技術領域

本發(fā)明屬于網絡安全技術領域，具體涉及一種基于防火墻的DNS防護方法和系統(tǒng)。

背景技術

域名系統(tǒng)(Domain?Name?System，DNS)作為因特網上域名和IP地址相互映射的一個分布式數據庫，具有數據龐大、資源開放、結構復雜的特性，因此，在設計之初，無法全面考慮DNS的安全性，再加上DNS進入運營后人為的惡意攻擊和破壞，導致DNS面臨非常嚴重的安全威脅。

目前大多數防火墻都設計有DNS防護模塊，來對DNS攻擊進行有效的攔截處理。其中一種攔截DNS攻擊的方法，就是在防火墻的DNS防護模塊中手動添加安全緩存，并對相應的DNS應答報文進行檢查，將應答報文的檢查結果與之前已經添加的安全緩存進行對比，如果應答報文的檢查結果與安全緩存不一致則丟掉該應答報文，從而達到過濾的效果。

但是，現有技術中的安全緩存，是通過手動的方式添加的，一方面需要用戶投入時間和精力，另外一個方面這種添加方式不靈活。

發(fā)明內容

本發(fā)明的目的是提供一種DNS防護方法和系統(tǒng)，通過確認的方式添加安全緩存，靈活、有效的攔截DNS攻擊。

根據本發(fā)明的一個方面，提供了一種基于防火墻的DNS防護方法，所述方法包括：

在防火墻中配置兩個或兩個以上可信域名服務器的地址；

通過所述地址向與所述地址相對應的可信域名服務器發(fā)送對需要進行安全防護的域名進行解析的解析請求并分別接收對應的域名服務器的解析結果；

將所接收的所有所述解析結果進行對比，當所述解析結果一致的解析結果個數達到預定值時，則將一致的所述解析結果加入安全緩存列表中；

將經過防火墻的關于所述域名的應答報文與加入安全緩存列表中所述解析結果進行對比并過濾。

上述方案中，所述可信域名服務器為授權域名服務器或者符合預設要求可信度的DNS域名服務器。

上述方案中，通過所述地址向與所述地址相對應的可信域名服務器發(fā)送對需要進行安全防護的域名進行解析的解析請求，具體為：

通過所述地址定期向與所述地址相對應的可信域名服務器發(fā)送解析請求。

上述方案中，所述方法還包括：可信域名服務器接收到所述解析請求后，對所述域名分別進行解析得到解析結果，并分別發(fā)送所述解析結果。

上述方案中，所述方法還包括：在防火墻中配置需要進行安全防護的域名。

上述方案中，所述方法還包括：

累計經過防火墻的關于域名的DNS請求報文數；

當所述DNS請求報文數大于或等于預設閾值后，將所述域名加入域名緩存列表中作為需要進行安全防護的域名。

根據本發(fā)明的另一個方面，還提供了一種基于防火墻的DNS防護系統(tǒng)，所述系統(tǒng)包括:

可信域名服務器配置模塊，用于在防火墻中配置兩個或兩個以上可信域名服務器的地址；

請求模塊，所述請求模塊與所述可信域名服務器配置模塊相連，用于通過所述地址向與所述地址相對應的可信域名服務器發(fā)送對需要進行安全防護的域名進行解析的解析請求并分別接收對應的域名服務器的解析結果；

比較添加模塊，與請求模塊相連，用于將所接收的所有所述解析結果進行對比，當所述解析結果一致的解析結果個數達到預定值時，則將一致的所述解析結果加入安全緩存列表中；

對比過濾模塊，用于將經過防火墻的關于所述域名的應答報文與加入安全緩存列表中所述解析結果進行對比并過濾。

上述方案中，所述請求模塊具體用于通過所述地址定期向與所述地址相對應的可信域名服務器發(fā)送解析請求。

上述方案中，所述系統(tǒng)還包括：

域名配置模塊，用于在防火墻中配置的需要進行安全防護的域名。

上述方案中，所述系統(tǒng)還包括：

累計模塊，用于累計經過防火墻的關于域名的DNS請求報文數；

域名確定模塊，用于當所述DNS請求報文數大于或等于預設閾值后，將所述域名加入域名緩存列表中作為需要進行安全防護的域名。