Grundlegendes zur DNS-Firewall

Dieser Artikel beantwortet häufig gestellte Fragen zum Zweck des Produkts DNS-Firewall von Cloudflare.


Was ist eine DNS-Firewall?

Die DNS Firewall (früher als Virtual DNS bezeichnet) ist ein DNS-Proxy, der die Leistung, Sicherheit und globale Verbreitung für DNS-Anbieter, Registrare und Unternehmen erhöht, die ihre eigene DNS-Infrastruktur unterhalten.

Die DNS-Firewall von Cloudflare bietet die folgenden Vorteile und ermöglicht Unternehmen die vollständige Kontrolle über ihr DNS:

  • DDoS-Abwehr
  • Hohe Verfügbarkeit
  • Zuverlässigkeit
  • Globale Verbreitung
  • DNS-Caching
  • Sparsamere Bandbreitennutzung

Wie funktioniert die DNS-Firewall?

Die DNS-Firewall ersetzt DNS-Anfragen und schützt DNS-Server, ähnlich wie CloudFlare Webanforderungen ersetzt und Webserver schützt.  Die DNS-Firewall schützt Upstream-Nameserver vor DDoS-Angriffen und reduziert die Belastung der Upstream-Nameserver, indem DNS-Antworten in den globalen Points-of-Presence von Cloudflare zwischengespeichert werden.

overview.png

DNS-Abfragen, die für die Nameserver des Anbieters bestimmt sind, werden wie folgt behandelt:

     1. Anfragen werden an den Cloudflare Point-of-Presence gesendet, der dem Websitebesucher am nächsten liegt.

     2. Cloudflare versucht, die Antwort vom DNS-Cache an den Besucher zurückzugeben.

     3. Wenn der Cache nicht verfügbar ist, fragt Cloudflare die Nameserver des Anbieters ab.

     4. Cloudflare speichert die Antwort für nachfolgende DNS-Abfragen vorübergehend im Cache. 

Cloudflare kann böswillige Anfragen blockieren, bevor diese die Nameserver des Anbieters erreichen.

Wie wählt die DNS-Firewall einen Backend-Nameserver für die Upstream-Abfrage aus?

DNS-Firewall Round-Robin-Verfahren zwischen den Nameservern eines Kunden.  Darüber hinaus ermittelt die DNS-Firewall den schnellsten Server aus der Gruppe der Nameserver und berücksichtigt diese Informationen über einen Algorithmus.


Wie lange speichert die DNS-Firewall ein veraltetes Objekt im Cache?

Die Lebensdauer des DNS-Cache wird durch einen festgelegten zugewiesenen Speicher definiert.  Cloudflare entfernt auch nach Ablauf der TTL nichts aus dem Cache.  Auf diese Weise kann Cloudflare veraltete Objekte aus dem Cache bedienen, wenn die ursprünglichen Nameserver offline sind.


Wird über die Cache-Funktion der DNS-Firewall SERVFAIL abgedeckt?

Nein. Wenn der Nameserver des Kunden mit einem SERVFAIL antwortet, versucht die DNS-Firewall es bei der nächsten Anforderung erneut.


Unterstützt die DNS-Firewall das EDNS-Client-Subnetz?

Ja. Häufig möchten DNS-Anbieter die IP-Adresse eines Clients über das EDNS-Client-Subnetz anzeigen, da sie geografisch spezifische DNS-Antworten basierend auf der IP-Adresse des Clients bereitstellen. Bei aktiviertem EDNS-Client-Subnetz sendet die DNS-Firewall das IP-Subnetz des Clients zusammen mit der DNS-Abfrage an den ursprünglichen Nameserver. 

Die DNS-Firewall setzt den EDNS-Header nicht, sondern leitet nur EDNS weiter.

Wenn EDNS aktiviert ist, gibt die DNS-Firewall die geografisch korrekte Antwort im Cache basierend auf dem Client-IP-Subnetz aus. Dazu segmentiert die DNS-Firewall ihren Cache. Beispiel:

  1. Ein Resolver sagt, er suche nach einer Antwort für Client 1.2.3.0/24.
  2. Die DNS-Firewall leitet die Anfrage für die Antwort an den Ursprungsserver weiter.
  3. Die DNS-Firewall speichert die Antwort vom Ursprungsserver zwischen, jedoch nur für diesen /24.
  4. 1.2.9.0/24 stellt jetzt dieselbe DNS-Frage und die Antwort wird statt vom Cache wieder vom Ursprungsserver zurückgegeben.
EDNS schränkt die Effektivität des DNS-Cache ein.

Wie aktiviere ich das EDNS-Client-Subnetz?

Aktivieren Sie EDNS auf Ihren Ursprungs-DNS-Servern.  Wenn die DNS-Firewall eine mit dem EDNS-Client-Subnetz gesendete Anfrage sieht und die DNS-Firewall weiß, dass der Ursprungsserver dies unterstützt, lässt die DNS-Firewall die DNS-Anfrage durch.  Um festzustellen, ob ein Ursprungsserver das EDNS-Client-Subnetz unterstützt, lässt die DNS-Firewall eine solche Anforderung einmal pro Stunde durch. 

Um das EDNS-Client-Subnetz zu deaktivieren, deaktivieren Sie es auf Ihren Ursprungs-DNS-Servern. Die DNS-Firewall erkennt diese Änderung.


Wie aktiviere ich die DNS-Firewall?

Die DNS-Firewall ist ein Enterprise-Produkt, das sowohl bestehenden als auch neuen Cloudflare-Kunden zur Verfügung steht.

Kontaktieren Sie das Vertriebsteam:
+44 (0) 20 3514 6970
oder füllen Sie unser Enterprise Solutions-Formular aus.

 

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Powered by Zendesk