DNS服务器可以为互联网提供域名解析服务,这对任何网络应用程序都至关重要。它还包括非常重要的网络配置信息,如用户主机名和IP地址。因此,DNS服务器应采取特殊的安全保护措施。 为了安全起见,建议在防火墙网络中单独放置内部DNS服务器和外部DNS服务器。为互联网服务的外部DNS服务器不应包括禁止外部访问的内部网络系统的相关服务,而应专门放置在内部DNS服务器上。 如果将内部网络的相关服务放置在外部DNS服务器上,为非法攻击者提供攻击对象的目标信息。这种网络配置方案将内部DNS服务器与外部DNS服务器分开,通常称为分割。 在这种DNS服务器配置网络结构中,内部DNS服务器专门用于分析内部网络系统的名称,使内部网络用户可以通过它连接到其他内部系统,包括内部防火墙和内部DMZ;外部DNS使外部网络能够分析主防火墙、外部DNS服务器和外部DMZ区域的主机名称,但不能分析内部网络系统主机的名称。
针对DNS面临的这些威胁,壹基比网络有自己的高级DNS防护方案,主要有四个特点:
1.基于特征的DNS攻击检测。
针对已知的攻击模式,壹基比网络的保护方案采用特征检测,拦截和响应攻击。确保DNS服务器在面对已知威胁时能够在不被篡改的情况下保持运行。
2.威胁情报。
面对不断变化和更新的攻击手段,壹基比网络的技术借助威胁情报进行防御。通过对新技术的研究和分析,以及客户自身网络环境的变化,可以自动升级以应对新的攻击。重要的是,壹基比防火墙的安全升级不需要补丁或离线,大大保证了业务的连续性。
3.可视化中心管理。
壹基比网络为客户提供了一套可视化的威胁管理平台。安全人员可以通过图表查看整个网络环境的攻击方向和攻击趋势,从这个平台中掌握情况。同时,安全人员可以使用内置或定制的报告框架来更快地追事件。
4.硬件保护。
壹基比网络还提供硬件数据包检测系统,在攻击到达DNS服务器之前拦截。
我们常说:攻击陆地只需要一个点,安全应该是全面的。面对越来越多的攻击,我们不仅不能习惯保护手段,也不能习惯保护对象。攻击者正在不断寻找新的攻击点,我们是否需要更多地考虑防御对象?壹基比网络的特点不是为DNS提供一套安全解决方案;对他们来说,他们更喜欢提供一套高效、易于管理的优秀DNS系统,而安全只是他们DNS系统的一个非常重要的特点。他们的想法不是为产品增加安全能力,而是产品本身具有强大的安全能力。
|