博客

借助 F5 Distributed Cloud DNS,保障混合企业的 DNSSEC 安全

Griff Shelley 缩略图
格里夫·雪莱
发布时间:2025年8月26日
Dileep Bairraju 缩略图
迪利普·拜拉朱
发布时间:2025年8月26日

DNS 是互联网的电话簿,负责将域名准确转换为 IP 地址,但它无法验证你获得的 IP 地址是否真实可信。 如果有人在传输过程中篡改 DNS 响应,你可能会被引导至恶意网站,却毫无察觉。 这正是DNSSEC(域名系统安全扩展)发挥作用的地方。

DNSSEC 为 DNS 记录添加了加密签名。 当您的 DNS 解析器查询域名时,DNSSEC 让您确认信息来自合法来源,且未被篡改。 您可以把 DNSSEC 看作 DNS 响应上的防篡改印章,但它具体能做和不能做如下:

  • DNSSEC 不会加密 DNS 数据(加密 DNS 数据是 DNS over HTTPS/TLS,即 DoH 的作用)。
  • DNSSEC 不能直接阻止DDoS或数据泄露。
  • DNSSEC能够验证 DNS 响应的真实性

DNSSEC 明确回答了: “这是域名所有者的真实回复,还是遭到了伪造或篡改?”

它为何在当今网络环境中至关重要

现代攻击手法隐蔽,攻击者擅长利用您对核心系统的信任。 如果缺少 DNSSEC,攻击者就能毒害您的 DNS 缓存或劫持查询,将用户静默重定向到网络钓鱼站点或中间人(MITM)攻击基础设施,而您不会收到任何警报。

这就是了解 DNSSEC 如何发挥作用的原因:

  • 它能有效防止缓存中毒。
  • 它能有效降低域名被劫持的风险。
  • 我们通过保护菊花链的第一个环节,帮你强化零信任安全。

DNSSEC 采用率正稳步提升

Google 和 Cloudflare 等主要云提供商默认验证 DNSSEC,.gov.edu 域名强制使用 DNSSEC。金融服务、政府和医疗行业依赖 DNSSEC 来保障业务安全和客户信任,零售等面向客户的行业采用率也在稳步增长。 

那么,为什么不是所有人都在使用它? 

历史上,DNSSEC 曾备受诟病。 它实现起来复杂;配置错误时偶尔会出问题(尤其是在密钥轮换期间);而且并非所有解析器或 DNS 提供商都支持。 那么现在呢? 大多数主流解析器现在默认验证 DNSSEC,现代云 DNS 平台提供自动签名、轮换和验证工具,让您轻松管理部署。 这也是为什么采用支持 DNSSEC 的方案成为您确保 DNS 策略安全性和稳定性的又一最佳做法。

DNS 最佳做法: 安全性与冗余

实施 DNSSEC 就像给互联网的电话簿页码加上一把锁。 这一步对建立信任至关重要,也是网络安全的基石。 

当您将 DNSSEC 与加密、防火墙和威胁检测系统等安全措施结合使用时,它能为数字生态系统增加一层关键的安全防护。 DNSSEC 扮演着重要角色:提升 DNS 的安全性,防止篡改,对于处理敏感数据并依赖 DNSSEC 来保障系统和客户安全的行业,这是不可或缺的最佳实践。 

追求最佳 DNS 实践意味着打造一个 主/备份 DNS 环境,让本地和云端 DNS 解决方案协同工作,提升冗余、性能与安全性。 F5 Distributed Cloud DNSF5 BIG-IP DNS 在这样的混合环境中紧密配合,支持 DNSSEC 签名并实现 DNSSEC 记录的无缝传递。 我们让 DNS 安全变得简单且不增加部署复杂度,这是打造稳健 DNS 策略的关键所在。

主DNS与备份DNS支持详解

Distributed Cloud DNS 对 DNSSEC 具有强大支持,当它作为权威源时,确保您的 DNS 响应具备端到端的完整性和真实性。

当您使用 Distributed Cloud DNS 管理主区域时,我们提供内置的 DNSSEC 签名与密钥管理,让您轻松启用区域签名并自动完成密钥滚动。 我们安全管理区域签名密钥(ZSK)和密钥签名密钥(KSK),并支持导出 DS 记录以委托给上游注册商。 因此,Distributed Cloud DNS 成为同时满足权威解析和 DNSSEC 合规需求的全方位解决方案。

那么,当您将 Distributed Cloud DNS 部署为辅助 DNS 服务,例如作为 BIG-IP DNS 的备份时,会发生什么?

在这种混合架构中,我们将 DNSSEC 签名的责任交给作为主 DNS 服务器的 BIG-IP DNS。 分布式云 DNS 通过权威区传输(AXFR)接收来自 BIG-IP DNS 的签名区域数据,然后进行传输和提供服务。 由于分布式云 DNS 在这个辅助角色中不会修改或重新签署区域数据,它能够保留 BIG-IP DNS 生成的所有 DNSSEC 签名。 这种配置让您能够利用 BIG-IP DNS 的 DNSSEC 控制,同时享受到分布式云 DNS 的全球覆盖与边缘交付优势。

无论您将 Distributed Cloud DNS 作为主要权威平台,还是作为基于 BIG-IP 的架构中的全球辅助平台,都能确保您的 DNSSEC 策略灵活、安全且性能优化。

通过 DNSSEC 和 F5 加强企业 DNS 安全

企业要保护DNS基础设施免受缓存有毒Cookie、域名劫持及其他基于DNS的攻击,必须依靠DNSSEC。 DNSSEC通过对DNS记录进行加密签名,确保数据的完整性与真实性,为当今注重安全的架构建立了关键的信任基础。

Distributed Cloud DNS 为企业内置了 primary 区域的 DNSSEC 支持,让您轻松实施 DNSSEC,无需担心操作复杂性。 如果您已经使用 BIG-IP DNS 作为 DNSSEC 签名权威机构,Distributed Cloud DNS 还能提供强大的 secondary DNS 功能,实现无缝区域传输和混合部署。 无论您是在 Distributed Cloud 直接保护权威区域,还是借助 BIG-IP DNS 实施 DNSSEC,同时享受 Distributed Cloud 全球分布式边缘,您的 DNS 都将兼具可扩展性与安全性。

深入了解分布式云 DNS 作为安全的二级 DNS。