DNS防护系统部署方案研究

1 四川 移动 DNS 防 护 系 统部署 方 案 研 究 版本号： 1.0.0 目 录 1. 范围 . 3 2. 规范性引用文件 . 3 3. 术 语、定义和缩略语 . 4 4. DNS 防护系统部署场景 . 4 5. DNS 防护系统部署总体原则 . 5 6. 具体部署原则 . 8 6.1 部署方式 . 8 6.2 DNS 防护系统接入原则 . 9 6.3 防火墙安全原则 . 10 6.4 DNS 域名解析系统性能稳定原则 . 11 1. 范围 本要求 规定了 部署 DNS 安全防护必须遵循的基本要求， 适用于 DNS 防护系统。原则上不包括防护系统及设计的设备配置方面的内容。 2. 规范性引用文件 下列文件中的条款通过本要求的引用而成为本要求的条款。凡是注日期 的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于 本要求 ，然而，鼓励根据 本要求 达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日 期的引用文件，其最新版本适用于 本要求 。 1 2006版技术路标 及编制说明 中国移动通信有限公司 2 中国移动支撑 系统 安全域划分和边界整合技术要求 中国移动通信有限公司 3 中国移动业务支撑网安全域划分和边界整合技术要求 4 中国移动网管安全需求规范 5 美国 IATF（ Information Assurance Technology Framework），信息保障技术框架， 2000 6 ITU-T X.805 ， Security architecture for systems providing end-to-end communications，端到端通信系统安全架构， 2003 3. 术语、定义和缩略语 下列术语、定义和缩略语适用于本标准： 表 3-1 词语 解释 安全域 具有 相同或相近的安全需求、相互信任的区域 或网络实体的集合。一个安全域内可进一步被划分为安全子域。 非中国移动计算机系统 不由中国移动建设和管理的计算机系统，包括银行、邮储、SP、合作伙伴等。 核心网 承载于传送网之上，为业务网络提供承载的网络。 IT支撑系统 为支持公司运营、 管理的 IT系统的总称，包括网管系统、业务支撑系统和企业信息化系统。 计费数据源 指为 BOSS系统提供服务使用记录的各类外部系统，如交换机和各类网关等。 SOCKET 除了标准 TCP/IP协议族外的非标准 IP端口。 业务网 承载与核心网之上，提供业务、业务接入和业务管理的网络。 业务支撑网 由集团公司和省公司两级架构构成，每级由 BOSS、经营分析和 BOSS网管等支撑体系构成。 一级业务支撑系统 一级业务支撑系统为集团公司进行全网业务管理和业务运营提供支撑和保障，实现全网信息的交换和管理，具有管理、实 体和枢纽功能。 4. DNS 防护系统部署场景 以下列举了部署 DNS 防护系统作为 DNS 业务运营与安全的主要考虑因素。 (1). 被保护系统的安全需求方面 防护系统出现故障或异常不能影响业务系统的正常运营；若出现节点故障，需立即启用备用数据链路。 (2). 被保护系统 解析 能力方面的考虑 防护系统对处理结果产生的告警及处理操作不能对业务系统和业务系统设备处理能力产生影响，降低业务系统和设备的性能。 (3). 被保护系统 防火墙安全的需求 防护系统 对处理结果产生的告警及处理操作不能使安全防火墙过载造成拒服风险。 5. DNS 防护系统部署总体原则 四 川公司 CMNet 域名解析系统采用缓存和授权分开组网模式，前端采用两台 Cisco 5550 防火墙作为 DNS 系统的安全防护及访问控制。 C M N e t华 为 8 5 0 8 - 1 华 为 8 5 0 8 - 2C i s c o A S A 5 5 5 0 - 1C i s c oA S A 5 5 5 0 - 2A p p D i r e c t o r 2 0 1 6负 载 均 衡 - 1A p p D i r e c t o r 2 0 1 6负 载 均 衡 - 2S U N T 5 1 2 0缓 存 服 务 器授 权 服 务 器C i s c o 4 5 0 3 - 1 C i s c o 4 5 0 3 - 2四川公司 CMNet 域名解析系统 防火墙实现网络边界隔离的设备， AppDirector 2016 负载均衡实现 DNS 域名解析缓存服务器的流量分担，主备授权服务器实现对请求域名的授权指定。 四川移动 DNS 防护系统部署需遵循不影响现在 DNS 域名解析系统正常功能，不增加四川移动 DNS 系统所涉及设备的负载，不影响 DNS 域名解析系统整体性能 的原则。 下面就四川移动 DNS 防护系统部署总体原则进行阐述，并在下一章进行四川移动 DNS防护系统部署方法。 DNS 防护系统部署总体原则 按照集中化维护、等级保护的总体要求，安全防护方案应体现“集中防护、重兵把守、重点防护”的原则，整体实现既保证四川移动 DNS 域名解析系统正常工作，又保障 DNS域名解析系统的安全防护。 需求、风险、代价平衡的原则 企业面对风险存在的现实环境，首先要明确需要保护的对象（资产）是什么。要消减风险，就必须采用措施控制风险。但实施安全控制措施要有所付出，包括购买、安装、维护等方面所需要的人力和物力，所以，企业应该找到一个利益和代价的平衡点，根据实际情况来选择最恰当的安全措施，将风险控制在可接受范围之内。 适应性、灵活性原则 在设计方案时，应充分考虑到现有网络拓扑结构和业务应用的特点，最大程度避免对现有系统的冲突和影响。方案应采用模块化的设计，在设备选型时注重产品的标准化，开放性、易扩展性和易维护性。 多重保护原则 从技术手 段的多样性、网络设计的冗余性、设备厂家的互补性、安全服务商的响应及时性等方面对重要资产建立层次化的安全保护模型。 先进性和成熟性相结合的原则： 采用先进且成熟的产品和技术，既保证系统的稳定性，可靠性，又能保护投资。 安全性、平滑过渡的原则： 风险是安全建设需要重点考虑的问题，不仅要选择性能可靠的产品，还要制定详细的安全控制计划和方案，保证实施过程的安全。 开放性、可扩展性原则： 集中监控、集中管理是中国移动 4A 的要求，要达到这一目标，需要选择具有良好开放性、可扩展性的产品和系统。 高性价比、实用性原则： 在 保证系统先进、可靠和高性能的前提下，尽量采用性价比更高的技术和设备，通过优化设计达到最经济性的目标。 安全服务与安全产品集成相结合的原则 安全产品，安全系统最大化发挥作用，离不开技术支持和服务的保障，需要充分考虑服务厂商的实力和力量，保障系统的安全运行。 标准化原则 总体方案的设计和系统的实施需要遵循与信息安全相关的国际和国家标准以及公安部的相关规定。 6. 具体部署原则 6.1 部署方式 6.1.1 串联部署 四川移动 DNS 防护系统串联在网络入口端，对 DNS 攻击进行检测，当发生攻击时，根据策略对攻击行为进行拦 截，具体拓扑图如下： C M N E TC i s c o 4 5 0 3千 兆 防 火 墙Q u i d w a y S 8 5 0 8G S RD N S 服 务 器D N S 防 护 系 统串联部署优缺点： 优点： 防护系统实时封堵 降低 DNS 域名解析系统被攻击风险 缺点： 增加节点故障 更改现有组网结构 6.1.2 旁路 部署 四川移动 DNS 防护系统通过镜像方式旁路部署在网络入口端，对 DNS 攻击进行检测，通过策略联动防火墙和 DNS 缓存服务器对攻击行为进行事后封堵，具体拓扑图如下： C M N E T C i s c o 4 5 0 3千 兆 防 火 墙Q u i d w a y S 8 5 0 8G S R D N S 服 务 器D N S 防 护 系 统镜 像 口旁路 部署优缺点： 优点： 部署方便，不更改现有组网结构 不增加节点故障 扩容升级灵活 缺点： 事后封堵 通过上述两种部署方式对比，旁路部署不影响现有 DNS 域名解析系统的性能和网络结构，不增加新的节点故障，部署升级方面更加灵活，所以我们采用旁路部署、镜像数据的方案。 6.2 DNS 防护系统接入原则 DNS 防护系统为 旁路的方式部署，通过镜像数据方式抓取前端 8508 上所有数据包 ， DNS防护系统对抓取的数据进行还原，后台程序进行入库统计，根据制定的策略对攻击行为进行告警，可通过人工核实和自动判断的方式，以 TELNET 方式联动防火墙、 SSH2 方式联动DNS 缓存服务器进行相应拦截或恢复。 这种部署 结构适用于不同网络的 DNS 系统，不影响 DNS 系统的运行。 部署方案如下： C M N E T防 火 墙出 口 交 换 机D N S 防 护 系 统D N S 域 名 解 析系 统 6.3 防火墙安全原则 6.3.1 集中防护原则 以各网络系统核心节点如省公司网管中心的所有网管系统为基本单位、或者以某核心节点机房的所有数据业务系统等 作为基本单位，统一考虑节点内所有 网络 系统的边界访问控制。 节点内部，划分核心生产区、日常维护区、 停火区（ DMZ 区） 等等，通过 VLAN 划分实现不同区域系统间的隔离 。从而彻底改变分系统防护的传统模式，实现集中化防护。 6.3.2 等级保护 原则 不同保护级别的系统应采取不同的防火墙部署模式进行边界防护。在国家等级保护标准当中，除考虑系统的实际等级以外，还考虑了相关部门的监管需求。此外，由于系统防护技术的等级差别有限，部分安全手段如防病毒、账号集中管理、日志审计系统既满足安全防护要求、也要满足集中管理要求，各受保护系统都需要。因此在实际实践中，我们并不需要进行过于理论化的计算，能够区分高中低三种不同的防护需求即可。 根据系统划分的等级，高等级的系统应采用防护能力较强的安全设备进行防护。对于等级较低的系统在视其边界复杂程度，网络路由设备性能等条件 下使用访问控制列表或防火墙进行安全防护。 6.3.3 与业务特殊需求一致原则 对防火墙功能有特殊需求的业务系统 ，如 GPRS BG 接口 防火墙需要 支持 GTP 协议，可以在 边界集中防火墙 内部部署第二层防火墙 、 IDS 系统，实现深度保护。 6.3.4 与边界威胁一致原则 由于不同系统的开放性、可控性等方面各不相同，它们的可信度也有明显区别。与不同威胁等级、可信度的系统互联时，面对的威胁是不同的，因此，必须针对不同的威胁等级选择不同防护强度的防护技术。 6.4 DNS