DNS系統(tǒng)安全服務(wù)方案

1  安全評估

對運營商DNS系統(tǒng)進行安全評估，應(yīng)該從技術(shù)和管理兩個方面的評估展開。

技術(shù)評估主要包括網(wǎng)絡(luò)安全評估、主機安全評估、業(yè)務(wù)及應(yīng)用安全評估、數(shù)據(jù)安全評估，目的是從網(wǎng)絡(luò)、主機、業(yè)務(wù)及應(yīng)用、數(shù)據(jù)等層面對DNS系統(tǒng)進行完整的安全評估，掌握其整體安全狀況。管理評估主要包括安全管理制度、安全管理組織、人員管理安全、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面的管理評估，目的是掌握DNS的安全管理狀況。

2  安全加固

在滲透、脆弱性評估的基礎(chǔ)上，由綠盟科技形成加固方案以及整改建議，對DNS系統(tǒng)的應(yīng)用軟件、主機、網(wǎng)絡(luò)設(shè)備、管理制度等四個方面進行檢查加固工作。

對于服務(wù)器加固而言，就是：根據(jù)服務(wù)器功能類型的不同，分別完成各自服務(wù)器在補丁更新、密碼策略設(shè)置、運行策略配置、用戶授權(quán)控制、日志審計等方面的分析與加固工作。

很多DNS系統(tǒng)使用BIND軟件進行域名解析。BIND安全選項非常多，應(yīng)針對BIND服務(wù)軟件進行安全配置，充分利用BIND自身已經(jīng)實現(xiàn)的保護功能加強BIND安全性，從而能抵御目前已知的BIND安全漏洞，并盡可能使?jié)撛诘陌踩┒磳NS服務(wù)造成最小的影響。

BIND安全配置可完成針對限制域傳輸、限制查詢、防止DNS欺騙、設(shè)置重試查詢次數(shù)、修改BIND的版本信息等Bind系統(tǒng)安全配置，具體配置項目包括：

 隱藏BIND版本信息

 禁止DNS域名遞歸查詢

 增加查詢ID的隨機性

 限制域名查詢

 限制域名遞歸查詢

 指定動態(tài)DNS更新主機

 指定不接受區(qū)域請求

 系統(tǒng)資源限制

 定義ACL地址名

 控制管理接口

 設(shè)置重試查詢次數(shù)

3  滲透測試

通過采用滲透測試的方式，完成DNS系統(tǒng)的滲透測試，找出面臨的威脅，發(fā)現(xiàn)弱點、了解設(shè)計和執(zhí)行的缺陷，提前做針對性的防范工作。

4  安全巡檢服務(wù)

對DNS系統(tǒng)進行定期的安全狀態(tài)巡查，借助專業(yè)工具在實際環(huán)境中檢驗系統(tǒng)的運作情況，檢測、分析系統(tǒng)的運行健康狀況、策略的適用情況、安全方案應(yīng)用的實際效果等，對其中發(fā)現(xiàn)的問題及時進行修復(fù)，并提供優(yōu)化建議。

5  安全值守服務(wù)

在重大/特定時期，提供DNS安全值守服務(wù)，即提供現(xiàn)場及遠程的7*24小時DNS安全監(jiān)控服務(wù)，及時發(fā)現(xiàn)DNS的安全問題，隨時處理，保障DNS的安全運營。

6  應(yīng)急響應(yīng)

當(dāng)DNS系統(tǒng)遭受攻擊，或出現(xiàn)異常情況時，提供應(yīng)急響應(yīng)服務(wù)，使DNS系統(tǒng)恢復(fù)正常業(yè)務(wù)。同時，針對域名系統(tǒng)可能發(fā)生的DDoS攻擊、權(quán)威解析篡改、緩存投毒等安全事件，協(xié)助客戶編寫應(yīng)急預(yù)案并組織應(yīng)急演練，完善安全事件的聯(lián)動處理流程。

綠盟ADS-D專項防護系統(tǒng)優(yōu)勢

 DNS專項DDoS防護模塊

綠盟科技利用自己常年在DDoS領(lǐng)域的防護經(jīng)驗，利用反欺騙、協(xié)議棧行為分析、特定應(yīng)用防護、用戶行為模式分析、動態(tài)指紋識別、流量限速等機制，專門開發(fā)了針對DNS專項DDoS攻擊的防護手段，可以有效的對偽造源IP DNS攻擊、DNS畸形包DoS攻擊、隨機域名DNS Query Flood等攻擊進行清洗，將一般只有1萬到10萬QPS查詢?nèi)萘康腄NS系統(tǒng)，提高到可以對千萬級QPS DDoS攻擊進行防護的能力，從而確保DNS長期穩(wěn)定的對外提供服務(wù)。

 安全域名緩存

綠盟科技ADS-D專項防護系統(tǒng)，內(nèi)置了安全域名緩存模塊，利用這個安全域名緩存，可以協(xié)助進行DNS應(yīng)用層DDoS攻擊判斷、對DNS的ID/Port等碰撞投毒攻擊的檢測，同時還可以實現(xiàn)諸如域名解析加速、Fast Flux檢測、域名控制、域名分析、域名保護、重點域名容災(zāi)等功能，從而實現(xiàn)域名容錯類安全問題的防護。

 DNS投毒防控

綠盟科技ADS-D專項防護系統(tǒng)利用安全域名緩存、緩存鎖定機制、以及特征識別等方式可以有效的檢測、防御DNS投毒過程，有效的防控ID 檢查機制投毒、源端口非隨機性投毒、生日攻擊投毒、粘合投毒（Kaminski attack）等，從而為DNS的域名安全和正確解析提供保障。

 DNS監(jiān)控模塊

DNS監(jiān)控模塊可以讓DNS服務(wù)器的運維人員輕松的獲取DNS的運行信息，并隨時分析DNS運行中的安全威脅趨勢變化，接受DNS安全事件的告警，從而全面掌控DNS的運行安全問題。

  一體化旁路部署方式

在DNS防護方式上，綠盟科技ADS-D專項防護產(chǎn)品可以支持串聯(lián)模式，也可以支持旁路部署方式。根據(jù)DNS應(yīng)用特點，綠盟科技ADS-D系統(tǒng)將流量安全的檢測分析和清洗系統(tǒng)有機的集成于同一設(shè)備上，從而實現(xiàn)監(jiān)控和清洗一體化。建議選擇旁路部署模式，在正常情況下，ADS-D主要用來作為安全監(jiān)控設(shè)備，一旦發(fā)生安全問題，可以由管理員手工或者自動的方式將DNS流量牽引到ADS-D設(shè)備上，并進行威脅的清除和清洗。

DNS系統(tǒng)安全解決方案到這就全部向大家介紹完了，讀者結(jié)合以前的文章就可以完全的了解DNS系統(tǒng)安全的內(nèi)容了。

【編輯推薦】

1. 網(wǎng)絡(luò)安全關(guān)鍵技術(shù)
2. DNS系統(tǒng)安全解決方案
3. DNS系統(tǒng)安全解決方案之DNS系統(tǒng)安全風(fēng)險分析