dns服務的簡單分類
對於大多數公司和使用者來說,dns可以分為三個基本類別:內部權威dns,外部權威dns和遞迴dns。總的來說,dns(網域名稱系統)是乙個分布式系統,為ip位址對映提供網域名稱,以便使用者和應用程式可以利用結構化命名約定來記憶和連線到分布式的服務,而不是用難記的ip位址訪問這些服務。這很像在**聯絡人列表中記住朋友或同事的姓名,而不是記住他們的實際**號碼。
內部權威dns負責回答來自企業的內部使用者,應用程式,伺服器和網路基礎設施的所有dns查詢,保證它們與企業的網路和服務連線並進行互動。例如對於active directory,終端使用者的系統必須執行dns查詢以定位域控制器及其服務。分層的應用程式將執行dns查詢來查詢web伺服器,資料庫伺服器,儲存等等。內部權威dns盡可能快地提供了所有這些答案——通常每秒處理數千個查詢——所以服務響應時間(例如電子郵件檢索和網頁瀏覽器中的網頁載入)沒有明顯的延遲。內部權威dns應包含所有公司基礎設施的所有這些ip到名稱的對映。
外部權威dns為網際網路上公開可用的dns域和dns記錄提供相同型別的查詢服務。對於客戶到達指定公司的公開**或向該公司傳送電子郵件,必須查詢該公司的外部權威dns伺服器。查詢響應提供相應的ip位址讓客戶工作站或移動裝置來建立連線。
遞迴dns負責代表客戶端或其他dns伺服器處理對其不具有權威性的域和記錄的查詢。例如,當您要求您的內部dns伺服器查詢它非權威的記錄(例如www.google.com)時,它可以配置為遞迴到網際網路根dns伺服器以開始解析答案或者到第三方遞迴dns服務為您提供答案。
為什麼dns是網路安全的核心
為什麼dns如此重要?如果您的內部dns表現不佳或者不可用,那麼您的所有應用程式的效能將會很差或者會明顯下降。如果您的內部dns受到攻擊,那麼攻擊者將對您的網路上的所有服務一目了然並且可以十分容易到達目標伺服器。黑客也可能會控制和更新dns記錄,將您的內部流量重定向到他們自己的惡意目的地。
如果您的外部dns表現不佳或不可用,則客戶可能無法聯絡您的**或向您的企業傳送電子郵件。如果網路體驗不佳,客戶可能會流逝或轉向競爭對手。外部dns表示您的品牌和網際網路的可用性,根據您的業務性質,可能會對您的品牌和收入產生重大影響。不安全的外部dns可能會悄悄地將您的客戶引向惡意**,欺騙您的**以竊取客戶資訊或攔截電子郵件。
如果您的遞迴dns表現不佳或者不可用,您的網際網路訪問就會變得無效或嚴重退化。這是因為您無法快速解析任何外部**或資源的ip位址。不安全的遞迴dns可能會導致您在不知情的情況下進入惡意或受損目的地。不安全的遞迴dns會導致進行惡意軟體通過dns 與命令與控制(c2)通訊,另外資料洩露也會經常利用不安全的dns服務。
dns安全是網路安全的核心,所有企業必須重視。針對企業的dns我們必須問自己如下四個問題:
總而言之,當我們設計乙個dns架構時,僅僅從頻寬和qps查詢效能上來考慮是遠遠不夠的,我們必須考慮到我們需要乙個可以伸縮的安全dns,網路安全的核心離不開dns的安全。
什麼是網路安全?網路安全的主要型別
網路安全 網路安全指的是可以保障資料和網路的不被黑客入侵攻擊,可以安全的運作。有效的網路安全管理對網路的訪問。它針對各種威脅,並阻止危險進入或傳播到您的網路。網路安全員都會對網路組成多層的防禦機制,可以控制訪問者,可以有效的阻止黑客的惡意攻擊。網路安全型別的主要方式 訪問者控制 並不是每乙個使用者都...
秘笈 如何利用DNS做好網路安全工作
dns是一種在考慮安全問題時常被人忽略的核心基礎設施元件。壞人常利用它來侵入企業網路。dns安全常被認為是要麼保護dns架構和基礎設施不受各種攻擊侵擾,要麼維護白名單黑名單來控制對惡意網域名稱的訪問 雖然這確實是很重要的乙個方面,但網路安全人員利用dns獲得的安全控制 情報和益處,真心比這要多得多。...
網路安全的哲學思考
網路安全作為乙個現實存在,有產生 發展 消亡三個階段。當然這是從萬物有開始必有結束這個哲學的高度來說的。我們在技術的低層看到的是 我們從哲學的高度看到的是人性的弱點。從最基本的原理來說,安全是計算機這個物理層次和人這個精神層次的不一致造成的。兩者之間的鴻溝 gap 雖然可以通過良好的人機介面來彌補,...