随着互联网业务的发展,金融内网越来越多的应用系统存在访问互联网应用服务的需求。但在内外网隔离的网络架构下,如何在保证安全的同时,还能满足业务部门的需求,成为网络部门一个待解决的问题,特别是访问互联网应用的需求越来越多时,这个问题的解决变得更加迫切。
手动配置的方式并不可取
通常情况下,网络部门会要求业务部门自己提供互联网应用服务的IP地址,然后在防火墙为此IP手动配置白名单策略,这种方式在业务需求量较少时是可行的,但随着开通数量越来越多时,逐个手动开通策略以及维护会大幅增加运维人员的投入。
利用DNS服务解析互联网应用服务地址是通用方式。可以在防火墙与应用系统上配置相同的DNS服务器地址,通过DNS对相同域名解析同一个地址,结合防火墙自动生成白名单机制,实现内网应用访问互联网应用的自动开通流程。
但在实际使用过程中,由于DNS的一些解析机制问题,DNS防火墙开通策略的IP地址与内网应用访问的目的地址不尽相同,导致业务访问无法自动开通。
实现自动化开通的关键流程
对于上述问题,可以通过ZDNS Safeguard安全DNS服务器与防火墙配合,实现一种自动化开通流程。以内外网分离的网络架构举例如下:
部署示意图
关键流程说明:
1、内网应用系统向代理服务器发起互联网应用访问;
2、代理服务器和防火墙完成域名请求并实现业务访问开通;
3、DMZ区应用系统如访问内网应用,也可通过Safeguard完成。
上述方案实现了内网应用系统访问互联网应用流程的自动开通,可以满足内网应用外访持续增长的业务需求,减少运维的投入。不仅如此,DNS作为贯穿整个业务请求的关键环节,打通了内网和外网通信通道,攻击者可能利用DNS作为隧道进行数据窃密或者远控通信。Safeguard通过数据包、行为、内容3重防护体系,十多种检测指标,覆盖整个请求和应答数据流,保障业务访问的安全性,实现了DNS安全加固。
关于ZDNS Safeguard
ZDNS研发的Safeguard安全威胁管控系统提供了一个系统解决DNS安全难题的方案,通过DNS协议深度防护和威胁情报检测技术,扼住网络通信的咽喉要道,保护合规业务正常通信,阻断网络攻击外联,成为保障网络应用安全访问的“门神”。
领取专属 10元无门槛券
私享最新 技术干货