一种基于防火墙的dns防护方法和系统的制作方法
【技术领域】
[0001]本发明属于网络安全技术领域,具体涉及一种基于防火墙的DNS防护方法和系统。
【背景技术】
[0002]域名系统(Domain Name System,DNS)作为因特网上域名和IP地址相互映射的一个分布式数据库,具有数据庞大、资源开放、结构复杂的特性,因此,在设计之初,无法全面考虑DNS的安全性,再加上DNS进入运营后人为的恶意攻击和破坏,导致DNS面临非常严重的安全威胁。
[0003]目前大多数防火墙都设计有DNS防护模块,来对DNS攻击进行有效的拦截处理。其中一种拦截DNS攻击的方法,就是在防火墙的DNS防护模块中手动添加安全缓存,并对相应的DNS应答报文进行检查,将应答报文的检查结果与之前已经添加的安全缓存进行对比,如果应答报文的检查结果与安全缓存不一致则丢掉该应答报文,从而达到过滤的效果。
[0004]但是,现有技术中的安全缓存,是通过手动的方式添加的,一方面需要用户投入时间和精力,另外一个方面这种添加方式不灵活。
【发明内容】
[0005]本发明的目的是提供一种DNS防护方法和系统,通过确认的方式添加安全缓存,灵活、有效的拦截DNS攻击。
[0006]根据本发明的一个方面,提供了一种基于防火墙的DNS防护方法,所述方法包括:
[0007]在防火墙中配置两个或两个以上可信域名服务器的地址;
[0008]通过所述地址向与所述地址相对应的可信域名服务器发送对需要进行安全防护的域名进行解析的解析请求并分别接收对应的域名服务器的解析结果;
[0009]将所接收的所有所述解析结果进行对比,当所述解析结果一致的解析结果个数达到预定值时,则将一致的所述解析结果加入安全缓存列表中;
[0010]将经过防火墙的关于所述域名的应答报文与加入安全缓存列表中所述解析结果进行对比并过滤。
[0011]上述方案中,所述可信域名服务器为授权域名服务器或者符合预设要求可信度的DNS域名服务器。
[0012]上述方案中,通过所述地址向与所述地址相对应的可信域名服务器发送对需要进行安全防护的域名进行解析的解析请求,具体为:
[0013]通过所述地址定期向与所述地址相对应的可信域名服务器发送解析请求。
[0014]上述方案中,所述方法还包括:可信域名服务器接收到所述解析请求后,对所述域名分别进行解析得到解析结果,并分别发送所述解析结果。
[0015]上述方案中,所述方法还包括:在防火墙中配置需要进行安全防护的域名。
[0016]上述方案中,所述方法还包括:
[0017]累计经过防火墙的关于域名的DNS请求报文数;
[0018]当所述DNS请求报文数大于或等于预设阈值后,将所述域名加入域名缓存列表中作为需要进行安全防护的域名。
[0019]根据本发明的另一个方面,还提供了一种基于防火墙的DNS防护系统,所述系统包括:
[0020]可信域名服务器配置模块,用于在防火墙中配置两个或两个以上可信域名服务器的地址;
[0021]请求模块,所述请求模块与所述可信域名服务器配置模块相连,用于通过所述地址向与所述地址相对应的可信域名服务器发送对需要进行安全防护的域名进行解析的解析请求并分别接收对应的域名服务器的解析结果;
[0022]比较添加模块,与请求模块相连,用于将所接收的所有所述解析结果进行对比,当所述解析结果一致的解析结果个数达到预定值时,则将一致的所述解析结果加入安全缓存列表中;
[0023]对比过滤模块,用于将经过防火墙的关于所述域名的应答报文与加入安全缓存列表中所述解析结果进行对比并过滤。
[0024]上述方案中,所述请求模块具体用于通过所述地址定期向与所述地址相对应的可信域名服务器发送解析请求。
[0025]上述方案中,所述系统还包括:
[0026]域名配置模块,用于在防火墙中配置的需要进行安全防护的域名。
[0027]上述方案中,所述系统还包括:
[0028]累计模块,用于累计经过防火墙的关于域名的DNS请求报文数;
[0029]域名确定模块,用于当所述DNS请求报文数大于或等于预设阈值后,将所述域名加入域名缓存列表中作为需要进行安全防护的域名。
[0030]本发明提供了一种基于防火墙的DNS防护方法,其方法首先在防火墙中配置两个或两个以上可信域名服务器的地址,通过所述地址向与所述地址相对应的可信域名服务器发送对需要进行安全防护的域名进行解析的解析请求并分别接收对应的域名服务器的解析结果,将所述解析结果进行对比,当所述解析结果一致的解析结果个数达到预定值时,则将一致的所述解析结果加入安全缓存列表中,将经过防火墙的关于所述域名的应答报文与加入安全缓存列表中所述解析结果进行对比并过滤。本发明通过两个或两个以上可信域名服务器确认域名的安全性,从而将经过确认的解析结果添加进用于该域名的应答报文对比过滤的安全缓存列表中,摒弃了传统的手动添加方式,灵活、有效的实现对DNS攻击报文的拦截。
【附图说明】
[0031]图1是本发明优选实施例的基于防火墙的DNS防护方法原理图;
[0032]图2是本发明第一实施例的基于防火墙的DNS防护方法流程示意图;
[0033]图3是本发明第四实施例的基于防火墙的DNS防护方法流程示意图;
[0034]图4是本发明第五实施例的基于防火墙的DNS防护方法流程示意图;
[0035]图5是本发明第六实施例的基于防火墙的DNS防护系统结构示意图;
[0036]图6是本发明第七实施例的基于防火墙的DNS防护系统结构示意图;
[0037]图7是本发明第八实施例的基于防火墙的DNS防护系统结构示意图。
【具体实施方式】
[0038]为使本发明的目的、技术方案和优点更加清楚明了,下面结合【具体实施方式】并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
[0039]本发明首先通过多方确认的方式,自动添加域名到安全缓存列表中,其次通过添加到安全缓存列表中的域名的表项,与该表项下的域名所对应的应答报文与该表项进行对比,过滤掉对DNS存在安全隐患的报文。
[0040]图1是本发明优选实施例的基于防火墙的DNS防护方法组网原理图。
[0041]如图1所示,防火墙05为被攻击的DNS服务器03的正常状态下的防火墙,也就是说,DNS服务器03的域名为防火墙05需要进行安全防护的域名。为了拦截攻击主机01对DNS服务器03以应答报文的方式发出的攻击报文,防火墙05中预先配置了两个可信域名服务器02和04的地址,防火墙05通过所配置的所述地址向两个可信域名服务器02和04发出请求解析DNS服务器03的域名的请求。两个可信域名服务器02和04分别根据所接收到的解析请求对DNS服务器03的域名进行解析,并返回解析结果。防火墙收到解析结果后,对两个解析结果进行比较,当两个解析结果相同时,将所述DNS服务器03的域名自动添加到自身的安全缓存列表中。
[0042]当主机01向DNS服务器发出应答报文时,防火墙05通过自动添加到自身的安全缓存列表中的相应表项进行应答报文的检查,当所述检查结果与相应表项一致时,则报文为正常用报文,当所述检查结果与相应表项不一致时,则应答报文存在安全隐患从而被过滤掉。这里,防火墙所配置的可信域名服务器的地址可以是两个,也可以是两个以上。当可信域名服务器配置为两个时,则向两个可信域名服务器发出解析请求,并对两个解析结果进行对比,当两个解析结果一致时,则将所述解析结果加入安全缓存列表中;当可信域名服务器配置为两个以上时,向所配置的域名服务器发送解析请求并接收域名服务器各自的解析结果,并对所接收的解析结果进行对比,判断所接收的解析结果是否一致及解析结果达到一致的个数,当解析结果一致的解析结果个数达到预定值时,则将一致的所述解析结果加入安全缓存列表中。下面结合具体的实施例对本发明作进一步详细的说明。
[0043]图2是本发明第一实施例的基于防火墙的DNS防护方法流程示意图。
[0044]如图2所示,本实施例的基于防火墙