CN114553828B - 一种dns运维管理方法、装置、设备及介质 - Google Patents
一种dns运维管理方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114553828B CN114553828B CN202210176771.0A CN202210176771A CN114553828B CN 114553828 B CN114553828 B CN 114553828B CN 202210176771 A CN202210176771 A CN 202210176771A CN 114553828 B CN114553828 B CN 114553828B
- Authority
- CN
- China
- Prior art keywords
- domain name
- nodes
- zero
- request
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络通信技术领域,公开了一种DNS运维管理方法、装置、设备及介质,本发明通过在预设区域部署两个主节点和二级子节点,将所有二级子节点与所述两个主节点进行连接;在所述两个主节点上部署零信任管理系统,在所述零信任管理系统中包括域名解析服务子系统、域名审批管理子系统以及安全运维服务子系统,在二级子节点上部署零信任安全客户端,通过DNS域名解析流程确保了内网用户在使用过程中的安全性。
Description
技术领域
本申请涉及网络通信技术领域,特别是涉及一种DNS运维管理方法、装置、设备及介质。
背景技术
因受云计算、BYOD(移动办公)等新的IT技术影响,使得企业的网络边界随之变化。紧随而来的是因新技术导致的各类安全问题,传统网络架构是通过安全设备(如防火墙)设置好规则墙,通过之后才能访问内部应用。但是,防火墙规则局限性大,灵活性不足,无法满足随时随地异地办公的动态需求。而且传统VPN技术的应用中,只要被授权允许进内网的用户,VPN用户便对企业网络上的资源拥有过于宽泛的访问权限,令敏感资源及信息可能暴露在VPN用户和攻击者面前,因此,如何增强在内网中用户的安全性成为了一个亟待解决的问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供了一种DNS运维管理方法、装置、设备及介质,旨在提升在现有技术下内网用户使用安全性的技术效果。
为实现上述目的,本发明提供了一种DNS运维管理方法,在预设区域部署两个主节点和二级子节点,将所有二级子节点与所述两个主节点进行连接;
在所述两个主节点上部署零信任管理系统,在所述零信任管理系统中包括域名解析服务子系统、域名审批管理子系统以及安全运维服务子系统,在二级子节点上部署零信任安全客户端;
所述方法包括:
基于所述零信任管理系统分析接收到的指令信息是否为用户发起的域名解析请求;
若是,则判断所述请求是否为授权域名,在所述请求是授权域名时再检查所述域名是否受安全限制,若是,则先匹配安全规则并按照所述安全规则限制执行,再查询授权记录并反馈结果;
在所述请求不是授权域名时,检查所述请求是否受安全限制,若所述请求不受安全限制时,判断在缓存中是否存在此域名记录,若存在则基于所述缓存结果进行结果反馈;
在所述请求不属于授权域名,不受安全限制且不存在于所述缓存中时,查询所述请求是否存在智能调度,若是,则匹配调度策略,在匹配调度策略之后进行调度查询,根据调度查询执行结果反馈。
可选地,所述在预设区域部署两个主节点和二级子节点,将所有二级子节点与所述两个主节点进行连接的步骤,包括:
在两个预设区域分别部署两个主节点,并将域的总数据在所述两个主节点进行数据同步;
在预设区域部署二级子节点并将所述二级子节点进行链接并部署Anycasting策略。
可选地,所述分析接收到的指令信息是否为用户发起的域名解析请求的步骤之后,还包括:
若接收到的指令信息为智能调度指令时,获取IP地址信息,根据所述IP地址信息将来源不同区域的源IP地址,分配不同的域名解析结果,从而将解析结果引导到不同的服务器。
可选地,所述分析接收到的指令信息是否为用户发起的域名解析请求的步骤之后,还包括:
若接收到的指令信息为角色划分指令时,在系统上建立注册申请员、注册审核员、系统维护人员、系统管理员四个角色:
其中所述注册申请员只能进行注册申请工作;
所述注册审核员负责完成审核工作;
所述系统维护人员负责系统的日常维护工作,可以对域名的解析结果、域名记录添加删除进行手动维护;
所述系统管理员可以创建注册申请员、注册审核员,系统维护人员,可以对各个角色的操作记录进行审计。
可选地,所述分析接收到的指令信息是否为用户发起的域名解析请求的步骤之后,还包括:
若接收到的指令信息为申请流程时,获取所述零信任客户端登录信息;
在判断所述零信任客户端由院校管理员登录之后,收集所述零信任客户端提交的注册信息;
将所述注册信息发送至主节点审批管理员处进行审批;
在检测到所述注册信息经过审批之后自动配置下发流程。
可选地,所述在所述请求不属于授权域名,不受安全限制且不存在于所述缓存中时,查询所述请求是否存在智能调度,若是,则匹配调度策略,在匹配调度策略之后进行调度查询,根据调度查询执行结果反馈的步骤之后,还包括:
建立零信任安全网关,所述零信任安全网关用于实现人员访问安全、入侵防范、数据安全和安全审计。
可选地,所述零信任安全网关用于实现人员访问安全、入侵防范、数据安全和安全审计的步骤,包括:
建立零信任安全网关,通过设置IP白名单方式可以控制准入用户,针对系统登录策略进行管控,针对用户账户密码复杂度的限制,针对不同用户账户,划分不同系统权限;
对系统应用程序文件采用加密封装的方式,以使所述程序文件不被逆向解封;
根据预设规则关闭预设数量的系统端口,并建立系统防火墙策略;
实时对前台登录日志和操作日志进行安全审计。
此外,为实现上述目的,本发明还提出一种DNS运维管理装置,所述装置包括:
节点部署模块,用于在预设区域部署两个主节点和二级子节点,将所有二级子节点与所述两个主节点进行连接;
系统部署模块,用于在所述两个主节点上部署零信任管理系统,在所述零信任管理系统中包括域名解析服务子系统、域名审批管理子系统以及安全运维服务子系统,在二级子节点上部署零信任安全客户端;
指令接收模块,用于基于所述零信任管理系统分析接收到的指令信息是否为用户发起的域名解析请求;
授权判断模块,用于若是,则判断所述请求是否为授权域名,在所述请求是授权域名时再检查所述域名是否受安全限制,若是,则先匹配安全规则并按照所述安全规则限制执行,再查询授权记录并反馈结果;
缓存判断模块,用于在所述请求不是授权域名时,检查所述请求是否受安全限制,若所述请求不受安全限制时,判断在缓存中是否存在此域名记录,若存在则基于所述缓存结果进行结果反馈;
策略匹配模块,用于在所述请求不属于授权域名,不受安全限制且不存在于所述缓存中时,查询所述请求是否存在智能调度,若是,则匹配调度策略,在匹配调度策略之后进行调度查询,根据调度查询执行结果反馈。
此外,为实现上述目的,本发明还提出一种计算机设备,所述计算机设备包括:存储器,处理器以及存储在所述存储器上并可在所述处理器上运行的DNS运维管理程序,所述DNS运维管理程序配置为实现如上文所述的DNS运维管理方法。
此外,为实现上述目的,本发明还提出一种介质,所述介质上存储有DNS运维管理程序,所述DNS运维管理程序被处理器执行时实现如上文所述的DNS运维管理方法的步骤。
本发明在预设区域部署两个主节点和二级子节点,将所有二级子节点与所述两个主节点进行连接;在所述两个主节点上部署零信任管理系统,在所述零信任管理系统中包括域名解析服务子系统、域名审批管理子系统以及安全运维服务子系统,在二级子节点上部署零信任安全客户端;基于所述零信任管理系统分析接收到的指令信息是否为用户发起的域名解析请求;若是,则判断所述请求是否为授权域名,在所述请求是授权域名时再检查所述域名是否受安全限制,若是,则先匹配安全规则并按照所述安全规则限制执行,再查询授权记录并反馈结果;在所述请求不是授权域名时,检查所述请求是否受安全限制,若所述请求不受安全限制时,判断在缓存中是否存在此域名记录,若存在则基于所述缓存结果进行结果反馈;在所述请求不属于授权域名,不受安全限制且不存在于所述缓存中时,查询所述请求是否存在智能调度,若是,则匹配调度策略,在匹配调度策略之后进行调度查询,根据调度查询执行结果反馈,提升了用户在内网使用过程中的安全性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的持续运维流水线效能评估设备的结构示意图;
图2为本发明持续运维流水线效能评估方法第一实施例的流程示意图。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的DNS运维管理设备结构示意图。
如图1所示,该DNS运维管理设备可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对DNS运维管理设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及DNS运维管理程序。
在图1所示的DNS运维管理设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明DNS运维管理设备中的处理器1001、存储器1005可以设置在DNS运维管理设备中,所述DNS运维管理设备通过处理器1001调用存储器1005中存储的DNS运维管理程序,并执行本发明实施例提供的DNS运维管理方法。
本发明实施例提供了一种DNS运维管理方法,参照图2,图2为本发明DNS运维管理方法第一实施例的流程示意图。
本实施例中,所述DNS运维管理方法包括以下步骤:
在预设区域部署两个主节点和二级子节点,将所有二级子节点与所述两个主节点进行连接。
需要说明的是,域名管理平台包括主节点和二级子节点,每个节点的节点设备均部署业务域名解析系统,可以独立承担域的解析工作。二级子节点数量为多个,分别与主节点连接。还可以包括多级子节点,即每个二级子节点可以连接多个三级子节点,每个三级子节点可以连接多个四级子节点;主节点为两个,分布部署在两个地理位置,例如在北京、长沙各准备一台主节点设备。域的总数据在两个主节点设备进行数据同步,当任意一个节点出现故障时,不会影响另外一个节点。多个二级子节点分别与其中一个主节点连接,若是该主节点设备出现故障,保证多个二级子节点的正常工作。
在具体实施中,系统为保障高可用性和高稳定性,建议对主节点主备系统设计设计双活运行机制,双活运行主要采用Anycast方案进行使主备节点共用一个IP或者多个地址,对外提供统一服务。
可以理解的是,主备节点双活部署Anycasting最初是在RFC1546中提出并定义的,在实际应用中,Anycast采用将一个单播地址分配到处于Internet中多个不同物理位置的主机上,发送到这个主机的报文被网络路由到路由协议度量的“最近”的目标主机上;可以分为subnet Anycast和Global Anycas:Subnet Anycast是指所有目的主机都位于同一网段,此方式仅提供负载均衡和冗余,对安全度提升没有实质效果;Global Anycast是指目的主机处于不同网段,可能处于不同城市,甚至分布在全球各地,在实际应用中GlobalAnycast中目标主机的部署除地理位置的考虑外,多接入不同自治域的网络中。
进一步的,所述在预设区域部署两个主节点和二级子节点,将所有二级子节点与所述两个主节点进行连接的步骤,包括:在两个预设区域分别部署两个主节点,并将域的总数据在所述两个主节点进行数据同步;在预设区域部署二级子节点并将所述二级子节点进行链接并部署Anycasting策略。
需要说明的是,主节点设备中装载有训管网域名管理系统,训管网域名管理系统包括基础环境层、数据层、平台层、应用层四个层次;基础环境层:提供域名综合管理平台的物理运行环境。由一级域名服务和管理节点(主节点)、二级域名服务和监测节点(子节点)的服务器等基础设施提供支撑;数据层:将域名数据、服务配置数据和管理数据集中管理,分布式下发。采集服务器状态和服务响应情况等监控数据,实现统计分析和数据展示。由主节点、子节点上的域名服务系统提供支撑,由安全运维服务子系统提供面向应用层的安全防护;平台层:域名综合管理平台实现域名服务配置、管理、监控等全部功能;应用层:域名系统管理门户提供WEB管理界面,系统管理员通过该门户实现域名服务管理、监控和统计功能。由域名审批管理子系统提供支撑。
在所述两个主节点上部署零信任管理系统,在所述零信任管理系统中包括域名解析服务子系统、域名审批管理子系统以及安全运维服务子系统,在二级子节点上部署零信任安全客户端。
步骤S10:基于所述零信任管理系统分析接收到的指令信息是否为用户发起的域名解析请求。
需要说明的是,审批运维管理由北京节点负责所有域名的申请审批工作,对技术运维管理操作日志进行检查和稽核;技术运维管理:主要对日常设备的运行情况进行检查,包括从后台对业务进行相关的检查;二级子节点为多个,分布在不同的地理位置,例如部署在各院校首长机关所在的主校区。多个二级子节点分别通过零信任安全通道与所述主节点连接。在二级子节点设备中部署零信任安全客户端,二级子节点设备通过零信任安全客户端与主节点的零信任安全网关通过零信任安全通道进行数据交互。
可以理解的是,二级子节点设备负责以下工作:承担院校本部的域名解析工作和域管理服务工作,以及向根域转发院校访问其他域的递归请求。下发给终端的DNS服务器地址除本二级节点地址外,还可以下发一个主/备节点DNS地址作为备份地址下发,保障系统的冗余性和安全性。
需要说明的是,院校通过将终端DNS设置为本院校的域名服务器IP。本域的域名通过本院校DNS进行直接解析;非本域的域名,通过转发到中心节点,由中心节点转发到根域后到相关授权服务器获取解析结果。节点设备的系统性能指标为系统客户端用户大于30000个,并发用户大于3000个;单节点每秒处理请求数不少于40000QPS。
进一步地,所述分析接收到的指令信息是否为用户发起的域名解析请求的步骤之后,还包括:若接收到的指令信息为智能调度指令时,获取IP地址信息,根据所述IP地址信息将来源不同区域的源IP地址,分配不同的域名解析结果,从而将解析结果引导到不同的服务器。
进一步地,所述分析接收到的指令信息是否为用户发起的域名解析请求的步骤之后,还包括:若接收到的指令信息为角色划分指令时,在系统上建立注册申请员、注册审核员、系统维护人员、系统管理员四个角色:其中所述注册申请员只能进行注册申请工作;所述注册审核员负责完成审核工作;所述系统维护人员负责系统的日常维护工作,可以对域名的解析结果、域名记录添加删除进行手动维护;所述系统管理员可以创建注册申请员、注册审核员,系统维护人员,可以对各个角色的操作记录进行审计。
进一步地,所述分析接收到的指令信息是否为用户发起的域名解析请求的步骤之后,还包括:若接收到的指令信息为申请流程时,获取所述零信任客户端登录信息;在判断所述零信任客户端由院校管理员登录之后,收集所述零信任客户端提交的注册信息;将所述注册信息发送至主节点审批管理员处进行审批;在检测到所述注册信息经过审批之后自动配置下发流程。
步骤S20:若是,则判断所述请求是否为授权域名,在所述请求是授权域名时再检查所述域名是否受安全限制,若是,则先匹配安全规则并按照所述安全规则限制执行,再查询授权记录并反馈结果;
步骤S30:在所述请求不是授权域名时,检查所述请求是否受安全限制,若所述请求不受安全限制时,判断在缓存中是否存在此域名记录,若存在则基于所述缓存结果进行结果反馈;
在具体实施中,步骤1、DNS系统收到用户发起的域名解析请求;
步骤2、判断是否是授权域名,如果是,则执行步骤3,不是则跳到步骤4;
步骤3、是授权域名:检查是否受安全限制,若是则先匹配安全限制规则,按照安全限制规则执行后,再查询授权记录;若否则直接查询授权记录。根据授权记录执行步骤8;
步骤4、不是授权域名:检查是否受安全限制,若是则先匹配安全限制规则,按照安全限制执行后,再执行步骤5;否则直接执行步骤5;
步骤5、判断是否缓存存在此域名记录,若是,则查询得到缓存结果,基于所述缓存结果执行步骤8;若否,则执行步骤6;
步骤6、查询是否存在智能调度,若是,则匹配调度策略,在此基础上进行调度查询,基于查询结果执行步骤8;若否,则执行步骤7;
步骤7、查询是否存在递归转发策略。若是,则匹配递归策略后,再进行递归查询,基于查询结果执行步骤8;若否,则直接递归转发到默认上层DNS进行递归查询,基于查询结果执行步骤8;
步骤8、反馈结果,结束查询流程。
步骤S40:在所述请求不属于授权域名,不受安全限制且不存在于所述缓存中时,查询所述请求是否存在智能调度,若是,则匹配调度策略,在匹配调度策略之后进行调度查询,根据调度查询执行结果反馈。
进一步地,所述在所述请求不属于授权域名,不受安全限制且不存在于所述缓存中时,查询所述请求是否存在智能调度,若是,则匹配调度策略,在匹配调度策略之后进行调度查询,根据调度查询执行结果反馈的步骤之后,还包括:建立零信任安全网关,所述零信任安全网关用于实现人员访问安全、入侵防范、数据安全和安全审计。
进一步地,所述零信任安全网关用于实现人员访问安全、入侵防范、数据安全和安全审计的步骤,包括:建立零信任安全网关,通过设置IP白名单方式可以控制准入用户,针对系统登录策略进行管控,针对用户账户密码复杂度的限制,针对不同用户账户,划分不同系统权限;对系统应用程序文件采用加密封装的方式,以使所述程序文件不被逆向解封;根据预设规则关闭预设数量的系统端口,并建立系统防火墙策略;实时对前台登录日志和操作日志进行安全审计。
本实施例在预设区域部署两个主节点和二级子节点,将所有二级子节点与所述两个主节点进行连接;在所述两个主节点上部署零信任管理系统,在所述零信任管理系统中包括域名解析服务子系统、域名审批管理子系统以及安全运维服务子系统,在二级子节点上部署零信任安全客户端基于所述零信任管理系统分析接收到的指令信息是否为用户发起的域名解析请求;若是,则判断所述请求是否为授权域名,在所述请求是授权域名时再检查所述域名是否受安全限制,若是,则先匹配安全规则并按照所述安全规则限制执行,再查询授权记录并反馈结果;在所述请求不是授权域名时,检查所述请求是否受安全限制,若所述请求不受安全限制时,判断在缓存中是否存在此域名记录,若存在则基于所述缓存结果进行结果反馈;在所述请求不属于授权域名,不受安全限制且不存在于所述缓存中时,查询所述请求是否存在智能调度,若是,则匹配调度策略,在匹配调度策略之后进行调度查询,根据调度查询执行结果反馈,提升了用户在内网使用过程中的安全性。
此外,本发明实施例还提出一种介质,所述介质上存储有DNS运维管理程序,所述DNS运维管理程序被处理器执行时实现如上文所述的DNS运维管理方法的步骤。
本发明DNS运维管理装置的实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种DNS运维管理方法,其特征在于,在预设区域部署两个主节点和二级子节点,将所有二级子节点与所述两个主节点进行连接;在所述两个主节点上部署零信任管理系统,在所述零信任管理系统中包括域名解析服务子系统、域名审批管理子系统以及安全运维服务子系统,在二级子节点上部署零信任安全客户端;所述主节点的主备系统采用Anycast使主备节点共用一个IP或者多个IP实现双活运行机制;在所述主节点上建立零信任安全网关;
所述主节点和所述二级子节点的节点设备均部署业务域名解析系统,独立承担域的解析工作,所述二级子节点负责本部的域名解析和域管理服务工作,以及向根域转发本部访问其他域的递归请求;
所述二级子节点的零信任安全客户端与主节点的零信任安全网关通过零信任安全通道进行数据交互;
所述方法包括:
基于所述零信任管理系统分析接收到的指令信息是否为用户发起的域名解析请求;
若是,则判断所述请求是否为授权域名,在所述请求是授权域名时再检查所述域名是否受安全限制,若是,则先匹配安全规则并按照所述安全规则限制执行,再查询授权记录并反馈结果;
在所述请求不是授权域名时,检查所述请求是否受安全限制,若所述请求不受安全限制时,判断在缓存中是否存在此域名记录,若存在则基于所述缓存结果进行结果反馈;
在所述请求不属于授权域名,不受安全限制且不存在于所述缓存中时,查询所述请求是否存在智能调度,若是,则匹配调度策略,在匹配调度策略之后进行调度查询,根据调度查询执行结果反馈。
2.如权利要求1所述的方法,其特征在于,所述在预设区域部署两个主节点和二级子节点,将所有二级子节点与所述两个主节点进行连接的步骤,包括:
在两个预设区域分别部署两个主节点,并将域的总数据在所述两个主节点进行数据同步;
在预设区域部署二级子节点并将所述二级子节点进行链接并部署Anycasting策略。
3.如权利要求1所述的方法,其特征在于,所述分析接收到的指令信息是否为用户发起的域名解析请求的步骤之后,还包括:
若接收到的指令信息为智能调度指令时,获取IP地址信息,根据所述IP地址信息将来源不同区域的源IP地址,分配不同的域名解析结果,从而将解析结果引导到不同的服务器。
4.如权利要求1所述的方法,其特征在于,所述分析接收到的指令信息是否为用户发起的域名解析请求的步骤之后,还包括:
若接收到的指令信息为角色划分指令时,在系统上建立注册申请员、注册审核员、系统维护人员、系统管理员四个角色:
其中所述注册申请员只能进行注册申请工作;
所述注册审核员负责完成审核工作;
所述系统维护人员负责系统的日常维护工作,可以对域名的解析结果、域名记录添加删除进行手动维护;
所述系统管理员可以创建注册申请员、注册审核员、系统维护人员,可以对各个角色的操作记录进行审计。
5.如权利要求1所述的方法,其特征在于,所述分析接收到的指令信息是否为用户发起的域名解析请求的步骤之后,还包括:
若接收到的指令信息为申请流程时,获取所述零信任安全 客户端登录信息;
在判断所述零信任安全 客户端由院校管理员登录之后,收集所述零信任安全 客户端提交的注册信息;
将所述注册信息发送至主节点审批管理员处进行审批;
在检测到所述注册信息经过审批之后自动配置下发流程。
6.如权利要求1所述的方法,其特征在于,所述在所述请求不属于授权域名,不受安全限制且不存在于所述缓存中时,查询所述请求是否存在智能调度,若是,则匹配调度策略,在匹配调度策略之后进行调度查询,根据调度查询执行结果反馈的步骤之后,还包括:
建立零信任安全网关,所述零信任安全网关用于实现人员访问安全、入侵防范、数据安全和安全审计。
7.如权利要求6所述的方法,其特征在于,所述零信任安全网关用于实现人员访问安全、入侵防范、数据安全和安全审计的步骤,包括:
建立零信任安全网关,通过设置IP白名单方式可以控制准入用户,针对系统登录策略进行管控,针对用户账户密码复杂度的限制,针对不同用户账户,划分不同系统权限;
对系统应用程序文件采用加密封装的方式,以使所述程序文件不被逆向解封;
根据预设规则关闭预设数量的系统端口,并建立系统防火墙策略;
实时对前台登录日志和操作日志进行安全审计。
8.一种DNS运维管理装置,其特征在于,所述装置包括:
节点部署模块,用于在预设区域部署两个主节点和二级子节点,将所有二级子节点与所述两个主节点进行连接;
系统部署模块,用于在所述两个主节点上部署零信任管理系统,在所述零信任管理系统中包括域名解析服务子系统、域名审批管理子系统以及安全运维服务子系统,在二级子节点上部署零信任安全客户端;所述主节点的主备系统采用Anycast使主备节点共用一个IP或者多个IP实现双活运行机制;在所述主节点上建立零信任安全网关;
所述主节点和所述二级子节点的节点设备均部署业务域名解析系统,独立承担域的解析工作,所述二级子节点负责本部的域名解析和域管理服务工作,以及向根域转发本部访问其他域的递归请求;
所述二级子节点的零信任安全客户端与主节点的零信任安全网关通过零信任安全通道进行数据交互;
指令接收模块,用于基于所述零信任管理系统分析接收到的指令信息是否为用户发起的域名解析请求;
授权判断模块,用于若是,则判断所述请求是否为授权域名,在所述请求是授权域名时再检查所述域名是否受安全限制,若是,则先匹配安全规则并按照所述安全规则限制执行,再查询授权记录并反馈结果;
缓存判断模块,用于在所述请求不是授权域名时,检查所述请求是否受安全限制,若所述请求不受安全限制时,判断在缓存中是否存在此域名记录,若存在则基于所述缓存结果进行结果反馈;
策略匹配模块,用于在所述请求不属于授权域名,不受安全限制且不存在于所述缓存中时,查询所述请求是否存在智能调度,若是,则匹配调度策略,在匹配调度策略之后进行调度查询,根据调度查询执行结果反馈。
9.一种DNS运维管理设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的DNS运维管理,所述DNS运维管理配置为实现如权利要求1至7中任一项所述的基于零信任安全的DNS运维管理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述介质上存储有DNS运维管理,所述DNS运维管理被处理器执行时实现如权利要求1至7任一项所述的基于零信任安全的DNS运维管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210176771.0A CN114553828B (zh) | 2022-02-24 | 2022-02-24 | 一种dns运维管理方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210176771.0A CN114553828B (zh) | 2022-02-24 | 2022-02-24 | 一种dns运维管理方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114553828A CN114553828A (zh) | 2022-05-27 |
| CN114553828B true CN114553828B (zh) | 2023-01-31 |
Family
ID=81679701
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210176771.0A Active CN114553828B (zh) | 2022-02-24 | 2022-02-24 | 一种dns运维管理方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553828B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105376342A (zh) * | 2015-10-12 | 2016-03-02 | 北京京东尚科信息技术有限公司 | 用于在互联网中确定用户分区的装置和方法以及采用所述装置的服务器 |
| CN107682273A (zh) * | 2017-10-20 | 2018-02-09 | 赛尔网络有限公司 | 支持Anycast的DNSSEC部署方法及系统 |
| US10033692B1 (en) * | 2017-10-05 | 2018-07-24 | Cloudflare, Inc. | Managing domain name system (DNS) queries using a proxy DNS server |
| CN112671779A (zh) * | 2020-12-25 | 2021-04-16 | 赛尔网络有限公司 | 基于DoH服务器的域名查询方法、装置、设备及介质 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020087722A1 (en) * | 2000-12-29 | 2002-07-04 | Ragula Systems D/B/A/ Fatpipe Networks | Domain name resolution making IP address selections in response to connection status when multiple connections are present |
| US7299491B2 (en) * | 2003-04-30 | 2007-11-20 | Microsoft Corporation | Authenticated domain name resolution |
| CN104144227B (zh) * | 2013-05-10 | 2017-11-21 | 中国电信股份有限公司 | Ip地址查询方法、系统与全网资源控制器 |
| FR3041493B1 (fr) * | 2015-09-22 | 2018-10-12 | Airbus Defence And Space Sas | Equipement pour offrir des services de resolution de noms de domaine |
| CN108886540B (zh) * | 2018-06-13 | 2021-07-23 | 达闼机器人有限公司 | 域名解析方法、装置及计算机可读存储介质 |
| CN109257209A (zh) * | 2018-09-04 | 2019-01-22 | 山东浪潮云投信息科技有限公司 | 一种数据中心服务器集中管理系统及方法 |
| US10771435B2 (en) * | 2018-11-20 | 2020-09-08 | Netskope, Inc. | Zero trust and zero knowledge application access system |
| US11799860B2 (en) * | 2020-04-27 | 2023-10-24 | Zscaler, Inc. | Client forwarding policies for zero trust access for applications |
| CN111447304B (zh) * | 2020-06-17 | 2020-09-11 | 中国人民解放军国防科技大学 | 一种任播递归域名系统任播节点ip地址枚举方法和系统 |
-
2022
- 2022-02-24 CN CN202210176771.0A patent/CN114553828B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105376342A (zh) * | 2015-10-12 | 2016-03-02 | 北京京东尚科信息技术有限公司 | 用于在互联网中确定用户分区的装置和方法以及采用所述装置的服务器 |
| US10033692B1 (en) * | 2017-10-05 | 2018-07-24 | Cloudflare, Inc. | Managing domain name system (DNS) queries using a proxy DNS server |
| CN107682273A (zh) * | 2017-10-20 | 2018-02-09 | 赛尔网络有限公司 | 支持Anycast的DNSSEC部署方法及系统 |
| CN112671779A (zh) * | 2020-12-25 | 2021-04-16 | 赛尔网络有限公司 | 基于DoH服务器的域名查询方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114553828A (zh) | 2022-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190347404A1 (en) | Multilayered approach to protecting cloud credentials | |
| CN111488595B (zh) | 用于实现权限控制的方法及相关设备 | |
| US11489879B2 (en) | Method and apparatus for centralized policy programming and distributive policy enforcement | |
| Liu et al. | Toward incentivizing anti-spoofing deployment | |
| US8146134B2 (en) | Scalable firewall policy management platform | |
| US7882229B2 (en) | Security checking program for communication between networks | |
| US20150121461A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
| US20020099823A1 (en) | System and method for implementing a bubble policy to achieve host and network security | |
| JP2010512585A (ja) | 資格取得によって引き起こされる脆弱性の調査及び緩和を行う方式 | |
| US9571352B2 (en) | Real-time automated virtual private network (VPN) access management | |
| US20230354039A1 (en) | Network cyber-security platform | |
| CN109150853A (zh) | 基于角色访问控制的入侵检测系统及方法 | |
| Liu et al. | DACAS: integration of attribute-based access control for northbound interface security in SDN | |
| CN205510108U (zh) | 用于局域网络的网络准入系统 | |
| CN114553828B (zh) | 一种dns运维管理方法、装置、设备及介质 | |
| US9888014B2 (en) | Enforcing security for sensitive data on database client hosts | |
| US20220255970A1 (en) | Deploying And Maintaining A Trust Store To Dynamically Manage Web Browser Extensions On End User Computing Devices | |
| Yuan et al. | Design and implementation of enterprise network security system based on firewall | |
| Dudar et al. | Research of Ways to Increase the Efficiency of Functioning Between Firewalls in the Protection of Information Web-Portals in Telecommunications Networks | |
| US20230300141A1 (en) | Network security management method and computer device | |
| Bera et al. | A WLAN security management framework based on formal spatio‐temporal RBAC model | |
| CN105657033B (zh) | 一种隔离用户的资源访问方法和系统 | |
| KR20220060762A (ko) | 클라우드 환경에서의 네트워크 분석 장치 및 방법 | |
| Zhao et al. | The Model of Cross-Tenant Information Access Control in SAAS Cloud | |
| Selvakanmani | A Novel Management Framework for Policy Anomaly in Firewall |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |