DNS云学堂｜一键get，通过DNS实现内网应用外访的自动化开通

随着互联网业务的发展，金融内网越来越多的应用系统存在访问互联网应用服务的需求。但在内外网隔离的网络架构下，如何在保证安全的同时，还能满足业务部门的需求，成为网络部门一个待解决的问题，特别是访问互联网应用的需求越来越多时，这个问题的解决变得更加迫切。

手动配置的方式并不可取

通常情况下，网络部门会要求业务部门自己提供互联网应用服务的IP地址，然后在防火墙为此IP手动配置白名单策略，这种方式在业务需求量较少时是可行的，但随着开通数量越来越多时，逐个手动开通策略以及维护会大幅增加运维人员的投入。

利用DNS服务解析互联网应用服务地址是通用方式。可以在防火墙与应用系统上配置相同的DNS服务器地址，通过DNS对相同域名解析同一个地址，结合防火墙自动生成白名单机制，实现内网应用访问互联网应用的自动开通流程。

但在实际使用过程中，由于DNS的一些解析机制问题，DNS防火墙开通策略的IP地址与内网应用访问的目的地址不尽相同，导致业务访问无法自动开通。

实现自动化开通的关键流程

对于上述问题，可以通过ZDNS Safeguard安全DNS服务器与防火墙配合，实现一种自动化开通流程。以内外网分离的网络架构举例如下：

部署示意图

关键流程说明：

1、内网应用系统向代理服务器发起互联网应用访问；

2、代理服务器和防火墙完成域名请求并实现业务访问开通；

3、DMZ区应用系统如访问内网应用，也可通过Safeguard完成。

上述方案实现了内网应用系统访问互联网应用流程的自动开通，可以满足内网应用外访持续增长的业务需求，减少运维的投入。不仅如此，DNS作为贯穿整个业务请求的关键环节，打通了内网和外网通信通道，攻击者可能利用DNS作为隧道进行数据窃密或者远控通信。Safeguard通过数据包、行为、内容3重防护体系，十多种检测指标，覆盖整个请求和应答数据流，保障业务访问的安全性，实现了DNS安全加固。

关于ZDNS Safeguard

ZDNS研发的Safeguard安全威胁管控系统提供了一个系统解决DNS安全难题的方案，通过DNS协议深度防护和威胁情报检测技术，扼住网络通信的咽喉要道，保护合规业务正常通信，阻断网络攻击外联，成为保障网络应用安全访问的“门神”。