首页 > 其他分享 >【网络架构系列】内网 DNS 架构之办公网 DNS

【网络架构系列】内网 DNS 架构之办公网 DNS

时间:2024-08-10 18:50:54浏览次数:12  
标签:架构 AD 系统 办公网 DNS 解析 业务网

需求分析
   一、DNS 安全性:
   二、DNS 请求转发能力:
   三、域名管控和审计能力:

架构设计

架构分析

技术建议

需求分析

办公网 DNS 不同于业务网 DNS,主要承担的是企业或组织机构内部员工的日常办公的域名解析需求,比如:

  1. 日常的办公系统的访问:OA/ERP/CRM/财务系统/文件共享系统/内部论坛/内部学习系统或考试系统/邮件系统。

  2. 访问外部 Internet 资源:访问外网网站,或者需要通过第三方认证系统进行身份认证才能访问办公系统资源等。

  3. 对于一些组织机构,还有对业务网资源访问的需求。

  4. 办公 PC 需要进行 AD 域控管理等。

对于以上日常办公资源的访问,基本上都是通过域名的方式进行的。鉴于此办公网 DNS 的设计需求也不尽相同,除了要求办公网 DNS 具备高可用性,可扩展性和智能解析功能外,需要着重考虑以下几个方面:

一、DNS 安全性:

  1. 由于办公网环境相对复杂,办公 PC 或办公系统更容易遭受计算机病毒感染或黑客入侵,可能造成 DNS DoS/DDoS 攻击,甚至可能以办公 PC 为跳板攻入 DNS 系统。因此需要办公网 DNS 系统具备 DNS 安全防护能力:实现对域名名称过滤、解析类型过滤、畸形报文过滤、反射放大攻击防御等防护工作。

  2. 为避免波及业务网 DNS 解析和业务系统,办公网 DNS 系统需要与业务网 DNS 系统分离,以达到相对隔离,甚至完全隔离的目的(具体要求视安全或监管要求等情况而定)。

二、DNS 请求转发能力:

  1. 由于办公人员需要访问的资源的分布的不同,办公网 DNS 系统在具备办公系统域名解析能力同时,还需要将访问外部 Internet 资源的域名解析请求转发到外网的可信 LDNS 上,或将访问业务网生产或测试系统资源的域名解析请求转发到业务网 DNS 系统以便获取对应的 IP 地址。

  2. 如需要对办公网 PC 或 server 进行 AD 域控管理,则需要办公网 DNS 具备将 AD 相关 DNS 解析、注册、反向解析的数据包转发到 AD 服务器上的能力,同时也能够根据 AD 的返回结果再转发给客户端。

三、域名管控和审计能力:

企业或组织机构可能需要对员工访问的外网 Internet 资源或业务网系统资源进行限制或审计,这要求办公网 DNS 系统具备域名管控能力,通过设置黑白名单或与第三方恶意域名检测或评级系统对接对域名的解析进行管控;同时还可以记录 DNS 解析的日志,用于审计或攻击溯源。

架构设计

办公网 DNS 架构整体上可设计为“三层七区”结构。

三层分别为:

第一层是办公网 DNS 接入层

第二层是办公网 DNS 调度、安全防护与分析层

第三层是办公网权威名称解析及转发层

七区则是根据功能分为七个区域:

第一是办公网 LDNS 区

第二是办公网 DNS 调度与安全防护区

第三是办公网 DNS 数据分析与洞察区

第四是办公网权威名称解析服务区

第五是 AD 域控区

第六是业务网 DNS 区

第七是外部互联网 LDNS 区

架构分析

办公网 LDNS 层的主要功能是将来自办公网的 PC 或 Server 客户端的域名解析请求或 AD 域控请求转发给办公网 DNS 调度与安全防护区,并将获取的解析结果返回给对应的客户端。

注:如果办公网规模不大,则从性价比考虑该层可与办公网 DNS 调度与安全防护区合并。

办公网 DNS 调度和安全防护区,主要功能包括:
  1. 对办公网 DNS 权威解析系统做负载均衡和服务健康检测监测,并分别为每个中心提供统一的办公网域名权威解析 IP。

  2. 将办公系统的域名解析请求转发给办公网权威解析区的 DNS 服务上,并将解析结果返回给对应的客户端。

  3. 将针对 Internet 的域名解析请求转发给可信的外网 LDNS 系统,以便通过其获得 Internet 资源的域名解析结果,并将解析结果返回给客户端。同时还可监测外网 LDNS 的健康状态,如果发现异常,则自动切换到其他可信外网 LDNS 上。

  4. 将针对业务网的域名解析请求转发给业务网 DNS 系统,并可设置可解析的域或域名的黑白名单,对业务的域名解析进行管控。

  5. 将针对 AD 域控的请求转发给 AD 域控服务器,帮助完成 AD 相关的 DNS 解析、AD 注册和反向解析等;同时监测 AD 域控的健康状态,提升 AD 域控的高可用。

  6. 通过调整内置的 DNS 防护策略,设置黑白名单,或与第三方恶意域名检测或评级系统对接等实现域名的过滤、解析类型过滤、畸形报文过滤、反射放大攻击防御,域名枚举攻击防御等防护工作。

  7. 记录 DNS 解析的日志信息和 AD 域控相关信息,并转发给数据分析与洞察区,进行大数据分析、审计和溯源等。

技术建议

办公网 DNS 系统与业务网 DNS 系统分离,并对办公网访问业务网系统的域名请求进行安全管控,从而极大程度上保证了各自 DNS 系统的安全性和可用性不受对方的影响。

对于大型或超大型企业或组织机构办公网 DNS 接入层 LDNS 和 DNS 调度/安全防护层的技术建议:
  1. 这两层需要具备足够的性能并开启 DNS Cache 功能,在保证正常 DNS 解析请求的同时可以对 DNS DoS/DDoS 攻击具备一定的承受能力。因此该层的设备需采用高性能的设备,同时具备横向集群扩展能力。

  2. 设备物理接口应支持 100G 接口及接口组捆绑能力。

  3. 在 DDOS 防护行为上,建议具备智能学习特性,动态产生防护阀值,以避免人工静态阀值导致的防护缺陷。具备根据报文的特征产生特征码识别。

  4. 提供方便的 API 接口对接分析系统与自动化运维系统,以实现灵活及时的策略调整。

  5. 应优先考虑具有 FPGA 能力的设施,接触 FPGA 加速 UDP 处理性能与安全防护效果。

  6. 与权威解析层自动化联动,实现在大规模攻击下降级智能解析,借助 FPGA 确保最基本的解析服务,以保证业务的可访问性。

  7. 具有高性能的日志发送能力,并能自行组织日志格式与内容,可对接多样性的分析系统。

  8. 具有可编程能力,实现对 DNS Tunnel 的攻击防御。实现基于报文内容的过滤与流量调度。

  9. 具有高级负载均衡能力。

对于办公网权威名称解析区,应重点考虑以下技术建议:
  1. 具备多个 40G 以上接口,以保证在单解析实例的通道带宽。

  2. 基于服务容量、质量、状态的探测,采用可靠的分布式技术确保探测结果的一致性,应充分考虑对等分布式结构,避免全局性依赖。

  3. 灵活的部署额外隐藏探测点,这些探测节点平常仅用于探测,在必要的时候可以升级为解析节点。

  4. 软件实例或硬件实例混合部署,以优化整体方案的性价比。

  5. 和调度与安全防护区自动化联动,实现解析降级、智能调度策略。

  6. 在网络上能保证源地址透传下的路径往返一致性。

  7. 执行分布式的配置存储,以避免依赖全局性存储的风险。

  8. 容许自行组合服务健康探测逻辑以实现期望的策略。

  9. 智能解析策略能够多层级执行,多维度组合,易于调整和编排逻辑,避免维护大量的规则。

  10. 能够自动化发现后端实际业务配置,当后端业务发生实际的上线与下线时候,能够被自动化的发现,避免太多人工操作步骤。

  11. 该层在所有数据中心部署,并跨越物理数据中心形成统一的。

原创 F5科技

标签:架构,AD,系统,办公网,DNS,解析,业务网
From: https://www.cnblogs.com/o-O-oO/p/18352635

相关文章

  • 《亿级流量系统架构设计与实战》第一章 大型互联网公司的基础架构
    大型互联网公司的基础架构一、DNS1、域名服务器分类2、域名解析过程二、HTTPDNS1、DNS存在问题2、HTTPDNS解析流程3、HTTPDNS与DNS对比三、接入层技术演进1、Nginx(七层负载均衡器)2、LVS(四层负载均衡器)3、LVS+Nginx接入层架构四、数据存储1、MySQL2、Redis3、LSMTr......
  • 开源图片编辑器的插件化架构
    大家好,我是开源图片编辑器的作者,在开发图片编辑器的过程中,因为一些功能无法扩展,出现过一次较大的重构,将整个编辑器改为了插件化的架构,经历过这次重构,规范了编辑器功能的扩展方式,解决了项目里很多重要的问题。如果你也在做类似的项目,或者对图片编辑器架构比较感兴趣,希望我的经验能......
  • Redis持久化机制,主从与哨兵架构详解
    目录1.Redis持久化1.1RDB快照(snapshot)bgsave的写时复制(COW)机制save与bgsave对比:1.2 AOF(append-onlyfile)AOF重写RDB和AOF,应该用哪一个?1.3Redis4.0混合持久化2.Redis主从架构2.1Redis主从工作原理主从复制(全量复制)流程图:数据部分复制主从复制(部......
  • centos6.5下安装配置Bind DNS服务器
    前言:了解named 如果说我们安装的rpm包不符合我们的要求怎么办、比如说我们想起用named的线程模式、比如说我想让他禁用IPv6、比如说我们想启用某种特性、而rpm在编译时没有提供、那这时我们只能去手动编译安装了,那如何去编译安装named:   编译安装named有一个麻烦之处、......
  • DNS详解
    DNS 配置DNSuplooking.comns.uplooking.commail.uplooking.comwww.uplooking.com==========================================解析域名时,先查询/etc/hosts文件,若没找到,再用DNS,查询顺序是由以下的配置文件来决定[root@tian~]#vim/etc/nsswitch.confhosts:   fil......
  • Centos6.4环境下DNS服务器的搭建
    配置域主服务器 阶段: 1.在bind的主配置文件中添加该域 2.在/var/named中创建该域的zone文件 3.编辑zone文件,添加需要的信息 4.检测防火墙或selinux设置 5.启动bind服务 6.使用host或nslookup命令 检测域信息是否正常工具/原料安装了Centos6.4系统的电脑......
  • Kubernetes:使用 K3s 为 CoreDNS 提供独立的 resolv.conf
     PodDNS解析的默认设置是CoreDNS使用worker节点底层操作系统的设置。如果您的KubernetesVM已加入多个网络或searchdomains,这可能会导致意外结果以及性能问题。如果您正在使用K3s,则可以为Kubelet提供一个独立的resolv.conf文件,该文件将由CoreDNS使用,并且不会与操......
  • 探秘华为桌面云:架构解析与核心优势
    一、华为桌面云深度解读1.华为桌面云概念解析华为云FusionAccess桌面云,作为一种创新的虚拟桌面解决方案,借助云平台在硬件层面的部署,实现了用户通过瘦客户端或其他联网设备访问跨平台应用程序及完整虚拟桌面的可能。2.华为桌面云的价值体现数据安全上移,保障信息安全高效......
  • 软件开发架构(三) - DDD理论
    DDD(Domain-DrivenDesign)领域驱动设计DDD是一种软件开发方法论,强调将复杂的业务领域模型化。它将应用程序分为几个主要部分:用户界面层、应用层、领域层和基础设施层。在Java开发中,DDD常用于构建复杂的企业级应用。用户界面层(UserInterfaceLayer):负责向用户展示信息并解......
  • 软件开发架构(四) - COLA架构
    COLA(CleanObject-OrientedandLayeredArchitecture)COLA是阿里巴巴开源的应用架构,旨在帮助开发者轻松构建复杂的业务应用。它将应用程序分为四个主要部分:适配器层、应用层、领域层和基础设施层。在Java开发中,COLA常用于构建大型、复杂的企业级应用。适配器层(AdapterLa......