Comprendre le DNS Firewall

Cet article répond aux questions les plus fréquentes sur l’utilisation du produit DNS Firewall de Cloudflare.


Qu’est-ce que le DNS Firewall ?

Le DNS Firewall (anciennement appelé Virtual DNS) est un proxy DNS qui augmente les performances, la sécurité et la distribution mondiale pour les fournisseurs de service DNS, les registrars et les entreprises qui gèrent leur propre infrastructure DNS.

Le DNS Firewall de Cloudflare offre les avantages suivants tout en permettant aux organisations de contrôler totalement leur DNS :

  • Atténuation DDoS
  • Disponibilité élevée
  • Fiabilité
  • Distribution globale
  • Mise en cache DNS
  • Économies de bande passante

Comment fonctionne le DNS Firewall ?

DNS Firewall met en proxy les requêtes DNS et protège les serveurs DNS de la même manière que Cloudflare met en proxy les requêtes Web et protège les serveurs Web.  Le DNS Firewall protège les serveurs de noms en amont des attaques DDoS et réduit la charge sur les serveurs de noms en amont, en mettant en cache les réponses DNS dans les points de présence globaux de Cloudflare.

overview.png

Les requêtes DNS destinées aux serveurs de noms du fournisseur sont traitées comme suit :

     1. Les requêtes sont envoyées au point de présence Cloudflare le plus proche du visiteur web.

     2. Cloudflare tentera de renvoyer la réponse au visiteur à partir du cache DNS.

     3. Si le cache n’est pas disponible, Cloudflare interrogera les serveurs de noms du fournisseur.

     4. Cloudflare mettra temporairement en cache la réponse pour les requêtes DNS suivantes. 

Cloudflare peut bloquer les requêtes malveillantes avant qu’elles atteignent les serveurs de noms du fournisseur.

Comment le DNS Firewall choisit-il un serveur de noms backend pour requêter en amont ?

Le DNS Firewall effectue un Round Robin entre les serveurs de noms d’un client.  De plus, le DNS Firewall détermine le serveur le plus rapide parmi le groupe de serveurs de noms et prend en compte ces informations via un algorithme.


Combien de temps le DNS Firewall met-il en cache un objet obsolète ?

La longévité du cache DNS est définie par un ensemble de mémoire alloué.  En outre, Cloudflare n’exporte rien de force dans le cache, même à l’expiration du TTL.  Cela permet à Cloudflare de servir des objets obsolètes à partir du cache, si les serveurs de noms d’origine sont hors ligne.


Le DNS Firewall met-il en cache SERVFAIL ?

Non. Si les serveurs de noms du client répondent avec un SERVFAIL, le DNS Firewall essaiera de nouveau à la demande suivante.


Le DNS Firewall prend-il en charge le sous-réseau EDNS-Client ?

Oui. Les fournisseurs de service DNS veulent souvent voir l’adresse IP d’un client via EDNS-Client-Subnet parce qu’ils servent des réponses DNS géographiquement spécifiques en fonction de l’adresse IP du client. Avec le sous-réseau EDNS-Client activé, le DNS Firewall envoie le sous-réseau IP du client avec la requête DNS au serveur de noms d’origine. 

Le DNS Firewall ne définit pas l’en-tête EDNS, il ne fait que transmettre EDNS.

Lorsque EDNS est activé, le DNS Firewall fournit la réponse géographiquement correcte dans le cache en fonction du sous-réseau IP du client. Pour ce faire, le DNS Firewall segmente son cache. Par exemple :

  1. Un résolveur dit qu’il recherche une réponse pour le client 1.2.3.0/24.
  2. Le DNS Firewall envoie par proxy la demande à l’origine pour obtenir la réponse.
  3. Le DNS Firewall mettra en cache la réponse de l’origine, mais uniquement pour ce /24.
  4. 1.2.9.0/24 pose maintenant la même question DNS et la réponse est à nouveau renvoyée à partir de l’origine au lieu du cache.
EDNS limite l’efficacité du cache DNS.

Comment activer le sous-réseau EDNS-Client ? 

Activez EDNS sur vos serveurs DNS d’origine.  Si le DNS Firewall détecte une requête envoyée avec EDNS-Client-Subnet et qu’il sait que l’origine la prend en charge, le DNS Firewall laisse alors passer la requête DNS.  Pour déterminer si une origine prend en charge EDNS-Client-Subnet, le DNS Firewall laisse passer une telle requête une fois par heure. 

Pour désactiver le sous-réseau EDNS-Client, désactivez-le sur vos serveurs DNS d’origine. Le DNS Firewall détectera ce changement.


Comment activer le DNS Firewall ?

Le DNS Firewall est un produit Enterprise disponible pour les clients Cloudflare existants et nouveaux.

Contactez notre équipe de vente :
+1 888 99 FLARE
Remplissez notre formulaire de solutions Enterprise.

 

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk