办公网 DNS 不同于业务网 DNS,主要承担的是企业或组织机构内部员工的日常办公的域名解析需求。比如日常的办公系统的访问、通过第三方认证系统进行身份认证才能访问办公系统资源、办公PC需要进行AD域控管理等......由于此办公网DNS服务器的设计需求也不尽相同,本文将从办公网DNS服务器入手,为企业打造高可用、高安全的DNS提供思路。
办公网DNS服务器的架构需求
由于办公网环境相对复杂,办公PC或办公系统更容易遭受计算机病毒感染或黑客入侵,可能造成 DNS DoS/DDoS 攻击,甚至可能以办公PC为跳板攻入DNS系统。因此需要办公网 DNS系统具备DNS安全防护能力,实现对域名名称过滤、解析类型过滤、畸形报文过滤、反射放大攻击防御等防护工作。
此外,由于办公人员需要访问的资源的分布的不同,办公网DNS系统在具备办公系统域名解析能力同时,还需要将访问外部Internet资源的域名解析请求转发到外网的可信LDNS上,或将访问业务网生产或测试系统资源的域名解析请求转发到业务网DNS系统以便获取对应的 IP地址。同时,企业或组织机构可能需要对员工访问的外网 Internet 资源或业务网系统资源进行限制或审计,这要求办公网DNS系统具备域名管控能力。
办公网DNS服务器的技术建议
办公网 DNS 系统与业务网DNS系统分离,并对办公网访问业务网系统的域名请求进行安全管控,从而极大程度上保证了各自DNS服务器的安全性和可用性不受对方的影响。
对于大型或超大型企业或组织机构办公网DNS接入层LDNS和DNS调度/安全防护层来说,这两层需要具备足够的性能并开启DNS Cache功能,在保证正常DNS解析请求的同时可以对 DNS DoS/DDoS攻击具备一定的承受能力。因此该层的设备需采用高性能的设备,同时具备横向集群扩展能力。
对于办公网权威名称解析区,具备多个40G以上接口,以保证在单解析实例的通道带宽。同时基于服务容量、质量、状态的探测,采用可靠的分布式技术确保探测结果的一致性,应充分考虑对等分布式结构,避免全局性依赖。需要注意的是灵活的部署额外隐藏探测点,这些探测节点平常仅用于探测,在必要的时候可以升级为解析节点。
当办公网规模不大,则从性价比考虑该层可与办公网DNS调度与安全防护区合并。DNS服务器作为企业IT基础设施的重要组成部分,其稳定性和安全性是企业必须关注的重点。F5的《企业DNS建设白皮书》提供了全面的指导和建议,帮助企业应对现代网络通信中的DNS挑战。