DNS系統安全服務方案

1  安全評估

對運營商DNS系統進行安全評估，應該從技術和管理兩個方面的評估展開。

技術評估主要包括網絡安全評估、主機安全評估、業務及應用安全評估、數據安全評估，目的是從網絡、主機、業務及應用、數據等層面對DNS系統進行完整的安全評估，掌握其整體安全狀況。管理評估主要包括安全管理制度、安全管理組織、人員管理安全、系統建設管理、系統運維管理等方面的管理評估，目的是掌握DNS的安全管理狀況。

2  安全加固

在滲透、脆弱性評估的基礎上，由綠盟科技形成加固方案以及整改建議，對DNS系統的應用軟件、主機、網絡設備、管理制度等四個方面進行檢查加固工作。

對于服務器加固而言，就是：根據服務器功能類型的不同，分別完成各自服務器在補丁更新、密碼策略設置、運行策略配置、用戶授權控制、日志審計等方面的分析與加固工作。

很多DNS系統使用BIND軟件進行域名解析。BIND安全選項非常多，應針對BIND服務軟件進行安全配置，充分利用BIND自身已經實現的保護功能加強BIND安全性，從而能抵御目前已知的BIND安全漏洞，并盡可能使潛在的安全漏洞對DNS服務造成最小的影響。

BIND安全配置可完成針對限制域傳輸、限制查詢、防止DNS欺騙、設置重試查詢次數、修改BIND的版本信息等Bind系統安全配置，具體配置項目包括：

 隱藏BIND版本信息

 禁止DNS域名遞歸查詢

 增加查詢ID的隨機性

 限制域名查詢

 限制域名遞歸查詢

 指定動態DNS更新主機

 指定不接受區域請求

 系統資源限制

 定義ACL地址名

 控制管理接口

 設置重試查詢次數

3  滲透測試

通過采用滲透測試的方式，完成DNS系統的滲透測試，找出面臨的威脅，發現弱點、了解設計和執行的缺陷，提前做針對性的防范工作。

4  安全巡檢服務

對DNS系統進行定期的安全狀態巡查，借助專業工具在實際環境中檢驗系統的運作情況，檢測、分析系統的運行健康狀況、策略的適用情況、安全方案應用的實際效果等，對其中發現的問題及時進行修復，并提供優化建議。

5  安全值守服務

在重大/特定時期，提供DNS安全值守服務，即提供現場及遠程的7*24小時DNS安全監控服務，及時發現DNS的安全問題，隨時處理，保障DNS的安全運營。

6  應急響應

當DNS系統遭受攻擊，或出現異常情況時，提供應急響應服務，使DNS系統恢復正常業務。同時，針對域名系統可能發生的DDoS攻擊、權威解析篡改、緩存投毒等安全事件，協助客戶編寫應急預案并組織應急演練，完善安全事件的聯動處理流程。

綠盟ADS-D專項防護系統優勢

 DNS專項DDoS防護模塊

綠盟科技利用自己常年在DDoS領域的防護經驗，利用反欺騙、協議棧行為分析、特定應用防護、用戶行為模式分析、動態指紋識別、流量限速等機制，專門開發了針對DNS專項DDoS攻擊的防護手段，可以有效的對偽造源IP DNS攻擊、DNS畸形包DoS攻擊、隨機域名DNS Query Flood等攻擊進行清洗，將一般只有1萬到10萬QPS查詢容量的DNS系統，提高到可以對千萬級QPS DDoS攻擊進行防護的能力，從而確保DNS長期穩定的對外提供服務。

 安全域名緩存

綠盟科技ADS-D專項防護系統，內置了安全域名緩存模塊，利用這個安全域名緩存，可以協助進行DNS應用層DDoS攻擊判斷、對DNS的ID/Port等碰撞投毒攻擊的檢測，同時還可以實現諸如域名解析加速、Fast Flux檢測、域名控制、域名分析、域名保護、重點域名容災等功能，從而實現域名容錯類安全問題的防護。

 DNS投毒防控

綠盟科技ADS-D專項防護系統利用安全域名緩存、緩存鎖定機制、以及特征識別等方式可以有效的檢測、防御DNS投毒過程，有效的防控ID 檢查機制投毒、源端口非隨機性投毒、生日攻擊投毒、粘合投毒（Kaminski attack）等，從而為DNS的域名安全和正確解析提供保障。

 DNS監控模塊

DNS監控模塊可以讓DNS服務器的運維人員輕松的獲取DNS的運行信息，并隨時分析DNS運行中的安全威脅趨勢變化，接受DNS安全事件的告警，從而全面掌控DNS的運行安全問題。

  一體化旁路部署方式

在DNS防護方式上，綠盟科技ADS-D專項防護產品可以支持串聯模式，也可以支持旁路部署方式。根據DNS應用特點，綠盟科技ADS-D系統將流量安全的檢測分析和清洗系統有機的集成于同一設備上，從而實現監控和清洗一體化。建議選擇旁路部署模式，在正常情況下，ADS-D主要用來作為安全監控設備，一旦發生安全問題，可以由管理員手工或者自動的方式將DNS流量牽引到ADS-D設備上，并進行威脅的清除和清洗。

DNS系統安全解決方案到這就全部向大家介紹完了，讀者結合以前的文章就可以完全的了解DNS系統安全的內容了。

【編輯推薦】

1. 網絡安全關鍵技術
2. DNS系統安全解決方案
3. DNS系統安全解決方案之DNS系統安全風險分析