外网 DNS 架构之 DMZ DNS

DMZ 区作为一个受保护区域,在 DNS 方面主要需要两个方面能力:

1. DMZ 区内的权威解析服务,该权威服务器可以为 DMZ 的具体子域或为 DMZ 的所有需解析的企业域名提供权威解析服务。当然基于现代企业私有云的发展,DMZ 区形态也发生了诸多变化,区内也可能无需权威解析服务。因此在 DMZ 区域内关于权威域名解析服务的需求并不是一定存在。

2. DMZ 区需有 Local DNS 对位于白名单内的外网域名提供转发解析服务。对企业内部域名,将权威解析服务转发到内网 DNS 权威服务上。

整体来说,DMZ 区的域名解析服务雷同与内网 DNS 服务,但类如就近性智能解析需求不是主要关注点。鉴于 DMZ 的特殊属性,在 DNS 的安全性上仍然是该区考虑的重要方面。

在容量方面,与互联网及内网 DNS 不同,DMZ 区服务数量或者解析需求量相对来说更加可控,因此一般来说按需部署适度的解析实例。在架构设计中仍应采用可水平扩展的结构设计。

在隐私性方面,DMZ 区服务器需要解析相关外网域名,如果直接将解析请求转发给一般第三方递归服务器,需注意此第三方递归服务器的安全性与可信任度。因此为了提高隐私性,可以考虑在区内部署 DNS over 53 转 DoH 代理,将普通 DNS 解析转化为 DoH 请求发送到外部可靠的 DoH 服务上。在 DMZ 区不宜直接部署区内递归服务器,因为部署递归服务器意味着需要在防火墙上容许任意目的地的 DNS 流量规则,这样的全开规则为 DNS tunnel 类攻击提供了便利性,因此应采用转发器将请求转发或代理到指定可信任的第三方递归服务器上。

DNS 解析请求与日志分析仍然是重要需求,根据实际情况,可将该区日志发送至企业提供的其他数据分析平台,不一定需要在本区内部署独立数据分析与洞察系统。

架构设计

整体上分为“两层五区”设计,部分区域为可选或与企业其他区域能力复用。

两层分别为:

  • LDNS 接入与防护层

  • DMZ 权威域名解析与转发器层

五区分别是:

  • DMZ LDNS 入口与安全防护区

  • 数据分析与洞察区(可复用企业其他区域能力)

  • DMZ 权威解析区(可选)

  • DMZ 转发区

  • 内网权威区(企业内网区域,此区域实际不在 DMZ 区)

架构分析

01
DMZ LDNS 入口与安全防护区
 

为区内服务器提供集中的 DNS 服务器 IP 入口,该层在各个数据中心的 DMZ 区内部署。提供以下主要能力:

  • 接入, 区内服务器的 DNS 解析请求均发送到该区提供的虚拟 IP 上。

     

  • 调度,该区分析判断所解析的域名,如果是 DMZ 区内的特定权威域名,则将解析请求发送到 DMZ 权威区,并执行负载均衡。如果是非 DMZ 区权威域名解析,但仍然是企业权威域名,则发送到内网权威 DNS 或发送到互联网权威 DNS 区进行解析。所有其它非企业权威域名解析,则将其发送到 DMZ 转发区,由转发区负责处理。

     

  • 安全与防护,DDoS 防御仍然是一个重要功能考虑,需要防范 DMZ 区内服务器在被攻击后发出大量的 DNS 解析请求,也需要防范不规范的服务器应用程序错误的产生大量的攻击性 DNS 解析。相比互联网区 DNS 的 DDoS 防范能力,DMZ 区抗 DDoS 的规模可以根据实际适当降低,以平衡性价比。对于 DNS 协议特征、域名过滤、IP 情报等基本安全能力与互联网 DNS 区域一致。DMZ 区需额外考虑以下两个能力,一是 DNS Tunnel 攻击,通过部署对 DNS Tunnel 攻击的行为学习能力来阻断借助 DNS Tunnel 向攻击控者的 Command and Control(C2)服务器发送信息数据的行为。二是 DMZ 应用服务可能会连接外部不合法 URL,可以结合有害 URL 库,当所解析域名属于有危害的 URL 的域名范围内时,阻断此类域名解析(注:如果转发区已采用了白名单方式,则可忽略该功能部署)。

     

  • 策略,该层可以在网络或应用层面分别提供相应的请求策略,如在网络层面执行限流、对于某些异常请求源可以执行熔断策略。

     

  • 分析,该层具备在不影响解析性能的前提下高速发送解析请求和响应的日志信息到数据分析与洞察区,实现解析的可视化与深度洞察。根据洞察的结果可产生相应的策略规则,通过该层的API接口实现自动化调度、策略、安全防护的改变。

02
DMZ 权威解析区(可选)
 

多个数据中心的 DMZ 区形成统一的配置、解析、状态同步能力。配置 DMZ 区专用权威域名。该区在智能解析、健康检查、配置同步、状态同步方面与互联网区 DNS 一致。具体可参考互联网区架构分析。

03
DMZ 转发区
 

该区可针对具体需要进行转发的明细域名,部署 Forwarder only 型转发器,将请求转发到信任的外部递归服务器。在该区也可以为区内服务器提供 DNS over 53 的普通 DNS 解析请求到 DoH 解析的转发代理,这样可以让区内服务器获得 DoH 的隐私特性,为应用提供更好更安全的外部解析,防止不可靠外部递归服务器的风险。

技术建议

 
对于 DMZ LDNS 与安全防护区,应重点考虑以下技术建议:

1. 应提供足够的性能以抵御 DDoS。因此该层的设施应在横向与纵向上都能够实现弹性扩展。在横向上,应考虑支持 Anycast 技术以实现在多物理中心实现冗余切换,防止整区不可用故障,在纵向上应采用能够支持纵向扩容能力的设备。

 

2. 设备物理接口应支持 100G 接口及接口组捆绑能力。

 

3. 在 DDoS 防护行为上,建议具备智能学习特性,动态产生防护阀值,以避免人工静态阀值导致的防护缺陷。具备根据报文的特征产生特征码识别。

 

4. 提供方便的 API 接口对接分析系统与自动化运维系统,以实现灵活及时的策略调整。

 

5. 应优先考虑具有 FPGA 能力的设施,借助 FPGA 加速 UDP 处理性能与安全防护效果。

 

6. 与权威解析层自动化联动,实现在大规模攻击下降级智能解析,借助 FPGA 确保最基本的解析服务,以保证业务的可访问性。

 

7. 具有高性能的日志发送能力,并能自行组织日志格式与内容,可对接多样性的分析系统。

 

8. 具备对 DNS Tunnel 的攻击防御能力。实现基于报文内容的过滤与流量调度。

 

9. 具有高级负载均衡能力。

 
 
对于权威名称解析区,应重点考虑以下技术建议:

 

1. 具备多个 40G 以上接口,以保证在单解析实例的通道带宽。

 

2. 基于服务容量、质量、状态探测,并采用可靠的分布式技术确保探测结果的一致性,应充分考虑对等分布式结构,避免全局性依赖。

 

3. 灵活的部署额外隐藏探测点,日常可仅用于探测,在必要的时候可以升级为解析节点。

 

4. 软件实例或硬件实例混合部署,以优化整体方案的性价比。

 

5. 和 DMZ LDNS 与安全防护区联动,实现解析降级、智能调度策略。

 

6. 配置应做到对等的多实例保存,而非集中存在某个控制中心,以避免依赖全局性存储的风险。

 

7. 具有 DNS over 53 到 DoH 的代理能力。

 

8. 智能解析策略能够多层级执行,多维度组合,易于调整和编排逻辑,避免维护大量的规则。

 

9. 能够自动化发现后端实际业务配置,当后端业务发生实际的上线与下线时候,能够被自动化的发现,简化大量人工操作步骤。

 

10. 该层在所有数据中心部署,并跨越物理数据中心形成统一的集群共享状

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/76336.html

Like (0)
速盾高防cdn的头像速盾高防cdn
Previous 2024年5月20日 下午5:59
Next 2024年5月20日 下午6:02

相关推荐

  • Redis — 不仅仅是缓存

    1*qIy3PMmEWNcD9Czh_21C8g.pngRedis是一种快速、开源的内存键值(NoSQL)数据库,远远超越了缓存的功能。Redis使用RAM进行操作,提供亚毫秒级的…

    2024年4月20日
    0
  • 缓存技术的原理,类型,实际应用方法

    合理地使用缓存技术可以很好减少服务器网络延迟,让用户的网络体验更好,接下来将通过缓存策略的原理、常见的缓存类型、实际应用方法以及监控和调优等方面带你了解具体缓存技术是怎么减少网络延…

    CDN资讯 2024年3月26日
    0
  • CDN的计费方式是什么样的?

    CDN(内容分发网络)是一种用于提高网络性能和可用性的服务,它通过在全球范围内部署服务器节点,将内容缓存到离用户更近的位置,从而加速内容加载速度,降低网络延迟。CDN的计费方式通常…

    CDN资讯 2024年4月22日
    0
  • CDN的典型应用

      场景一:大文件下载加速 场景描述 各类大文件,如游戏软件安装包下载、手机ROM升级、应用更新和网盘文件下载等分发场景,对下载速度和下载准确性要求极其苛刻。通过文件预取…

    2024年7月17日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注