域名系统是互联网的一项核心基础服务,它使用分层的分布式数据库来处理互联网上的域名和IP地址之间的映射。DNS是构建安全,灵捷,高可用网络架构的最基础,且最关键的组成部分。那么怎样建构DNS解析服务器防护体系?分享我的一点思路。
DNS系统在设计之初并未充分考虑安全,而且包含一些协议上的限制,这些限制随着时代的发展,使DNS非常容易受到各种攻击,包括投毒、反射、放大、隧道、DDoS等。移动互联网/IOT终端带来的的海量客户端接入,对DNS的性能提出了挑战,各种混合云场景的部署对DNS的故障检测能力和调度能力提出了挑战,现代应用场景下大量微服务大量域名对DNS的容量提出了挑战,DNS劫持DNS信息泄露风险对DNS的明文传输提出了挑战,各种运营商和中间设备的干扰对DNS快速切换提出了挑战。包括针对DNS解析服务器而生的挑战,F5解决方案可以轻松化解。
值得关注的是,DNS攻击往往伴随着其他的网络攻击,从而很容易分散安全团队对真正目标的注意力。企业需要构建一个安全快速而又稳定可靠的DNS系统。从部署位置角度,需要考虑生产网,办公网,开发测试网, 需要考虑外网DNS,同时也需要考虑内网DNS;从DNS职能角度,需要考虑权威DNS,同时也需要考虑Local DNS。在现代应用场景中,需要考虑如何保证性能容量,也要考虑如何保证业务的容灾。
众所周知,F5的智能DNS在健康检测,流量调度方面的能力,特别在双活或者多活数据中心的建设中,在混合云场景中,F5解决方案都得到了广泛的使用。从内网DNS的架构来看,F5方案分为DNS安全控制单元,DNS解析管理单元(根/主域权威/子域权威),Local DNS安全单元,DNS数据分析单元,隐藏主节点。而外网安全DNS的架构,F5解决方案提供的是对外网权威DNS的安全防护能力,帮助用户构建安全稳定,可靠可扩的外网DNS架构。
DNS解析服务器的建设是有计划的迭代过程,设计的目标可能会根据业务需求,威胁的变化不断进行调整。F5旨在帮助用户构建一个安全完善的DNS体系,在双活或者多活数据中心的建设中,以及在混合云场景中,正在得到广泛的使用。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/50353.html
