DNS服务和IP地址管理是企业基础网络组成的不可或缺的组件,DNS服务主要为内网用户访问INTERNET网络提供缓存递归解析服务、实现访问内部资源提供权威解析服务,IP地址管理则是对企业内部的IP地址进行有效规划和管理保障故障时能精确定位。随着企业IT信息化的飞速发展面临极大的风险和挑战,主要体现在以下几个方面:
采用开源的,非专业化的软件来提供服务,基本上需要依靠技术管理人员的手工管理维护方式,对于其中的IP地址管理,只能通过手工记录账本方式,不仅记录复杂,而且多人员维护过程中存在各种各样文档版本,同时在IP地址高频地动态分配回收这种情况下,信息维护异常困难。
此外,随着IPv6的发展,IP地址长度由原来v4的32位直接换成128位,同时记录方式变成了点分16进制,人工记录越来越难管难记,纯人力维护不现实。同时,由于网络组网架构复杂,用户BYOD设备种类的增多,企业网络内对IP地址的管理需要做到精细化管理也面临极大的挑战:
1、手工配置完全依赖人工管理,工作量繁琐且容易出现错误
2、即使部分采用了DHCP服务也是网络设备的附带功能,只提供简单的地址分配能力,缺乏IP地址统一管理
3、配置管理方式复杂,能够实现的策略有限,导致部分业务无法实现。
4、单点故障、租约无法持久化、管理手段不灵活、不直观,缺乏管理监控手段。
5、网络准入缺乏有效控制,造成网络接入风险。
部分企业网络缺乏专用的DNS系统,即:没有自建DNS,多采用将DNS指向上级运营商方式,或者更多的是使用开源的BIND软件来提供DNS服务。但是,基于开源的BIND软件,存在着诸多问题:
² 开源BIND需要依托于操作系统和通用服务器,无法充分发挥服务器的性能
² 开源BIND采用命令行操作方式,没有有效的管理工具。对DNS技术要求较高,造成较高的管理复杂度以及无法做到集中管理。
² 开源BIND存在大量漏洞,需频繁的技术升级;隐藏大量安全性问题。
同时,企业网络在设备接入时多使用的是手工分配、使用网络设备进行分配缺乏系统及业务高可用机制
企业自建网络有时在考虑了网络设备的冗余性和高可靠性时,往往忽视DNS服务的高可用性,一旦DNS服务出现故障将会导致全网性的网络故障,几乎所有的应用或服务都会中断,这些恰恰都是忽略了DNS服务的高可用性造成的,另外开源的BIND在业务层面、管理层面也都无法实现HA高可用性。另外企业内一些核心应用系统虽然在业务层面考虑了灾备,但往往发生故障时很难进行快速有效的灾备切换,给运维人员造成巨大压力,同时也影响了用户连续性访问。
互联网技术日新月异,大量新技术、新标准不断涌现,IPv6、NFV、SDN、云计算、物联网、区块链等技术正逐步走向商用,特别是IPv6的大规模部署给传统的网络管理及应用管理带来巨大挑战,IP地址再也无法依靠记忆或手工配置方式完成,这些都将给企业IT管理带来严峻挑战。
智慧DNS是集DNS(域名系统)、DHCP(动态主机分配)和IPAM(IP地址管理)于一体的智能业务系统。DNS(Domain Name System,域名系统),是域名和IP地址相互映射的一个分布式数据库,帮助用户将域名解析成IP地址使用户成功建立上网连接。DHCP(Dynamic Host Configuration Protocol)则是为用户解决网络地址自动分配问题,有效避免IP地址分配紊乱,提高网络运维工作效率,减少人为失误,提升地址的使用效率。IPAM(IP ADDRESS MANAGEMENT)是可以计划,跟踪和管理计算机网络中使用的IP地址。
无论是广域互联网还是单位组织内网都会使用到DNS服务,可以说是应用最广泛的互联网应用之一。人们日常如浏览www网页、收发email、甚至当下比较流行的移动互联网如微信、支付宝等APP应用都无一例外均使用到DNS服务;此外,随着网络规模的不断扩大和无线网的快速发展IPV6的日益普及,在各类网络中面对几何集增长的IP地址,使用手工静态DHCP进行IP地址分配管理成为唯一有效措施。同时由于IP地址的规模增长,传统EXCEL加手工管理IP地址方式已经远远不能满足管理需求,通过IPAM批量规划、导入、管理IP地址,以友图形化界面呈现IP使用情况,实时了解IP地址使用可能存在的瓶颈已经成为不可逆转的趋势。
vDNS( Domain Name System)是“域名系统”的英文缩写,是一种组织成域层次结构的计算机和网络服务命名系统,它用于TCP/IP网络,它所提供的服务是用来将主机名和域名转换为IP地址的工作。DNS就是这样的一位“翻译官”,它的基本工作流程可用下图来表示。
DHCP(Dynamic Host Configuration Protocol)是动态主机设置协议的英文缩写,通过集中的管理、分配IP地址,使client动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。
IPAM(IP Address Management)是IP地址管理的英文缩写,用于发现、监视、审核和管理企业网络上使用的 IP 地址空间。IPAM 可以对运行动态主机配置协议 (DHCP) 和域名服务 (DNS) 的服务器进行管理和监视。
为提供更好的DNS服务,在数据量猛涨的时代,DNS服务器单机处理能力需求到了百万至千万级别。基于CPU中断的传统方式已经不能满足DNS的服务需求。智慧DNS采用的是基于DPDK的开发方式,由传统的CPU中断替换为轮询的方式,可以有效提升DNS服务性能。智慧DNS产品的优势为:
· 用户态实现DPDK Zero Copy网卡高速收包,减少操作系统内核开销,消除了IO吞吐瓶颈;
· 基于用户态的开发,软件崩溃不影响系统的稳定性;
· 充分利用网卡和指令的性能,资源利用最大化;
· 平台具有可移植性,提供高性能高并发的服务;
企业推行数字化企业建设,将生产、科研、管理和生活服务有关的所有信息资源全面数字化,目前已进入快速发展期。由于企业网络特点是多园区分布,跨地域接入总节点网络访问,运营商跨网访问等,使得企业网络环境复杂多样性。为适应复杂的企业网络架构,智慧DNS采用了基于SDN架构的设计理念,优化系统部署的每一个层级,实现了管理控制平面和数据转发平面的有效分离,从而达到服务的自动化和集中化管理,提高网络架构可视性。
此外,基于SDN管理架构在实现管理和业务处理平面分离基础上实现整个系统的业务高可用架构,多台Controller之间可以定义Master、Slave不同角色,通过私有的管理协议方式进行数据库层面及业务配置信息的实时同步,任何一台Controller或业务处理UNIT发生故障都不会对系统业务造成任何的影响。
在提供DNS服务的过程中,智慧DNS可以做到DPI(Deep Packet Inspect深度报文识别)级别的报文检查,DPI级别的分析过程对用户的价值主要体现以下三点:
· 针对DNS类安全攻击,深度报文检测能力能解决传统防火墙无法防护DNS类安全风险问题。
· 在应用业务识别的角度DPI级别的检测可分析具体业务类型,深度了解报文信息,使互联网出口可做到精细化管控的目的。
· 实现报文级别的层次化安全过滤和防护能力,将恶意的访问或攻击行为拒绝于系统之外。
冠程科技在自研智慧DNS系统的基础上,通过与国内领先的互联网及专业安全服务厂商、CNCERT等机构开展合作,采用全球较为广泛的不良域名库,涵盖2亿条以上不良域名记录,并通过动态实时更新,可实现对企业内不良上网访问行为进行实时检测分析,提供阻断与提醒的能力,为企业网络营造一个安全,健康的上网环境。
恶意域名分类包含:
1、 恶意病毒及APK
2、 钓鱼、欺诈网站
3、 色情、赌博、暴力站点
4、 金融诈骗
5、 C&C、botnet、DGA
6、 其它威胁情报来源及自定义
智慧DNS系统通过Anycast技术提供分布式服务,保障系统冗余并实现负载均衡,有效降低系统服务器的压力,以支持高可靠性的系统运行要求。现有网络环境通过硬件设备来达成负载均衡的缺点在于:
A、 网络瓶颈出现:数据流都要通过负载均衡设备
B、 高昂的硬件成本:所有域都要部署负载均衡设备
通过Anycast技术不用借助负载均衡硬件设备即可达到要求,从而给用户提供冗余的,高可靠性的DNS、DHCP服务。
互联网存在众多免费及开源甚至是私自搭建的PublicDNS,如较知名的8.8.8.8.8和114.114.114.114、9.9.9.9、1.1.1.1等,部分黑客甚至通过入侵后恶意修改用户DNS至非法DNS进而实施域名劫持、钓鱼欺诈等行为,这些都给用户信息安全带来严峻挑战。此外,部分企业开始自建CDN系统,如果大量用户将DNS设置为外网DNS将导致无法进行本地资源调度,造成第三方出口带宽资源的占用,也无法提升用户的访问体验。
冠程科技智慧DNS系统采用独有的外网DNS拦截技术通过与路由器或者采用分光、镜像等方式可对外网DNS访问进行有效拦截,有效防止用户访问不安全的DNS系统,同时还可以避免利用DNS隐蔽隧道方式传输涉密及敏感信息,杜绝用户访域名被劫持、篡改风险,切实保障用户的信息及网络安全。