什么是 DNS 防火墙？

DNS 防火墙是一种安全解决方案，可监测和过滤 域名系统 (DNS)流量，并阻止违反预先确定安全规则和政策的请求，从而保护 IT 环境和用户免遭各类攻击。如果某企业的 DNS 基础架构出现故障，其整个在线业务都会受到影响！

DNS 系统可以将人类可读的域名（例如，example.com）转换为 IP 地址，以使计算机能够连接至正确的互联网站点。通过使用关于恶意和可疑 DNS 端点的最新威胁情报， DNS 防火墙 可以阻止用户访问旨在执行恶意软件、下载勒索软件、泄露数据或欺骗用户以使其受到网络钓鱼和鱼叉式网络钓鱼攻击的网站。

许多网络犯罪分子都会利用 DNS 服务来发起攻击，这样就能轻易绕过传统网络安全解决方案的防御。因此，在全面的多层安全保护方法中，DNS 防火墙成为一个重要的组成部分，它可以增强网络安全并打造网络恢复能力，从而确保网络业务不出现中断。

当用户点击某个网站或域的链接或输入其 URL 时，便会创建一个 DNS 请求以查找该网站的正确 IP 地址。DNS 请求通常由 DNS 解析器或 DNS 代理服务器进行处理，它们会执行查找并返回正确的 IP 地址。部署 DNS 防火墙之后，所有 DNS 请求都会先经过防火墙，并在其中与可接受和不可接受 IP 地址列表进行比对。防火墙会自动阻止访问不可接受或可疑的网站。由于不可接受或恶意域名列表是根据威胁情报确定的，因此 DNS 防火墙必须不断地进行更新，以使其包含关于恶意和可疑网站的最新信息。有些 DNS 防火墙还具有人工智能功能，可以实时分析并识别恶意网站。

Akamai 的 Secure Internet Access 解决方案 可以利用基于云的 DNS 防火墙，将用户设备安全地连接至互联网。

DNS 防火墙可以防止用户访问各种网络攻击所针对的 URL（统一资源定位符）和目标，包括连接至以下威胁的网站：

网络钓鱼。这些 网络钓鱼 网站表面上似乎是合法网站，但它们会诱骗用户泄露机密信息，例如安全凭据、帐号和信用卡信息。

勒索软件。当用户在某个意在安装 勒索软件的网站上点击链接时，下载到其设备的恶意软件会对其计算机和其他系统上的文件进行加密，使这些资产变得无法使用，直至支付赎金换取解密密钥。

恶意软件。某些网站会在用户点击网页上的链接时将文件下载到计算机上，以实现传播 恶意软件 的目的。黑客会在各种形式的攻击中使用恶意软件，包括传播病毒、安装间谍软件，以及获取网络和系统的访问权以盗取数据或造成业务中断。

劫持 IP。在网站或网页劫持的情形中，攻击者会对 DNS 查询的解析方式进行操纵，使用户在不知情的情况下被引导至恶意网站，而不是自己原本想要访问的安全网站。

数据外泄。数据外泄网站会诱使用户泄露机密帐户信息，从而使攻击者能够访问 IT 环境，并在其中盗取和下载敏感的公司或客户数据。

传统的防火墙可能会比较复杂、专有性强且运营成本高，并且可能无法找出基于 DNS 的威胁。

与之相反，DNS 防火墙这种解决方案目标明确、作用高效、非常简单且成本适宜，并且可以针对各类 DNS 相关威胁（包括通过 DNS 协议本身泄露数据的 DNS 隧道攻击活动）提供防护，投资回报极高。除了增强 DNS 安全性和阻止用户访问恶意网站之外，DNS 防火墙还能抵御 DDoS 攻击、提升可用性、增强 DNS 性能，并且有助于节省带宽成本。DNS 防火墙常常与某个 DDI 管理平台同时使用，该平台用于管理 DNS、动态主机配置协议 (DHCP) 以及 IP 地址管理。

要实现出色的安全性，DNS 防火墙应该能够提供：

DNS 缓存。有了缓存功能，就能够将 DNS 响应存储在防火墙内，从而节省带宽、加快响应速度，并使网络变得更为高效。

速率限制。提供响应速率限制功能的 DNS 防火墙可有助于抵御分布式拒绝服务 (DDoS) 攻击。当 DDoS 攻击企图使用大量请求淹没 DNS 服务器以使 DNS 服务变得不可用时，DNS 防火墙的速率限制功能可以防止在特定时刻有过多查询涌入到服务器上。

威胁情报。DNS 防火墙需要从某个信息来源接收最新威胁情报，并且这些情报应该能自动且不断地刷新。