动态 DNS 基础设施
域名系统(DNS)是互联网的技术基石,但在发展和安全方面面临重大挑战。 互联网依赖于 DNS;当 DNS 不工作时,互联网也不工作。 当今的组织不仅依赖于互联网 DNS,还依赖于他们自己的 DNS,当他们的 DNS 系统崩溃时,他们的应用也会崩溃。
随着过去十年智能手机的普及,互联网用户数量增长了500%以上,达到26亿多。 福雷斯特1预测到2016年,全球将有超过10亿部智能手机投入使用,而长期演进(LTE)4G网络上智能手机应用的激增将推动DNS流量呈指数级增长。
娱乐网站、社交媒体、搜索和在线购物的增长也给 DNS 带来了压力。 在过去五年中,DNS 查询量增长了 200% 以上 - 2011 年第一季度的平均每日查询负载高达 570 亿次。
随着网站和应用变得越来越丰富和复杂,DNS的负担也越来越重。 例如,在现代网页上,每个图像、添加按钮、小部件、链接、图标和其他嵌入内容都有一个必须查找的潜在 IP 地址。 单个页面需要浏览器进行二十多次不同的 DNS 查找的情况并不少见。 顶级页面(例如 cnn.com)需要一百多次 DNS 查找。 更大、更复杂的网络意味着不断增加的 DNS 请求。
几乎所有客户端都依赖 DNS 来实现其所需的服务,这使得 DNS 成为所有服务中最关键且最公开的服务。 DNS 中断会影响所有外部数据中心服务,而不仅仅是单个应用。 这种单点故障,加上历史上配置不足的 DNS 基础设施(尤其是在互联网和企业数据中心内),使得 DNS 成为攻击者非常诱人的目标。 它已成为分布式拒绝服务 (DDoS) 攻击的第二大最常用的攻击媒介(仅次于 HTTP),使得各组织纷纷寻求有效的防御措施。
同样重要的是,最具经济破坏力的攻击,例如网络钓鱼和中间人 (MITM) 攻击,都是从 DNS 响应操纵开始的。 域名系统安全扩展 (DNSSEC) 技术旨在解决这些问题,但其增加的开销和复杂性被证明会给那些正在竞相解决快速增长和 DDoS 防御所带来的问题的组织带来额外的负担。
即使是浏览器工具栏拦截器等传统安全措施也依赖于 DNS 服务,因此当这些服务中断时,安全措施就会失败。 SSL 站点证书在某种程度上也存在同样的问题。
组织需要重新审视 DNS 解决方案,以确保它们满足当今和未来的互联网的性能和安全要求。
为应对增长和安全挑战,各组织十多年来一直依赖 F5 Networks 提供 DNS 和全球应用交付服务。 F5 BIG-IP 全局流量管理器 (GTM) 一直是性能最高、最灵活的多站点应用交付技术。 现在,F5 正在通过动态 DNS 的全代理架构突破技术极限,为全局、本地和云负载均衡提供完整的解决方案。
对于拥有多个数据中心和现有 DNS 基础设施的全球组织,BIG-IP GTM 提供一系列服务,从全局服务器负载均衡 (GSLB) 到采用 F5 独特 DNS Express 技术的全区域服务。 DNSSEC 签名可确保客户端不会被恶意重定向。
对于企业而言,BIG-IP GTM 可以充当出站 DNS 名称解析、缓存和解析以及 DNSSEC 验证的中央清算所。 DNS Express 可扩展、保护并加速本地区域解析。
对于拥有任意物理和虚拟数据中心组合的组织,BIG-IP GTM 可以灵活地控制名称在它们之间以及内部的移动方式。 借助公共和私有云环境中的 BIG-IP GTM 虚拟版 (VE),组织可以随意启动新的部署并提供灵活的全球应用可用性。
自从 DNS 首次在每个响应中整合多个 IP 地址以来,通过 DNS 的 GSLB 就成为一种分配负载的方法。 即使在今天,许多网站仍然使用循环 DNS 响应技术来尝试在服务器和应用之间分散流量。
虽然简单实用,但原始的循环 DNS 负载均衡有两个明显的弱点。 首先,传统的DNS服务器不了解应用服务器的健康状况。 如果一个名称映射到四个应用服务器地址,而第三个服务器瘫痪,则 25% 的服务连接将被拒绝。 其次,传统的循环技术没有考虑查询名称本身的用户的个人资料。 也就是说,它没有能力将用户与附近的数据中心进行匹配。
自 2002 年以来,BIG-IP 全球流量管理器就提供了可解决这些及其他问题的 GSLB 解决方案。 互联网网站和企业数据中心依靠 BIG-IP GTM 实现先进的全局服务器负载均衡,从而提供高应用可用性和良好的用户体验。 对于企业而言,BIG-IP GTM 会考虑底层应用的健康状况,并仅为健康的服务器提供地址。 对于具有多个数据中心的全球互联网站点,BIG-IP GTM 可以采用复杂的负载均衡方法来实现每个应用的业务逻辑。 该方法可以简单到基于优先级的偏好列表,使用静态或动态比率来分散负载;基于客户端接近度;或者复杂到使用多种因素和输入来为客户选择最佳资源。 现在,许多组织使用地理位置数据将用户连接到距离他们最近的数据中心。 用户可以获得更少的不良连接和更丰富的体验,而数据中心则可以获得更好的全局服务器负载均衡。
从历史上看,BIG-IP GTM 通过提供智能但非权威的 DNS 解析来提供 GSLB。 新的 DNS Express 功能通过提供世界一流的高性能权威 DNS 解析对此进行了改进。 它通过将现有 DNS 服务器的区域信息传输到自己的 RAM 中,然后自行响应所有查询来实现这一点。 DNS Express 使 BIG-IP GTM 成为权威服务器,而无需新的管理基础设施。
当在 DNS Express 后面使用时,DNS 服务器仅仅成为 DNS 管理的存储和管理控制点。 这意味着需要更少的服务器。 与其他 F5 产品一样,BIG-IP GTM 是经过 ICSA Labs 认证的网络防火墙,因此可以将其放置在 DMZ 中甚至防火墙边界之外。
| 益处 | 使能技术 |
|---|---|
| 高性能 GSLB | 多核 BIG-IP GTM |
| 可扩展的 DNS 卸载 | DNS快递 |
| 在设备间分散负载 | P 任播 |
| 安全 DNS 查询 | DNSSEC |
| 根据最近的数据中心进行路由 | 地理位置 |
| 完整的 DNS 控制 | F5 的 iRules 脚本语言 |
| DDoS 保护 | DNS快递 |
| 协议验证 | 完整的 L7 DNS 代理 |
BIG-IP GTM 提供一组安全服务,可在 DNS 安全边界上提供针对 DDoS 攻击的保护。 例如,BIG-IP GTM 通过将性能扩展到远超普通 DNS 服务器,轻松缓解典型的分布式 UDP 洪水攻击。 类似地,对于更高级的查询攻击,DNS Express 功能可以胜过典型的 DNS 服务器,因为即使在 NXDOMAIN DDoS 攻击期间它也能保留所有有效的区域条目。
自 2002 年首次发生针对全球 DNS 基础设施的重大攻击以来,IP Anycast 技术已成为防御多种 DDoS 攻击的重要防御手段。 IP Anycast 通过将负载(合法流量或网络攻击)分散到多个设备(通常位于全球不同地区的不同数据中心)来稀释 DDoS 攻击。 这会挫败全球僵尸网络,因为它们永远无法集中火力攻击单个目标。
F5 所有基于 TMOS 的产品(包括 BIG-IP GTM)均包含可缓解网络攻击的 ICSA Labs 认证网络防火墙功能。 BIG-IP 版本 11 的全新全代理架构使 BIG-IP GTM 能够对所有 DNS 查询执行本机协议验证。 通过终止 DNS 对话的双方,BIG-IP GTM 可以快速消除任何无效的 DNS 请求。
DNS Express 正在彻底改变 DNS 响应的服务方式;然而 F5 仍在继续改进其传统的 DNS 服务器负载均衡解决方案。 BIG-IP GTM 版本 11.1 引入了真正的全代理内联功能,其中 BIG-IP GTM 代理来自 DNS 客户端的请求和来自 DNS 服务器的响应以提供最大程度的控制。
这种新的全代理架构使组织能够控制提供一整套 DNS 性能和安全相关的服务,包括缓存、解析以及 DNSSEC 签名和验证。
其全代理架构意味着,通过 DNS 缓存和解析,BIG-IP GTM 不仅可以充当单个 DNS 服务器的透明缓存,还可以充当整个 DNS 服务器池的透明缓存。 单个控制点的透明缓存可提供更快的响应,因为单个 BIG-IP GTM 缓存的填充速度比每个 DNS 解析器上的单个缓存更快。 这将提高整体性能,并最终带来更好的用户体验。
由于 DNS 通常是客户连接到组织数据中心时采取的第一步,因此劫持 DNS 响应的攻击(例如网络钓鱼和 MITM 攻击)是危害资产的最简单方法。 DNS 响应欺骗一直是攻击者常用的方法,而针对递归名称服务器的缓存毒化比 IT 界最初想象的要容易得多。 2008年,安全研究员Dan Kaminsky揭露了DNS消息标识符设计中的一个缺陷,导致美国等高度安全的组织无法继续使用DNS消息标识符。 国防部将 DNS 安全列为高度优先事项,并强制遵守法规。
F5 的 DNSSEC 解决方案可防御所有类型的缓存中毒攻击,从而减轻网络钓鱼和 MITM 威胁。 它向组织的客户保证,他们确实连接到他们的数据中心,而不是网络钓鱼代理。 F5 的 DNSSEC 签名密钥可以存储在防篡改的 FIPS 140-2 3 级硬件安全模块 (HSM) 中,以实现最大程度的安全。
对于名称解析行业中的许多人来说,采用 DNSSEC 一直很困难且进展缓慢。 具体来说,一些全局服务器负载均衡解决方案与 DNSSEC 不兼容。大多数都遵循初始参考实现,每月对整个区域进行一次静态签名,然后提供预签名的响应。 然而,静态签名的解决方案也存在问题(参见侧边栏)。
F5 的动态 DNS 基础设施提供了一种卓越的方法。2 通过 BIG-IP GTM,DNSSEC 和 GSLB 可以共存,因为 BIG-IP GTM 可以实时签署响应,这样就可以实现 GSLB 的所有优势,同时仍然使用强大的非对称加密保护响应。
与 DNS Express 一起使用时,BIG-IP GTM 会对其提供的任何查询签署响应,包括来自其自身区域信息、其他本地 DNS 服务器(可能未使用 DNSSEC)以及 BIG-IP GTM 自己的缓存解析器的查询。 BIG-IP GTM 也足够智能,不会签署任何已被其他服务器签署的响应。 F5 提供唯一完整的 GSLB 和 DNSSEC 解决方案,并可使用防篡改 FIPS 140-2 3 级硬件密钥保护来保护签名密钥。
静态签名区域的问题
- 在整个区域重新签名之前,管理员无法对区域进行小的更改
- 静态签名区域无法利用应用健康监控来确保高可用性
- 静态签名环境无法支持地理定位等高级客户端资格技术
- GSLB 实现打破静态 DNSSEC 来做出路由决策
本地 DNS (LDNS) 服务代表企业客户端解析出站名称查询。 通过提供这项基本服务,LDNS 可以成为企业管理员管理性能、可扩展性和安全性的中央控制点。
- 表现。 当填充时,BIG-IP GTM 缓存和解析器可以将出站 DNS 查询减少 80%,从而实现更高的性能和更好的用户体验。
- 可扩展性。 BIG-IP GTM 多核架构可以与 DNS Express 一起扩展,以满足最大型企业数据中心的需求。
- 安全。 BIG-IP GTM 提供高性能、嵌入式 DNSSEC 验证解决方案,可卸载其他内部客户端和 DNS 服务的加密密集型服务。
BIG-IP GTM 的完整代理功能可以通过对解析、缓存和 DNS 响应功能的任意组合执行验证来帮助组织验证 DNSSEC 响应。 BIG-IP GTM 不仅可以接受和解决每个查询,还可以验证 DNSSEC 响应。
BIG-IP GTM 的验证可以确保通信安全,并使客户端无需执行计算成本高昂的加密操作,而缓存可以提高后续查询的性能。 由于多个客户端请求相同的 DNS 解析,所有后续客户端都将收到已缓存并验证的响应。
DNSSEC 解决方案最终有可能保障互联网的安全。 现在 .com 域名根已经签名,终于有一个全球基础设施可以让客户进行验证,例如,验证来自他们银行的电子邮件是否确实来自他们的银行。 随着互联网克服 DNSSEC 的成长烦恼,采用这项关键技术将成为现实,而不仅仅是强制要求采用该技术的联邦组织。
由于 DNSSEC 验证的计算成本非常高,大型企业需要正确的缓存和性能组合才能保证内部客户端的顺利运行。
BIG-IP GTM 的高性能板载加密硬件可减轻 DNSSEC 验证计算的负担。 BIG-IP GTM 即使对于不请求 DNSSEC 的传统客户端也可以执行 DNSSEC 验证,从而使其成为整个企业的透明、嵌入式安全解决方案。
BIG-IP GTM 包含一个新的应用健康监视器,每五秒查询一次 DNS 服务的健康状况。 监视器验证活动、可用的服务器是否正确响应查询。 然后它可以评估响应的任何方面,或者只是观察任何响应。
DNS 健康监视器的灵活性意味着它可以有效地成为路径监视器。 例如,管理员可以监视外部名称是否未解析。 通过发出此故障信号,监视器会警告组织企业服务器和互联网之间的某处存在名称中断。
如今,数据中心处于不断变化的状态。 一些组织正在整合数据中心,而其他组织正在使用新的虚拟数据中心和云部署来管理增长。 还有一些公司则结合使用托管服务与互联网软件即服务 (SaaS) 来提供虚拟应用。 BIG-IP GTM 提供适合所有这些架构的解决方案。
简单而强大的云 DNS 管理:
- 将查询管理和缓存扩展到云部署。
- 确保 DNS 查询有效地路由到最佳云。
- 利用 DNS 缓存和快速应用响应来提高生产力。
借助 BIG-IP GTM,组织可以在云部署中获得对其入站 DNS 和全局服务器负载均衡的单点控制。 BIG-IP GTM 的虚拟版本 (VE) 可以部署在 VMware vSphere、Microsoft Hyper-V 和 Citrix XenServer 环境中3提供与实体版相同的服务。 虚拟环境内部的BIG-IP GTM VE可以为虚拟应用提供LDNS,外部有物理的BIG-IP GTM独立设备保证可用性。
使 GSLB 成为如此引人注目的解决方案的相同原则仍然适用于虚拟环境。 BIG-IP GTM 通过将用户路由到虚拟数据中心中的应用,使组织能够轻松实现灵活的全球应用可用性。 DNS 健康监视器确保虚拟应用的可用性。 BIG-IP GTM 的本机 DNS 智能将用户引导至最可用的云应用以及各种云之间的虚拟部署。
当组织迁移到 IPv6 时,传统系统、客户要求和兼容性都会影响迁移的速度。 进一步复杂化的是,一些网络仅支持 IPv6,但也需要访问 IPv4 资源,例如互联网上的主机和不支持 IPv6 的旧服务器。 许多组织的子网根本无法支持双栈,需要解决方案来弥补这一差距。
F5 的全代理架构提供了一种独特且引人注目的解决方案,该解决方案利用网络中的战略控制点来弥合 IPv6 客户端和 IPv4 服务器之间的差距。
使用 BIG-IP 本地流量管理器 (LTM) 中的 NAT64 网关进行网络地址转换可为应用交付提供 IPv6 到 IPv4 代理。 BIG-IP GTM 的DNS64网关自动模拟IPv6地址并调用NAT64代理。
组织正在使用 DNS64 和 NAT64 来构建新的仅 IPv6 网络,这些网络仍然可以访问 IPv4 基础设施,而无需在其网络中实现双栈。 F5 在网络中的战略控制点是实现这些解决方案的关键组件。
- 为 LTE 移动设备提供关键支持
- 支持同时访问 IPv6 和 IPv4 的纯 IPv6 客户端
- 结合 NAT64 与 DNS64 提供自动翻译
F5 自 2002 年以来一直提供高性能 DNS 解决方案。 凭借其最新的 DNS 技术套件,F5 始终处于全球应用交付的前沿。 DNS Express 适用于权威区域和本地区域,可提供最佳的 DNS 传送性能并增加 DNS DDoS 保护。 BIG-IP GTM 的全新全代理架构使组织能够通过 DNS 解析最大程度地提高灵活性、通过缓存实现性能提升以及通过签名和验证实现完整的 DNS 安全性。 对于转向云服务的组织,BIG-IP GTM VE 可在私有云和虚拟环境中实现灵活性。 对于迁移到 IPv6 的组织,BIG-IP GTM 中的 DNS64 可以在过渡期间成功连接 IPv6 和 IPv4。
无论组织拥有全球数据中心基础设施、企业数据中心还是两者结合以及私有云或混合云服务,基于 BIG-IP GTM 的解决方案都可以帮助它们保护、扩展和向全球交付其应用。
1 坎皮纳斯,威廉。 咨询公司预测,到 2016 年,全球智能手机数量预计将达到 10 亿部。 2012 年 2 月 13 日。
2 观看 F5 DNSSEC 解决方案视频: http://vimeo.com/37677275
3 BIG-IP GTM VE 与适用于 Windows Server 2008 R2(仅限实验室)的 Microsoft Hyper-V、Citrix XenServer 5.6 以及 VMware vSphere Hypervisor 4.0、4.1 和 5.0 兼容。
