把DNS建成一道安全防火墻

盡管在IT建設中DNS屬于核心網絡基礎設施，為數據流進出網絡擔當“指路人”的角色，但是，一直以來并沒有受到足夠的重視，大多數企業在DNS方面的投入是不足的。

“在大多數IT建設中DNS所發揮的作用和其受到的關注是不匹配的。事實上，如果能給予足夠的重視，并進行適當的投資就能換來很高的回報，特別是在安全方面。”Infoblox大中華區總經理王平告訴本報記者。Infoblox是一家專門從事DNS、DHCP等（DDI）相關產品及服務的公司，作為該公司在中國業務的負責人，王平比一般人對此有著更充分的了解。

DNS、DHCP以及IP地址管理等都是互聯網的基礎服務，其穩定以否事關IT系統的正常運營。根據有關研究機構的一項調查，中國企業中只有不到30%的企業關注過DDI管理和網絡自動化，而這種疏忽可能導致網絡故障和遭受攻擊的可能性大大提高。實際上，DNS已經成為網絡攻擊的一個重要目標。近幾年來有關DNS劫持的事情已經見怪不怪了，而在更為常見的DDoS攻擊中也有60%的攻擊都是針對DNS的。

據Infoblox大中華區售前經理邱迪介紹，目前針對DNS的攻擊有多種形式，包括專門針對DNS的DDoS攻擊，針對DNS特定漏洞的攻擊，以及試圖通過DNS來了解企業網絡以進行下一步攻擊（即踩點）。

“對DNS的攻擊越來越專業，越難以分辨。比如，有一種放大攻擊，會向DNS發起一個比較復雜的請求，從而消耗DNS服務器的資源，導致DNS無暇響應正常的域名解析請求。”邱迪介紹說。

而另一方面，通過DNS還可以有效阻擋惡意軟件對網絡的攻擊。比如，如果企業內部的DNS服務器自身有威脅情報功能，而此時有設備被遠程訪問的木馬或者Rootkit感染，就可以借助DNS的幫助來拒絕惡意主機的域名解析，從而預防攻擊的發生。基于開源DNS軟件構建的DNS服務在應對這些攻擊顯得有些吃力，而專業的DNS服務器就體現出優勢來了。

邱迪表示，Infoblox目前在DNS方面可以提供三個層次的技術支持，一個是通過加固的專用設備和操作系統來保護DNS平臺;另一個是預防針對DNS的攻擊;第三個是防止惡意軟件與APT利用DNS來發起攻擊，即DNS防火墻。

“很多惡意軟件進入企業網絡之后，要發揮作用就要通過DNS服務器去查詢、去訪問控制服務器，DNS服務器可以及時發現這個域名，從而對它進行攔截。Infoblox的DNS防火墻就可以發揮這樣的作用。”邱迪解釋說，盡管通用的防病毒軟件有的也可以做到這一點，但是最容易防御的位置無疑DNS服務器，這也正是DNS防火墻產品的優勢所在。同時，Infoblox還能通過其遍布全球的DNS產品和服務團隊及時了解最新的DNS攻擊信息，從而對DNS平臺中的規則庫進行更新以預防最新的攻擊。

另外，邱迪透露，針對云計算和虛擬化技術的流行，Infoblox也在產品和服務方面積極更新，一方面，對DNS相關產品進行改進以支持其部署在各種虛擬化平臺，另一方面，則是與各種云計算平臺的控制臺進行緊密集成，從而允許系統管理員通過單一云管理平臺來對DNS進行管理和調度。

DNS能阻止惡意軟件的域名解析請求，從而成為網絡安全的一道防火墻。