DNS系统安全解决方案续

DNS系统安全服务方案

1 安全评估

对运营商DNS系统进行安全评估，应该从技术和管理两个方面的评估展开。

技术评估主要包括网络安全评估、主机安全评估、业务及应用安全评估、数据安全评估，目的是从网络、主机、业务及应用、数据等层面对DNS系统进行完整的安全评估，掌握其整体安全状况。管理评估主要包括安全管理制度、安全管理组织、人员管理安全、系统建设管理、系统运维管理等方面的管理评估，目的是掌握DNS的安全管理状况。

2 安全加固

在渗透、脆弱性评估的基础上，由绿盟科技形成加固方案以及整改建议，对DNS系统的应用软件、主机、网络设备、管理制度等四个方面进行检查加固工作。

对于服务器加固而言，就是：根据服务器功能类型的不同，分别完成各自服务器在补丁更新、密码策略设置、运行策略配置、用户授权控制、日志审计等方面的分析与加固工作。

很多DNS系统使用BIND软件进行域名解析。BIND安全选项非常多，应针对BIND服务软件进行安全配置，充分利用BIND自身已经实现的保护功能加强BIND安全性，从而能抵御目前已知的BIND安全漏洞，并尽可能使潜在的安全漏洞对DNS服务造成最小的影响。

BIND安全配置可完成针对限制域传输、限制查询、防止DNS欺骗、设置重试查询次数、修改BIND的版本信息等Bind系统安全配置，具体配置项目包括：

隐藏BIND版本信息

禁止DNS域名递归查询

增加查询ID的随机性

限制域名查询

限制域名递归查询

指定动态DNS更新主机

指定不接受区域请求

系统资源限制

定义ACL地址名

控制管理接口

设置重试查询次数

3 渗透测试

通过采用渗透测试的方式，完成DNS系统的渗透测试，找出面临的威胁，发现弱点、了解设计和执行的缺陷，提前做针对性的防范工作。

4 安全巡检服务

对DNS系统进行定期的安全状态巡查，借助专业工具在实际环境中检验系统的运作情况，检测、分析系统的运行健康状况、策略的适用情况、安全方案应用的实际效果等，对其中发现的问题及时进行修复，并提供优化建议。

5 安全值守服务

在重大/特定时期，提供DNS安全值守服务，即提供现场及远程的7*24小时DNS安全监控服务，及时发现DNS的安全问题，随时处理，保障DNS的安全运营。

6 应急响应

当DNS系统遭受攻击，或出现异常情况时，提供应急响应服务，使DNS系统恢复正常业务。同时，针对域名系统可能发生的DDoS攻击、权威解析篡改、缓存投毒等安全事件，协助客户编写应急预案并组织应急演练，完善安全事件的联动处理流程。

绿盟ADS-D专项防护系统优势

DNS专项DDoS防护模块

绿盟科技利用自己常年在DDoS领域的防护经验，利用反欺骗、协议栈行为分析、特定应用防护、用户行为模式分析、动态指纹识别、流量限速等机制，专门开发了针对DNS专项DDoS攻击的防护手段，可以有效的对伪造源IP DNS攻击、DNS畸形包DoS攻击、随机域名DNS Query Flood等攻击进行清洗，将一般只有1万到10万QPS查询容量的DNS系统，提高到可以对千万级QPS DDoS攻击进行防护的能力，从而确保DNS长期稳定的对外提供服务。

安全域名缓存

绿盟科技ADS-D专项防护系统，内置了安全域名缓存模块，利用这个安全域名缓存，可以协助进行DNS应用层DDoS攻击判断、对DNS的ID/Port等碰撞投毒攻击的检测，同时还可以实现诸如域名解析加速、Fast Flux检测、域名控制、域名分析、域名保护、重点域名容灾等功能，从而实现域名容错类安全问题的防护。

DNS投毒防控

绿盟科技ADS-D专项防护系统利用安全域名缓存、缓存锁定机制、以及特征识别等方式可以有效的检测、防御DNS投毒过程，有效的防控ID 检查机制投毒、源端口非随机性投毒、生日攻击投毒、粘合投毒（Kaminski attack）等，从而为DNS的域名安全和正确解析提供保障。

DNS监控模块

DNS监控模块可以让DNS服务器的运维人员轻松的获取DNS的运行信息，并随时分析DNS运行中的安全威胁趋势变化，接受DNS安全事件的告警，从而全面掌控DNS的运行安全问题。

一体化旁路部署方式

在DNS防护方式上，绿盟科技ADS-D专项防护产品可以支持串联模式，也可以支持旁路部署方式。根据DNS应用特点，绿盟科技ADS-D系统将流量安全的检测分析和清洗系统有机的集成于同一设备上，从而实现监控和清洗一体化。建议选择旁路部署模式，在正常情况下，ADS-D主要用来作为安全监控设备，一旦发生安全问题，可以由管理员手工或者自动的方式将DNS流量牵引到ADS-D设备上，并进行威胁的清除和清洗。

DNS系统安全解决方案到这就全部向大家介绍完了，读者结合以前的文章就可以完全的了解DNS系统安全的内容了。

【编辑推荐】