DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

云盾_服务器怎么防ddos攻击_精准

06-09 WEB安全

云盾_服务器怎么防ddos攻击_精准

什么是DNS防火墙?DNS防火墙使用网络的核心基础设施来阻止、监视或重定向试图访问已知恶意域的用户。许多防火墙甚至更深入,修改特定客户端的答案以表示一个特定的地址。有些防火墙甚至可以通过识别DNS隧道来防止数据通过DNS协议本身外泄。标准防火墙倾向于使用复杂的、专有的、最终昂贵的特征码检测器,这些检测器并不总是能捕捉到基于DNS的威胁。通过在协议层操作,DNS防火墙保护了大部分的威胁。DNS防火墙的部署往往更便宜、更容易,ddoscc攻击防御,因为它通常与DDI管理软件协同工作。随着DNS防火墙数量的增长,我们认为我们应该就安全和网络运营团队在寻找解决方案时应考虑的问题提出一些想法。当您的团队考虑DNS防火墙选项时,以下是一些您可能想问的问题。这个DNS防火墙使用什么威胁情报?任何过滤器或防火墙的质量都取决于你插入其中的数据。威胁源有多种形式,弄清楚哪种形式能提供最好的价值是很重要的。免费的、开源的威胁源是可用的,但是这些通常不会像付费的威胁信息那样"策划",ddos攻击防御步骤防御ddos,你付出什么就得到什么。一些提供商提供了他们自己维护的内置威胁源。在这种情况下,你会想知道公司是如何获取其威胁数据的,无法起到防御ddos,以及它对维护专有威胁源的长期承诺。它从哪种信息中获取的?它使用多大的客户群来构建其威胁源,使用什么指标?当你的情报提供者选择一个最好的威胁的时候,或者与其他情报提供者合作你特定的垂直市场,或者你已经订阅了一个特定的feed,你想把它放到DNS防火墙解决方案中。DNS防火墙如何与我的网络的其他部分集成?没有防火墙是一座孤岛。您的网络安全系统应该积极地与您每天使用的管理工具协同工作,从整个企业中获取情报,并采取行动减轻威胁。对于DNS防火墙来说尤其如此。DNS防火墙可以访问核心DNS基础设施,该基础设施为您的网络每天生成的数百万DNS查询提供动力。如果您的DNS防火墙与网络管理资源(如Active Directory、Cisco ISE和其他网络数据源)集成,您将处于有利地位,能够在整个企业中实现一致的安全态势。安全团队还需要一个DNS防火墙,它可以与他们的SIEM或日志管理解决方案无缝地运行,提供"单一的玻璃板",使威胁数据的关联变得容易。DNS防火墙在哪里?DNS防火墙的放置是一个关键问题,但往往被忽视。大多数防火墙安装在网络边界上,以防止来自internet的入站威胁。这是一个很好的起点,ddos防御方案包括以下哪些,但您可以做的更多。在网络边界设置DNS防火墙也有一个固有的技术限制,当您决定深入网络边界时,值得一提。在网络边界上部署DNS防火墙可以防止恶意流量的传播,但当恶意流量来自网络内部时,它无法帮助您找到"零患者"。理想情况下,DNS防火墙应与您的全面纵深防御策略相结合。如果这是您的目标(也是应该的),则该方法在网络边界设置DNS防火墙最终是不够的。这是一个网络架构的问题。如果网络边界上的DNS防火墙想要回过头来查找设备的源IP,它只会看到"最后一跳"递归DNS服务器的IP地址。一些DNS防火墙公司试图通过绕过解析过程的设备代理来解决这个问题。这就是就目前而言,这还不错,但最终往往是一个笨重、不切实际的解决方案–您必须部署和维护所有这些代理,而不是所有设备(例如物联网传感器)一开始就有能力处理它们。如果在网络边界上设置DNS防火墙,你会漏掉所有的内部DNS流量。这意味着大约60%的在你的网络上跳跃的查询都将不受监控。恶意内幕活动,高级持续威胁的横向移动-这些东西不能被专注于外部互联网的DNS防火墙检测到。在不需要代理的情况下,保护内部DNS并获得设备源IP可见性的最佳方法是在端点或客户端级别部署DNS防火墙。使用DNS防火墙作为"第一跳"DNS解析程序,您可以记录源IP并控制流量,无论它是停留在网络边界内还是作为额外的奖励,你还可以看到DNS响应数据如何指示对内部流量的其他威胁。如何部署DNS防火墙?有些DNS防火墙涉及更多的设备-要么作为基于设备的DNS基础结构的一部分,要么作为您在已使用的任何DNS上添加的单独设备。这是另一个必须安装在数据中心中的设备。这是另一个您必须在其上刷新(需要大量额外成本)的设备2-3年的常规周期。这是另一个需要手动配置、更新或修补的设备。生命太短暂了。在云计算交付的SaaS解决方案的时代,你没有理由为了安装DNS防火墙而不得不处理另一个设备。你没有理由必须自己上传配置和补丁。所有这些都应该在后台进行。最新的版本应该直接推给你,防御ddos限制端口,而不是你这边的任何行动。即使您没有获得基于设备的解决方案,也必须注意部署模型。如果您的DNS防火墙是现有递归DNS系统的附加组件,它可能会在设备上添加大量负载。这会阻止它们满负荷工作,而这又会要求部署更多设备。部署在大多数情况下,通过更轻量级的解决方案(如基于VM的服务点)的DNS防火墙是一个更好的选择。进一步了解BlueCat的DNS防火墙解决方案及其与Cisco Umbrella的集成。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/69465.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9195358访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X