安全稳定
最近几年,DNS系统暴露出的安全问题越来越严重。尤其是针对开放DNS服务器的递归攻击、缓存投毒及利用DNS服务器的反射杠杆攻击等安全事情层出不穷。
缓存投毒、拒绝服务、域名劫持、递归攻击、反射攻击等是长期困扰DNS的安全隐患。UniteDNS为我司独立开发,并通过自身独有的策略对DNS可用性进行全方位的保护,比如报文检测限速、递归超时拆解、特定内容请求限制、缓存投毒增强防护、Negative Cache扩展、告警保护等等。同时底层硬件为我司专用DNS设备,所有硬件均通过专业机构检验,稳定可靠电信级设备,已在运营商运行多年。
管理便捷
DNS的管理运维主要体现在两个方面:配置管理及性能监测。
由于DNS协议复杂、DNS配置严谨等,因此对于一般用户来说安装配置较为困难,经常由于人为错误造成DNS服务异常或中断。同时由于DNS服务的重要性,全面实时的监控多种DNS业务指标、性能指标、设备指标对系统的稳定运行非常关键。
UniteDNS提供全面的图形化标准配置模版,涵盖了行业DNS所需要的各种递归、授权功能。同时在数据配置、策略启用等方面可避免人为失误。全面的设备性能监测、DNS报文统计、请求延迟、应答成功率等多种系统健康性指标图形化显示,并能在相关指标超出预设阀值时,产生各种形式的告警,最大程度保证DNS服务可用。
性能优异
DNS的服务性能主要通过每秒请求数(即QPS)和并发递归能力来衡量。
由于网络规模的愈演愈烈、终端数量的飞速递增,DNS的工作压力也越来越高。此外,随着IPv6的演进和未来DNSSEC的引入,还将导致对DNS系统的性能压力进一步提高。
在10年的运营商DNS服务过程中,DNS处理性能一直都是我司非常关注的问题。UniteDNS软件系统对DNS数据存储和应答算法进行了梳理和优化。并采用零拷贝技术,极大地提高了数据包的处理效率。同时配合硬件设备的多CPU超线程优化技术,可以更好地利用基础硬件的升级给DNS带来的性能提升。
感知提升
行业用户的DNS系统既对内提供解析服务又对外提供授权服务。因此,智能DNS功能也要兼顾这两个方面。
为了更好地提高用户体验,我们提供完整的智能DNS功能:授权智能DNS和递归智能DNS。针对外网对企业自有域名的解析请求,启用授权智能DNS区分来源IP地址,返回该外网区域内的企业自有业务服务器群的IP地址,加速外网访问企业资源。针对内网对互联网域名的解析请求,启用递归智能DNS区分目的IP地址,返回与内网最近区域内的互联网业务服务器群的IP地址,加速内网访问互联网资源。
为了使客户方便、直观的观察并操作我司产品,泰策研发了一套完整的图形化系统,配合多种可选模块,全面支持行业DNS所需的各种功能及性能要求。UniteDNS软件系统主要由数据配置、域名管理、解析管理、权限管理、指标监控、守护告警等部分组成。
数据配置
通过设备配置来实现设备本身的名称配置、网络配置、登录配置、链路配置、负载配置和灾备配置等。通过应用配置来实现系统本身的访问配置、功能配置、服务配置、策略配置、监控配置和恢复配置等。
系统管理
通过标准的域名数据配置模版,方便快速的导入导出、备份恢复、手动编辑等,可提升域名管理效率,同时避免人为错误。配合权限管理、解析管理实现多用户的操作权限分级、内外网的解析请求访问控制、及智能DNS功能等。
超过10年运营商服务经验,泰策积累了实用可靠的DNS系统数据监控及安全防护手段。同时由于DNS服务的重要性,对于合理的负载均衡、容灾恢复等功能,UniteDNS通过IP Anycast、链路权重、流量清洗、守护自检等技术的使用,保障DNS服务的稳定、安全、高效、可靠,深得运营商及政府客户的认可和赞誉。
UniteDNS硬件一体设备,是一套面向企业客户、政府高校的智能DNS、域名管理及广域负载均衡解决方案。具有高安全、开放性、模块化、可扩展、可移植等特征。提供线路管理、域名管理、地址池管理、域名查询统计、监控及报警、用户管理、日志查询、数据分析等功能。全部通过中文WEB管理界面操作,简单易用,是为互联网企业、高校量身定做的智能DNS管理产品。
产品规格及参数
产品型号 |
1600 |
2600 |
3600 |
设备类型 |
2U标准机架式 |
操作系统 |
自开发嵌入式系统 |
解析性能 注 |
10万QPS |
18万QPS |
36万QPS |
电源配置 |
冗余电源 |
网络接口 |
标配
6千兆电口
选配(一个扩展卡位)
4千兆电口/4千兆光口/2千兆光口 |
标配
6千兆电口、2万兆光口
选配(一个扩展卡位)
4千兆电口/4千兆光口 |
标配
2千兆电口或1百兆电口
选配(三个扩展卡位)
4千兆电口、8千兆电口、4千兆光口、8千兆光口、2万兆光口 |
工作温度 |
5~40摄氏度 |
工作湿度 |
20%~90% |
容灾恢复 |
支持站点快速重建,支持多机热备/自检重启 |
基本解析 |
缓存应答、递归查询、授权解析 |
缓存条目 |
1000万以上 |
域管理 |
30万以上区文件 |
记录管理 |
100万以上资源记录 |
通信协议 |
SNMP、FTP、SSH等 |
访问控制 |
支持防火墙、支持流量限制 |
日志统计 |
登录日志、操作日志、解析日志、状态日志 |
运营商网段 |
自动更新 |
智能DNS |
递归智能DNS:支持排序和筛选(独有),支持与第三方用户感知平台对接
授权智能DNS:支持轮询、排序、筛选 |
多线路解析 |
支持4条以上链路 |
策略路由 |
支持策略路由、支持动态路由 |
协议支持 |
IPv4、IPv6及IPv4/IPv6双栈、UDP/TCP、EDNS0、0x20+、DNSSEC |
报文监控 |
异常请求回复报文丢弃、源IP/IP段/域名/域报文限速、递归并发请求数限制 |
域名转发 |
支持错误域名转发、恶意域名转发、递归超时转发、服务失败转发 |
解析优化 |
默认TTL修改及固化、域名预缓存(独有)、目的IP可用性检查、泛域名解析 |
安全防护 |
随机域名递归攻击、缓存投毒增强防护、反射杠杆攻击、重点域名保护、拒绝服务攻击、特定缓存条目清空、服务自检守护等 |
权限管理 |
登录权限、访问权限、域名编辑权限 |
虚拟化 |
支持多IP多服务对象控制 |
负载均衡 |
业务负载均衡、链路负载均衡(根据出口链路的流量占用情况,调整DNS解析结果,优化出口链路的流量使用) |
管理分析 |
支持集中统一网管管理、支持DNS数据分析 |
注:为该型号最大缓存处理性能,具体以最终的软硬件配置结果为准。
为了更好地服务用户,结合DNS的功能特点和用户的业务需求,我们推出了多个基于DNS的增强功能。
用户保护
近年来,网络病毒泛滥,网络诈骗也层出不穷,对互联网用户造成了极大的威胁,比如垃圾邮件、挂马网站、僵尸网络、钓鱼网站等。通过与业界领先厂商的合作,泰策DNS系统可及时地更新最新发现的有威胁的或者是与威胁相关的域名,当用户访问这些域名时,系统可产生相关提示,从而保护用户。
对于有着敏感信息的用户,比如政府、军队、金融等单位,该功能不仅可以保护用户,还可避免敏感信息泄露所造成的不可估量的损失。
负载均衡及容灾
对关键业务进行负载均衡和异地容灾,以及出口链路流量调控等,是用户经常考虑的问题。传统的方案都是采用四层交换机(L4)和全局服务器负载均衡设备(GSLB)来实现的。实际上,基于DNS完全可以实现相关功能要求。
泰策的负载均衡和容灾方案,完全基于DNS,结合对应用服务器的可用性监测和灵活的流量引导分配策略(事先预置出口链路权重或根据服务器负载情况等动态调整权重),可帮用户轻松实现业务负载均衡、链路流量均衡和容灾等要求,而且与采用L4和GSLB相比,实施极为简单,并且节省大量成本。
上网行为管理
互联网的内容越来越丰富,2008年谷歌(Google)的检测数据表明,互联网上独立页面的数量超过了1万亿个,而且每天新增加数十亿个网页。很多员工利用上班时间进行炒股、玩游戏、看视频、网络聊天等等,影响了单位的工作风气,降低了工作效率,而且占用了网络带宽,因此进行上网行为管理是非常必要的。
业界有很多对于流量、内容的上网行为管理方案,这些产品都是基于硬件的。在提供精细的内容识别的功能的同时,也带来诸如成本高、部署不方便的缺点,而且,基于应用的方案还需要克服HTTP加密、端口变化等技术问题。
基于全面的URL库和DNS服务器,泰策的上网行为管理功能,为用户提供了一种配置灵活、部署简单、成本低廉的选择,而且不影响正常的DNS解析性能。
用户行为分析
实际上,由于绝大多数应用都需要通过DNS,通过DNS可以清晰地了解谁在什么时间访问了什么域名,所以DNS还是一个很好的用户行为分析的数据源。泰策高性能、全面的分析系统除了进行用户行为分析外,还具备安全分析功能,可以发现用户的异常访问情况,从而提前排除隐患。