利用AX产品启用DNS Cache和安全防护提高DNS系统的可用性和安全性.docx

配置介绍：利用AX产品启用DNS Cache和安全防护提高DNS系统的可用性和安全性 2011-10-12 10:37:44 标签： 服务器 应用层 产品 安全性 添加标签 本人在9月份写了一个Blog，介绍有关AX产品如何提升DNS系统整体的可用性和安全性的文章。大致介绍了一下方案的思路，这次结合具体的配置，来给大家分享一下。 配置的目的： 1、 利用AX产品基于DNS应用层的健康监测机制，对DNS服务器提供最准确的应用层可用性探测； 2、 利用AX产品对DNS服务器群提供高效的负载分担算法，保障每台服务器的访问压力比较均衡，任何一台服务器出现故障都不会影响整个DNS系统的可用性； 3、 利用AX产品提供的DNS Cache功能，通过在AX系统内存中缓存DNS服务器的应答数据，可以极大的降低DNS服务器的访问压力；同时，还可按照灵活的策略缓存或不缓存指定域名，提供不同的缓存策略； 4、 利用AX产品提供的DNS应用策略，实现非法DNS请求的过滤、速率限制、连接数限制等安全策略，例如可基于源IP地址、基于DNS域名等实现连接数和连接速率限制等； 部署拓扑结构： 结合以上这四点，分别介绍一下相关的AX配置（以命令行为例）： 1、DNS服务器应用层健康检查 health monitor DNS-CHECK method dns domain ；#检查某个域名，查看被检查的DNS服务器是否有应答 slb server DNS-1 xx.xx.xx.209 port 53 udp health-check DNS-CHECK ；#对递归DNS服务器启用此前创建的DNS健康检查方法 2、配置DNS服务器组的负载均衡算法（最少连接数算法） slb service-group DNS-ANYCAST udp method least-connection member DNS-1:53 member DNS-2:53 member DNS-3:53 member DNS-4:53 3、配置DNS Cache策略和速率限制策略 class-list DNS ；#按照不同的域名归类，以便按照这些类别配置不同的策略，如果策略域名比较多，这个Class-list也可以以文件的形式导入 dns ends-with .com lid 1 dns ends-with .cn lid 2 ! slb template dns CACHE ；#配置DNS缓存策略模板 class-list name dns ；#绑定此前创建的DNS类别表 class-list lid 1 ；#按照不同的类别ID配置不同的策略 dns cache-enable dns ttl 500 conn-rate-limit 100 per 1 ；#配置该类别域名查询速率的限制（每100毫秒接受100个该域名的DNS查询请求） over-limit-action lockout 60 log 1 class-list lid 2 dns cache-disable ；#缺省对该域名类别不缓存 dns ttl 300 conn-rate-limit 200 per 1 over-limit-action lockout 60 log 1 4、配置对外提供DNS服务的VIP slb template udp UDP ；#由于DNS应用基本都是UDP的短连接，建议配置较短的空闲超时时间，并减小会话生命期 idle-timeout 60 aging short re-select-if-server-down ! slb virtual-server VIP-173 xx.xx.xx.173 ；#配置VIP名和IP地址 disable when-all-ports-down ；#当所有递归DNS服务器端口down时，关闭此VIP port 53 dns-udp source-nat pool SNAT service-group DNS-ANYCAST template udp UDP template dns CACHE ；#启用相关的模板 5、启用OSPF路由，配置IP Anycast router ospf 100ospf router-id xx.xx.xx.193redistribute vip ；#将VIP地址的主机路由广播出去network xx.xx.xx.192 5 area 60 大概的配置就是这样的一个过程，可以按照这个思路将来有机会尝试一些其它的配置和策略。 S.G