F5 智能 DNS 安全
众所周知,DNS是一个古老且不安全的协议,但DNS仍然是一个永无止境的老手。 从一开始,DNS就负责从域名到IP地址的映射,并成为网络基础资源的重要组成部分,负责连接客户端和访问应用程序。
因此,可以理解为DNS控制网络访问的入口,将客户端与应用的直接访问解耦,从而成为流量调度和故障检测的最有效手段。 DNS 是构建安全、灵活、高可用性网络架构的最基本和最关键的组件。
然而,DNS也遇到了诸多挑战,比如移动互联网物联网终端带来的海量客户端接入,对DNS的性能提出了挑战,各种混合云场景的部署对DNS的故障检测和调度能力提出了挑战,在现代应用场景中,DNS的容量受到大量微服务和大量域名的挑战, DNS的安全性受到各种DNS攻击的挑战,DNS信息泄露的风险被各种运营商和中间设备的DNS干扰所劫持,对DNS的快速切换构成了挑战。
加强 DNS 在 Internet 上的安全性
从互联网上权威DNS的架构来看,F5解决方案分为DNS安全控制单元、DNS解析管理单元、DNS数据分析单元、转义通道、DNS清洗中心。
其中,DNS安全控制单元负责整体DNS流量的负载均衡,预装DNS安全过滤功能,具体能力包括:DNS协议合规性检查。
DNS 签名签名。
DNS DDoS 防护。
DNS黑白名单控制。
DOH DOT 服务网关。
IP 信誉服务。
可编程安全防护装置。
千万级的DNS性能。
DNS访问信息输出。
其中,DNS数据分析单元可以搭建大数据平台,记录每一个DNS请求和响应,根据用户需求构建DNS数据模型,多维度分析DNS请求,按小时、天、月统计DNS查询次数。
同时,您可以统计域名解析错误的数量,分析原因,及时发现后端DNS服务节点故障。 用户可以根据解析结果优化DNS配置,优化拓扑算法的精度。 此外,它还可以分析关键域名,将历史流量变化与设定的阈值进行比较,并通过实时告警确认攻击。
其中,DNS 解析管理单元可以通过 DNS Express 提供超高性能容量,设计为 DNS 读写分离模型,隐藏主节点(hide master)负责 DNS 更改、修改和写入,并实时同步到其他 SL**e DNS 节点,SL**e DNS 节点负责响应 DNS 查询请求。
F5 的 DNS 解析管理单元由专用 DNS 设计实现,可屏蔽常见 DNS 服务中的零日漏洞。 此外,如果其他地区有备份中心,DNS DNS管理单元还可以灵活设置探测池,检测跨中心和运营商的互联网流量,从而屏蔽运营商线路问题带来的潜在业务不可用风险。
转义通道的设计在架构上完全独立于现有的DNS系统,但可以提供相同的服务能力。 转义路由用于隔离生产 DNS 的风险。 在极端情况下,当生产环境中的DNS系统遇到问题时,可以使用DNS安全控制单元引导流量到逃逸通道环境进行应急响应,提高快速逃逸的能力。
外网安全DNS架构主要提供外网权威DNS的安全防护能力,帮助用户构建安全、稳定、可靠、可扩展的外网DNS架构。
加强内部 DNS 的安全性
从内网DNS架构来看,F5方案分为DNS安全控制单元、DNS解析管理单元(根主域权限和子域权限)、本地DNS安全单元、DNS数据分析单元和隐藏主节点。
其中,DNS对权限的安全控制分为主域根权限和子域权限。 当域名主机数量较多、域名数量较多时,当域名请求量大、自动变更频繁时,存在跨平台、跨部门管理时,建议设置独立的子域名。
本地 DNS 安全单元 F5 DNS 提供以下功能:
业务可靠性保障和DNS健康检查,监控关键域名是否能正常解析。
DNS服务可靠性保障,开启F5 DNS**,通过对不同转发器(即其他LDNS)的健康检测,保证本地DNS提供服务的服务能力。
高安全性:F5 DNS 提供以下安全功能:
单IP高频保护。
DNS 协议安全性。
缓存中毒保护。
绑定 0 天隔离。
DNS隧道保护。
DNS域名黑名单和白名单。
基于信誉的保护。
可编程性:F5 DNS 提供高度的可编程性,例如覆盖某些域名的 nxdomain 返回,以确保管理员的错误配置不会被错误地缓存。
DNS安全控制单元负责对整体DNS流量进行负载均衡,并预设DNS安全功能。 除了具有与外部DNS架构类似的安全能力外,由于内部DNS,用户拥有自己的本地DNS,DNS安全控制单元也可以为本地DNS提供安全保护能力。
例如,基于域名信誉的安全过滤、基于IP信誉的安全过滤、缓存中毒防护、DNS隧道防护等,并提供可与用户SOAR等平台联动的API。
例如,使用NTA网络流量分析产品定位高风险域名,如CC控制中心的域名,自动化平台可以通过API向F5 DNS安全控制单元下达域名拦截策略,实现对访问域名的黑名单拦截。
总结众所周知,F5在健康检测和流量调度方面的智能DNS能力,特别是在双活或多活数据中心的建设中,以及在混合云场景中,F5 DNS得到了广泛的应用。
然而,F5 的 DNS 不仅仅是智能 DNS,F5 提供了高度安全、高性能、可扩展、高可用的 DNS 解决方案,而 F5 的 DNS 解决方案旨在帮助用户构建安全、完整的 DNS 系统。
无论是公网DNS还是私有DNS,权威DNS还是本地DNS,无论是边缘侧还是中心侧,F5 DNS解决方案都能帮助用户强化安全性,构建安全、快速、高稳定、大容量、高性能、可扩展的DNS系统。
F5 智能 DNS 安全解决方案的愿景是创建一个安全的现代应用北极星。