火墙中；

假设某企业的域名是www.aaa.com，该公司防火墙想要使用的域名是firewall.aaa.com，该公司同时申请颁发了firewall.aaa.com的证书并部署在防火墙中。

S2:对本地网络中需要发送DNS请求的其它机器进行ArpSpoof，拦截其DNS请求；

具体的，机器每间隔1秒向其它设备发送ARP响应报文，把目标机器的DNS服务器的MAC地址映射为本机的MAC地址，把自己伪装成DNS服务器；其中机器中的系统或防火墙域名可以为工业防火墙或者网络审计系统等网络安全设备。

S3:打开任意一个客户端的浏览器，在地址栏输入需要访问的域名；

具体的，比如AAA公司出品的工业防火墙IP为192.168.1.110，想使用firewall.aaa.com域名。

S4:所述客户端发送DNS解析请求给DNS服务器，同时设定一个假的DNS服务器，通过假的DNS服务器进行判断，对所述防火墙的域名，把该域名解析成防火墙的真实IP地址，然后直接返回解析结果给所述客户端；对除客户端以外的DNS请求则转发给真实的DNS服务器；

具体的，基于ArpSpoof对机器的处理，把目标机器的DNS服务器的MAC地址映射为本机的MAC地址，把自己伪装成DNS服务器，客户端发送DNS解析请求，根据ARP转换的结果，该请求被网卡驱动发给假的DNS服务器。

进一步的，在所述客户端发送DNS解析请求给DNS服务器，所述DNS服务器包括假的DNS服务器和真的DNS服务器中，包括，

当假的DNS服务器在接收到DNS解析请求后，假的DNS服务器在回应的假的DNS解析响应中，把该域名指向所述防火墙前的IP地址，并返回结果。

具体的，比如AAA公司出品的工业防火墙IP为192.168.1.110，域名是firewall.aaa.com，则解析结果是192.168.1.110。

进一步的，在所述客户端发送DNS解析请求给DNS服务器，所述DNS服务器包括假的DNS服务器和真的DNS服务器中，包括，

若所述客户端发送DNS解析请求给DNS服务器的是任何其它报文，直接转发到真正的DNS服务器。

S5:所述浏览器接收到DNS解析结果后，向解析后的IP地址发送HTTPS连接请求，防火墙将绑定到所述防火墙所使用的域名的证书返回给客户端的浏览器；

S6:所述浏览器对防火墙所使用的域名的证书进行验证，当域名和证书匹配，不再提示告警信息。

第二方面，一种解决浏览器打开本地服务器显示警告提示的系统，包括，

建立域名模块01，用于建立企业的域名以及建立所述企业防火墙所使用的域名，所述企业申请颁发了防火墙域名的证书部署在防火墙中；

ArpSpoof模块02，用于对本地网络中需要发送DNS请求的其它机器进行ArpSpoof；

域名访问模块03，用于打开任意一个客户端的浏览器，在地址栏输入需要访问的域名；

DNS解析模块04，所述客户端发送DNS解析请求给DNS服务器，所述DNS服务器包括假的DNS服务器和真的DNS服务器；

防火墙域名证书返回模块05，用于所述浏览器接收到DNS解析结果后，浏览器向解析后的IP地址发起请求，防火墙将绑定到所述防火墙所使用的域名的证书返回给客户端的浏览器；

域名证书验证模块06，用于所述浏览器对防火墙所使用的域名的证书进行验证，当域名和证书匹配时，不再提示该告警信息。

进一步的，ArpSpoof运行单元07，用于机器每间隔1秒向其它设备发送ARP响应报文，把目标机器的DNS服务器的MAC地址映射为本机的MAC地址，把自己伪装成DNS服务器。

进一步的，基于ArpSpoof对机器的处理，把目标机器的DNS服务器的MAC地址映射为本机的MAC地址，把自己伪装成DNS服务器，客户端发送DNS解析请求给假的DNS服务器。

进一步的，假的DNS服务器处理单元08，用于当假的DNS服务器在接收到DNS解析请求后，假的DNS服务器在回应的假的DNS解析响应中，把该域名指向所述防火墙的IP地址，并返回该解析结果。

进一步的，真的DNS服务器处理单元09，用于若所述客户端发送DNS解析请求给DNS服务器的是任何其它报文，直接转发到真正的DNS服务器。

一种解决浏览器打开本地服务器显示警告提示的方法，通过ARPSpoof的方式来达到本地局域网域名解析的目的，让浏览器不会出现提示该网址不安全的标识。

本技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本公开的范围。

在本公开所提供的实施例中，应该理解到，所揭露的装置/计算机设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/计算机设备实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本公开各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本公开实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，计算机程序可以存储在计算机可读存储介质中，该计算机程序在被处理器执行时，可以实现上述各个方法实施例的步骤。计算机程序可以包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括：能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器（Read-Only Memory，ROM）、随机存取存储器（Random Access Memory，RAM）、电载波信号、电信信号以及软件分发介质等。需要说明的是，计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如，在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

以上实施例仅用以说明本公开的技术方案，而非对其限制；尽管参照前述实施例对本公开进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本公开各实施例技术方案的精神和范围，均应包含在本公开的保护范围之内。