DNS服務和IP地址管理是企業基礎網絡組成的不可或缺的組件,DNS服務主要為內網用戶訪問INTERNET網絡提供緩存遞歸解析服務、實現訪問內部資源提供權威解析服務,IP地址管理則是對企業內部的IP地址進行有效規劃和管理保障故障時能精確定位。隨著企業IT信息化的飛速發展面臨極大的風險和挑戰,主要體現在以下幾個方面:
采用開源的,非專業化的軟件來提供服務,基本上需要依靠技術管理人員的手工管理維護方式,對于其中的IP地址管理,只能通過手工記錄賬本方式,不僅記錄復雜,而且多人員維護過程中存在各種各樣文檔版本,同時在IP地址高頻地動態分配回收這種情況下,信息維護異常困難。
此外,隨著IPv6的發展,IP地址長度由原來v4的32位直接換成128位,同時記錄方式變成了點分16進制,人工記錄越來越難管難記,純人力維護不現實。同時,由于網絡組網架構復雜,用戶BYOD設備種類的增多,企業網絡內對IP地址的管理需要做到精細化管理也面臨極大的挑戰:
1、手工配置完全依賴人工管理,工作量繁瑣且容易出現錯誤
2、即使部分采用了DHCP服務也是網絡設備的附帶功能,只提供簡單的地址分配能力,缺乏IP地址統一管理
3、配置管理方式復雜,能夠實現的策略有限,導致部分業務無法實現。
4、單點故障、租約無法持久化、管理手段不靈活、不直觀,缺乏管理監控手段。
5、網絡準入缺乏有效控制,造成網絡接入風險。
部分企業網絡缺乏專用的DNS系統,即:沒有自建DNS,多采用將DNS指向上級運營商方式,或者更多的是使用開源的BIND軟件來提供DNS服務。但是,基于開源的BIND軟件,存在著諸多問題:
2 開源BIND需要依托于操作系統和通用服務器,無法充分發揮服務器的性能
2 開源BIND采用命令行操作方式,沒有有效的管理工具。對DNS技術要求較高,造成較高的管理復雜度以及無法做到集中管理。
2 開源BIND存在大量漏洞,需頻繁的技術升級;隱藏大量安全性問題。
同時,企業網絡在設備接入時多使用的是手工分配、使用網絡設備進行分配缺乏系統及業務高可用機制
企業自建網絡有時在考慮了網絡設備的冗余性和高可靠性時,往往忽視DNS服務的高可用性,一旦DNS服務出現故障將會導致全網性的網絡故障,幾乎所有的應用或服務都會中斷,這些恰恰都是忽略了DNS服務的高可用性造成的,另外開源的BIND在業務層面、管理層面也都無法實現HA高可用性。另外企業內一些核心應用系統雖然在業務層面考慮了災備,但往往發生故障時很難進行快速有效的災備切換,給運維人員造成巨大壓力,同時也影響了用戶連續性訪問。
互聯網技術日新月異,大量新技術、新標準不斷涌現,IPv6、NFV、SDN、云計算、物聯網、區塊鏈等技術正逐步走向商用,特別是IPv6的大規模部署給傳統的網絡管理及應用管理帶來巨大挑戰,IP地址再也無法依靠記憶或手工配置方式完成,這些都將給企業IT管理帶來嚴峻挑戰。
智慧DNS是集DNS(域名系統)、DHCP(動態主機分配)和IPAM(IP地址管理)于一體的智能業務系統。DNS(Domain Name System,域名系統),是域名和IP地址相互映射的一個分布式數據庫,幫助用戶將域名解析成IP地址使用戶成功建立上網連接。DHCP(Dynamic Host Configuration Protocol)則是為用戶解決網絡地址自動分配問題,有效避免IP地址分配紊亂,提高網絡運維工作效率,減少人為失誤,提升地址的使用效率。IPAM(IP ADDRESS MANAGEMENT)是可以計劃,跟蹤和管理計算機網絡中使用的IP地址。
無論是廣域互聯網還是單位組織內網都會使用到DNS服務,可以說是應用最廣泛的互聯網應用之一。人們日常如瀏覽www網頁、收發email、甚至當下比較流行的移動互聯網如微信、支付寶等APP應用都無一例外均使用到DNS服務;此外,隨著網絡規模的不斷擴大和無線網的快速發展IPV6的日益普及,在各類網絡中面對幾何集增長的IP地址,使用手工靜態DHCP進行IP地址分配管理成為唯一有效措施。同時由于IP地址的規模增長,傳統EXCEL加手工管理IP地址方式已經遠遠不能滿足管理需求,通過IPAM批量規劃、導入、管理IP地址,以友圖形化界面呈現IP使用情況,實時了解IP地址使用可能存在的瓶頸已經成為不可逆轉的趨勢。
vDNS( Domain Name System)是“域名系統”的英文縮寫,是一種組織成域層次結構的計算機和網絡服務命名系統,它用于TCP/IP網絡,它所提供的服務是用來將主機名和域名轉換為IP地址的工作。DNS就是這樣的一位“翻譯官”,它的基本工作流程可用下圖來表示。
DHCP(Dynamic Host Configuration Protocol)是動態主機設置協議的英文縮寫,通過集中的管理、分配IP地址,使client動態的獲得IP地址、Gateway地址、DNS服務器地址等信息,并能夠提升地址的使用率。
IPAM(IP Address Management)是IP地址管理的英文縮寫,用于發現、監視、審核和管理企業網絡上使用的 IP 地址空間。IPAM 可以對運行動態主機配置協議 (DHCP) 和域名服務 (DNS) 的服務器進行管理和監視。
為提供更好的DNS服務,在數據量猛漲的時代,DNS服務器單機處理能力需求到了百萬至千萬級別。基于CPU中斷的傳統方式已經不能滿足DNS的服務需求。智慧DNS采用的是基于DPDK的開發方式,由傳統的CPU中斷替換為輪詢的方式,可以有效提升DNS服務性能。智慧DNS產品的優勢為:
· 用戶態實現DPDK Zero Copy網卡高速收包,減少操作系統內核開銷,消除了IO吞吐瓶頸;
· 基于用戶態的開發,軟件崩潰不影響系統的穩定性;
· 充分利用網卡和指令的性能,資源利用最大化;
· 平臺具有可移植性,提供高性能高并發的服務;
企業推行數字化企業建設,將生產、科研、管理和生活服務有關的所有信息資源全面數字化,目前已進入快速發展期。由于企業網絡特點是多園區分布,跨地域接入總節點網絡訪問,運營商跨網訪問等,使得企業網絡環境復雜多樣性。為適應復雜的企業網絡架構,智慧DNS采用了基于SDN架構的設計理念,優化系統部署的每一個層級,實現了管理控制平面和數據轉發平面的有效分離,從而達到服務的自動化和集中化管理,提高網絡架構可視性。
此外,基于SDN管理架構在實現管理和業務處理平面分離基礎上實現整個系統的業務高可用架構,多臺Controller之間可以定義Master、Slave不同角色,通過私有的管理協議方式進行數據庫層面及業務配置信息的實時同步,任何一臺Controller或業務處理UNIT發生故障都不會對系統業務造成任何的影響。
在提供DNS服務的過程中,智慧DNS可以做到DPI(Deep Packet Inspect深度報文識別)級別的報文檢查,DPI級別的分析過程對用戶的價值主要體現以下三點:
· 針對DNS類安全攻擊,深度報文檢測能力能解決傳統防火墻無法防護DNS類安全風險問題。
· 在應用業務識別的角度DPI級別的檢測可分析具體業務類型,深度了解報文信息,使互聯網出口可做到精細化管控的目的。
· 實現報文級別的層次化安全過濾和防護能力,將惡意的訪問或攻擊行為拒絕于系統之外。
冠程科技在自研智慧DNS系統的基礎上,通過與國內領先的互聯網及專業安全服務廠商、CNCERT等機構開展合作,采用全球較為廣泛的不良域名庫,涵蓋2億條以上不良域名記錄,并通過動態實時更新,可實現對企業內不良上網訪問行為進行實時檢測分析,提供阻斷與提醒的能力,為企業網絡營造一個安全,健康的上網環境。
惡意域名分類包含:
1、 惡意病毒及APK
2、 釣魚、欺詐網站
3、 色情、賭博、暴力站點
4、 金融詐騙
5、 C&C、botnet、DGA
6、 其它威脅情報來源及自定義
智慧DNS系統通過Anycast技術提供分布式服務,保障系統冗余并實現負載均衡,有效降低系統服務器的壓力,以支持高可靠性的系統運行要求。現有網絡環境通過硬件設備來達成負載均衡的缺點在于:
A、 網絡瓶頸出現:數據流都要通過負載均衡設備
B、 高昂的硬件成本:所有域都要部署負載均衡設備
通過Anycast技術不用借助負載均衡硬件設備即可達到要求,從而給用戶提供冗余的,高可靠性的DNS、DHCP服務。
互聯網存在眾多免費及開源甚至是私自搭建的PublicDNS,如較知名的8.8.8.8.8和114.114.114.114、9.9.9.9、1.1.1.1等,部分黑客甚至通過入侵后惡意修改用戶DNS至非法DNS進而實施域名劫持、釣魚欺詐等行為,這些都給用戶信息安全帶來嚴峻挑戰。此外,部分企業開始自建CDN系統,如果大量用戶將DNS設置為外網DNS將導致無法進行本地資源調度,造成第三方出口帶寬資源的占用,也無法提升用戶的訪問體驗。
冠程科技智慧DNS系統采用獨有的外網DNS攔截技術通過與路由器或者采用分光、鏡像等方式可對外網DNS訪問進行有效攔截,有效防止用戶訪問不安全的DNS系統,同時還可以避免利用DNS隱蔽隧道方式傳輸涉密及敏感信息,杜絕用戶訪域名被劫持、篡改風險,切實保障用戶的信息及網絡安全。