DNS云学堂 | 一键get,通过DNS实现内网应用外访的自动化开通

随着互联网业务的发展,金融内网越来越多的应用系统存在访问互联网应用服务的需求。但在内外网隔离的网络架构下,如何在保证安全的同时,还能满足业务部门的需求,成为网络部门一个待解决的问题,特别是访问互联网应用的需求越来越多时,这个问题的解决变得更加迫切。

手动配置的方式并不可取

通常情况下,网络部门会要求业务部门自己提供互联网应用服务的IP地址,然后在防火墙为此IP手动配置白名单策略,这种方式在业务需求量较少时是可行的,但随着开通数量越来越多时,逐个手动开通策略以及维护会大幅增加运维人员的投入。

利用DNS服务解析互联网应用服务地址是通用方式。可以在防火墙与应用系统上配置相同的DNS服务器地址,通过DNS对相同域名解析同一个地址,结合防火墙自动生成白名单机制,实现内网应用访问互联网应用的自动开通流程。

但在实际使用过程中,由于DNS的一些解析机制问题,DNS防火墙开通策略的IP地址与内网应用访问的目的地址不尽相同,导致业务访问无法自动开通。

详解如何实现自动化开通

对于上述问题,可以通过ZDNS Safeguard安全DNS服务器与防火墙配合,实现一种自动化开通流程。以内外网分离的网络架构举例如下:

image001.png

部署示意图

关键流程说明:
1、内网应用系统向代理服务器发起互联网应用访问;
2、代理服务器和防火墙完成域名请求并实现业务访问开通;
3、DMZ区应用系统如访问内网应用,也可通过Safeguard完成;

       上述方案实现了内网应用系统访问互联网应用流程的自动开通,可以满足内网应用外访持续增长的业务需求,减少运维的投入。不仅如此,DNS作为贯穿整个业务请求的关键环节,打通了内网和外网通信通道,攻击者可能利用DNS作为隧道进行数据窃密或者远控通信。Safeguard通过数据包、行为、内容3重防护体系,十多种检测指标,覆盖整个请求和应答数据流,保障业务访问的安全性,实现了DNS安全加固。

关于ZDNS Safeguard
      ZDNS研发的Safeguard安全威胁管控系统提供了一个系统解决DNS安全难题的方案,通过DNS协议深度防护和威胁情报检测技术,扼住网络通信的咽喉要道,保护合规业务正常通信,阻断网络攻击外联,成为保障网络应用安全访问的“门神”。

未经允许不得转载(声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:net-net@foxmail.com进行举报,并提供相关证据,工作人员会在10个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。):策信智库资讯网 » DNS云学堂 | 一键get,通过DNS实现内网应用外访的自动化开通

赞 (0)