Cómo comprender DNS Firewall

En este artículo, se responden preguntas frecuentes sobre el propósito del producto DNS Firewall de Cloudflare.


¿Qué es DNS Firewall?

DNS Firewall (antes conocido como Virtual DNS) es un proxy de DNS que aumenta el funcionamiento, la seguridad y la distribución global para los proveedores de DNS, los registrars y las empresas que mantengan su propia infraestructura de DNS.

DNS Firewall de Cloudflare proporciona los siguientes beneficios y otorga a las organizaciones el control pleno de su DNS:

  • Mitigación de DDoS
  • Alta disponibilidad
  • Confiabilidad
  • Distribución global
  • Almacenamiento en memoria caché de DNS
  • Ahorro de ancho de banda

¿Cómo funciona DNS Firewall?

DNS Firewall redirige mediante proxy las solicitudes de DNS y protege los servidores DNS de manera similar a cómo Cloudflare redirige mediante proxy las solicitudes web y protege los servidores web.  DNS Firewall protege los servidores de nombres ascendentes contra ataques DDoS y reduce los servidores de nombres de carga ascendente al almacenar en caché las respuestas de DNS en los puntos de presencia globales de Cloudflare.

overview.png

Las consultas de DNS dirigidas a los servidores de nombre de los proveedores se manejan de la siguiente manera:

     1. Se envían las consultas al punto de presencia de Cloudflare más cercano al visitante web.

     2. Cloudflare intentará enviar la respuesta al visitante desde la caché de DNS.

     3. Si la caché no está disponible, Cloudflare consultará los servidores de nombres del proveedor.

     4. Cloudflare almacenará temporalmente en la caché la respuesta a consultas de DNS subsiguientes. 

Cloudflare puede bloquear solicitudes maliciosas antes de que alcancen los servidores de nombres del proveedor.

¿Cómo elige DNS Firewall un servidor de nombres back-end para realizar consultas ascendentes?

DNS Firewall utiliza el método round-robin entre los servidores de nombres de un cliente.  Además, DNS Firewall determina el servidor más rápido de un grupo de servidores de nombres y factores en esta información a través de un algoritmo.


¿Cuánto tiempo DNS Firewall almacena en caché un objeto obsoleto?

La longevidad de la caché de DNS se define según una memoria asignada a un conjunto.  Asimismo, Cloudflare no envía nada fuera de la caché a la fuerza, incluso tras la expiración del TTL.  Esto permite que Cloudflare sirva objetos obsoletos de la caché si los servidores de nombres de origen están desconectados.


¿DNS Firewall almacena en caché SERVFAIL?

No. Si los servidores de nombres del cliente responden con SERVFAIL, DNS Firewall volverá a intentar en la siguiente solicitud.


¿Es DNS Firewall compatible con EDNS-Client-Subnet?

Sí. A menudo, los proveedores de DNS quieren ver la dirección IP de un cliente a través de EDNS-Client-Subnet porque, en función de esta, sirven respuestas de DNS específicas geográficamente. Con EDNS-Client-Subnet habilitado, DNS Firewall enviará la subred de la dirección IP del cliente junto con la consulta de DNS al servidor de nombres de origen. 

DNS Firewall no establece el encabezado EDNS, solo reenvía EDNS.

Cuando EDNS está habilitado, DNS Firewall emite la respuesta geográficamente correcta en la caché según la subred de la dirección IP del cliente. Para lograr esto, DNS Firewall segmenta su caché. Por ejemplo:

  1. Una resolución dice que busca una respuesta para el cliente 1.2.3.0/24.
  2. DNS Firewall redirigirá mediante proxy la solicitud al origen para obtener la respuesta.
  3. DNS Firewall almacenará en caché la respuesta del origen, pero solo para ese /24.
  4. 1.2.9.0/24 ahora realiza la misma pregunta de DNS y la respuesta vuelve a enviarse desde el origen en lugar de la caché.
EDNS limita la eficiencia de la caché de DNS.

¿Cómo habilito EDNS-Client-Subnet? 

Habilita EDNS en tus servidores DNS de origen.  Si DNS Firewall ve una consulta enviada con EDNS-Client-Subnet y DNS Firewall sabe que el origen la admite, DNS Firewall dejará pasar la solicitud de DNS.  Para determinar si un origen admite EDNS-Client-Subnet, DNS Firewall deja pasar dicha solicitud una vez por hora. 

Para deshabilitar EDNS-Client-Subnet, hazlo en tus servidores DNS de origen. DNS Firewall detectará este cambio.


¿Cómo habilito DNS Firewall?

DNS Firewall es un producto de Enterprise que está disponible tanto para los clientes nuevos como existentes de Cloudflare.

Ponte en contacto con nuestro equipo de ventas:
+34 518 880 290
o completa nuestro formulario de soluciones de Enterprise.

 

¿No has encontrado una respuesta satisfactoria?

Nuestra herramienta de búsqueda puede contestar el 95% de las preguntas más comunes y es la mejor manera de conseguir una respuesta rápida.

Tecnología de Zendesk