DMZ 区作为一个受保护区域,在 DNS 方面主要需要两个方面能力:
1. DMZ 区内的权威解析服务,该权威服务器可以为 DMZ 的具体子域或为 DMZ 的所有需解析的企业域名提供权威解析服务。当然基于现代企业私有云的发展,DMZ 区形态也发生了诸多变化,区内也可能无需权威解析服务。因此在 DMZ 区域内关于权威域名解析服务的需求并不是一定存在。
2. DMZ 区需有 Local DNS 对位于白名单内的外网域名提供转发解析服务。对企业内部域名,将权威解析服务转发到内网 DNS 权威服务上。
整体来说,DMZ 区的域名解析服务雷同与内网 DNS 服务,但类如就近性智能解析需求不是主要关注点。鉴于 DMZ 的特殊属性,在 DNS 的安全性上仍然是该区考虑的重要方面。
在容量方面,与互联网及内网 DNS 不同,DMZ 区服务数量或者解析需求量相对来说更加可控,因此一般来说按需部署适度的解析实例。在架构设计中仍应采用可水平扩展的结构设计。
在隐私性方面,DMZ 区服务器需要解析相关外网域名,如果直接将解析请求转发给一般第三方递归服务器,需注意此第三方递归服务器的安全性与可信任度。因此为了提高隐私性,可以考虑在区内部署 DNS over 53 转 DoH 代理,将普通 DNS 解析转化为 DoH 请求发送到外部可靠的 DoH 服务上。在 DMZ 区不宜直接部署区内递归服务器,因为部署递归服务器意味着需要在防火墙上容许任意目的地的 DNS 流量规则,这样的全开规则为 DNS tunnel 类攻击提供了便利性,因此应采用转发器将请求转发或代理到指定可信任的第三方递归服务器上。
DNS 解析请求与日志分析仍然是重要需求,根据实际情况,可将该区日志发送至企业提供的其他数据分析平台,不一定需要在本区内部署独立数据分析与洞察系统。
架构设计
整体上分为“两层五区”设计,部分区域为可选或与企业其他区域能力复用。
两层分别为:
-
LDNS 接入与防护层
-
DMZ 权威域名解析与转发器层
五区分别是:
-
DMZ LDNS 入口与安全防护区
-
数据分析与洞察区(可复用企业其他区域能力)
-
DMZ 权威解析区(可选)
-
DMZ 转发区
-
内网权威区(企业内网区域,此区域实际不在 DMZ 区)
架构分析
为区内服务器提供集中的 DNS 服务器 IP 入口,该层在各个数据中心的 DMZ 区内部署。提供以下主要能力:
-
接入, 区内服务器的 DNS 解析请求均发送到该区提供的虚拟 IP 上。
调度,该区分析判断所解析的域名,如果是 DMZ 区内的特定权威域名,则将解析请求发送到 DMZ 权威区,并执行负载均衡。如果是非 DMZ 区权威域名解析,但仍然是企业权威域名,则发送到内网权威 DNS 或发送到互联网权威 DNS 区进行解析。所有其它非企业权威域名解析,则将其发送到 DMZ 转发区,由转发区负责处理。
安全与防护,DDoS 防御仍然是一个重要功能考虑,需要防范 DMZ 区内服务器在被攻击后发出大量的 DNS 解析请求,也需要防范不规范的服务器应用程序错误的产生大量的攻击性 DNS 解析。相比互联网区 DNS 的 DDoS 防范能力,DMZ 区抗 DDoS 的规模可以根据实际适当降低,以平衡性价比。对于 DNS 协议特征、域名过滤、IP 情报等基本安全能力与互联网 DNS 区域一致。DMZ 区需额外考虑以下两个能力,一是 DNS Tunnel 攻击,通过部署对 DNS Tunnel 攻击的行为学习能力来阻断借助 DNS Tunnel 向攻击控者的 Command and Control(C2)服务器发送信息数据的行为。二是 DMZ 应用服务可能会连接外部不合法 URL,可以结合有害 URL 库,当所解析域名属于有危害的 URL 的域名范围内时,阻断此类域名解析(注:如果转发区已采用了白名单方式,则可忽略该功能部署)。
策略,该层可以在网络或应用层面分别提供相应的请求策略,如在网络层面执行限流、对于某些异常请求源可以执行熔断策略。
分析,该层具备在不影响解析性能的前提下高速发送解析请求和响应的日志信息到数据分析与洞察区,实现解析的可视化与深度洞察。根据洞察的结果可产生相应的策略规则,通过该层的API接口实现自动化调度、策略、安全防护的改变。
多个数据中心的 DMZ 区形成统一的配置、解析、状态同步能力。配置 DMZ 区专用权威域名。该区在智能解析、健康检查、配置同步、状态同步方面与互联网区 DNS 一致。具体可参考互联网区架构分析。
该区可针对具体需要进行转发的明细域名,部署 Forwarder only 型转发器,将请求转发到信任的外部递归服务器。在该区也可以为区内服务器提供 DNS over 53 的普通 DNS 解析请求到 DoH 解析的转发代理,这样可以让区内服务器获得 DoH 的隐私特性,为应用提供更好更安全的外部解析,防止不可靠外部递归服务器的风险。
技术建议
1. 应提供足够的性能以抵御 DDoS。因此该层的设施应在横向与纵向上都能够实现弹性扩展。在横向上,应考虑支持 Anycast 技术以实现在多物理中心实现冗余切换,防止整区不可用故障,在纵向上应采用能够支持纵向扩容能力的设备。
2. 设备物理接口应支持 100G 接口及接口组捆绑能力。
3. 在 DDoS 防护行为上,建议具备智能学习特性,动态产生防护阀值,以避免人工静态阀值导致的防护缺陷。具备根据报文的特征产生特征码识别。
4. 提供方便的 API 接口对接分析系统与自动化运维系统,以实现灵活及时的策略调整。
5. 应优先考虑具有 FPGA 能力的设施,借助 FPGA 加速 UDP 处理性能与安全防护效果。
6. 与权威解析层自动化联动,实现在大规模攻击下降级智能解析,借助 FPGA 确保最基本的解析服务,以保证业务的可访问性。
7. 具有高性能的日志发送能力,并能自行组织日志格式与内容,可对接多样性的分析系统。
8. 具备对 DNS Tunnel 的攻击防御能力。实现基于报文内容的过滤与流量调度。
9. 具有高级负载均衡能力。
1. 具备多个 40G 以上接口,以保证在单解析实例的通道带宽。
2. 基于服务容量、质量、状态探测,并采用可靠的分布式技术确保探测结果的一致性,应充分考虑对等分布式结构,避免全局性依赖。
3. 灵活的部署额外隐藏探测点,日常可仅用于探测,在必要的时候可以升级为解析节点。
4. 软件实例或硬件实例混合部署,以优化整体方案的性价比。
5. 和 DMZ LDNS 与安全防护区联动,实现解析降级、智能调度策略。
6. 配置应做到对等的多实例保存,而非集中存在某个控制中心,以避免依赖全局性存储的风险。
7. 具有 DNS over 53 到 DoH 的代理能力。
8. 智能解析策略能够多层级执行,多维度组合,易于调整和编排逻辑,避免维护大量的规则。
9. 能够自动化发现后端实际业务配置,当后端业务发生实际的上线与下线时候,能够被自动化的发现,简化大量人工操作步骤。
10. 该层在所有数据中心部署,并跨越物理数据中心形成统一的集群共享状
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/76336.html
