正 是因为DNS问题造成的后果牵涉过多,所以在安全方面下足功夫,做好防范工作对站长们来说十分必要。这里为企业提供一些最有效的安全防范方法,可考虑选用 多种,使“组合拳”发挥出最大的效用。
1 采用独享的DNS服务器解析系统
DNS解析服务使用的系统对网站的安全极其重要。 现在国内的DNS服务器普遍是公用的,即是你的企业网站DNS解析服务和其他许多网站都是由同一个DNS服务器提供。一旦某个网站DNS出现严重的安全事 故,其他的网站DNS也会无故受到牵连,互联网服务体系面临崩溃的危险。因此,群英建议企业对一些重要的域名解析应采用独享的DNS服务器解析系统,只对 应你的网站域名进行解析服务,避免自己网站的DNS遭受池鱼之殃。
2 建立多节点的分布式部署
企业在部署服务器时,应该考虑 为域名解析建立多个节点。采用分布式部署的作用是当自己域名所在的节点出现线路障碍、遭受攻击或者漏洞故障时,其他的节点能够继续提供服务,以保证域名解 析的连续性。对于重要的域名,建议应该建立3个以上的节点,并且节点的分布应该分地区、分运营商路线设置访问。
3 采用高防设备安全加固
打补丁是最常用来防护DNS服务器的手段。这是一种最基础的防范方式。要应对越发复杂的网络攻击,除了打补丁之外还必须利用一些高防设备来加固DNS的安全,比如增加防火墙、DNS应用网关、高防智能解析系统、DDOS防护等来提高网站DNS的安全防范水准。
4 启用可持续的全方位风险监测
当 网站的DNS解析服务器被攻击时,企业除了在日常做好一些应急备份的准备之外,更重要的是必须要设置有效的监控体系,以保证你能在DNS出现故障的第一时 间内及时发现问题,启用应急备案。不过,采用多个分布式节点的网站要监控起来也相当困难。这时可考虑借助一些实用的网络监控工具来减轻你的工作量。使用网 络监控工具的好处是对多个站点建立不同的监测策略,来帮助企业实行集中化的管理模式。
5 定期进行数据扫描分析
对DNS的状 态应该一直保持数据的更新,这对你降低DNS的安全风险、进行后期的运营发展都很有帮助。这点也很容易做到,你同样可以通过监控工具或者站长工具 (http://tool.qycn.com/)的使用,来实现周期性地对网站可用率、服务器性能、故障原因、响应时间统计等方面的数据收集,这样一来, 所有你需要知道的站点风险趋势、危害、安全风险值都能及时地进行动态的信息更新。
6 使用第三方域名服务托管
有关调研报告表 明,自主管理DNS服务器公司,可靠率只有90.13,而使用第三方管理DNS服务器的公司,可靠率可达98%,并且自主管理的DNS服务器发生宕机的几 率是第三方DNS服务器的2倍。尤其是对于不具备自主建立DNS解析平台的中小企业来说,托管的方式投资相对更加经济,维护起来也更加方便。国内像群英网 络这种比较不错的专业域名安全运维服务商,他们会为DNS的安全提供更为完善的运营服务。对于一些特别重要的信息系统要求自建的用户,他们也可以为其提供 相应的软、硬件支持。相对来说,第三方域名服务托管是可行性最高、效果最理想的一种方案。