Como entender o DNS Firewall

Este artigo esclarece dúvidas comuns sobre a finalidade do produto da Cloudflare para DNS Firewall.


O que é o DNS Firewall?

O DNS Firewall (anteriormente conhecido como Virtual DNS) é um proxy de DNS que aumenta o desempenho, a segurança e a distribuição global dos provedores de DNS, registrars e empresas que mantêm sua própria infraestrutura de DNS.

O DNS Firewall da Cloudflare, além de permitir que as organizações tenham total controle sobre seu DNS, proporciona as seguintes vantagens:

  • Mitigação de DDoS
  • Alta disponibilidade
  • Confiabilidade
  • Distribuição global
  • Cache de DNS
  • Economia com largura de banda

Como funciona o DNS Firewall?

O DNS Firewall faz proxy das solicitações DNS e protege os servidores DNS de maneira semelhante à forma com que a Cloudflare faz proxy de solicitações da web e protege os servidores web.  O DNS Firewall protege os nameservers upstream dos ataques de DDoS e reduz a carga dos nameservers upstream armazenando as respostas de DNS no cache dos pontos globais de presença da Cloudflare.

overview.png

As consultas de DNS destinadas aos nameservers do provedor são tratadas da seguinte maneira:

     1. As consultas são enviadas para o ponto de presença da Cloudflare mais próximo ao visitante do site.

     2. A Cloudflare tentará retornar a resposta ao visitante a partir do cache de DNS.

     3. Se o cache não estiver disponível, a Cloudflare consultará os nameservers do provedor.

     4. A Cloudflare armazenará no cache temporariamente a resposta às consultas de DNS subsequentes. 

A Cloudflare é capaz de bloquear solicitações mal-intencionadas antes que essas solicitações cheguem aos nameservers do provedor.

Como o DNS Firewall escolhe um nameserver no backend para consultar upstream?

O DNS Firewall escalona os nameservers de um cliente por meio do algoritmo Round Robin.  Além disso, o DNS Firewall determina qual é o servidor mais rápido do grupo de nameservers e quantifica essa informação por meio de um algoritmo.


Por quanto tempo o DNS Firewall armazena um objeto obsoleto no cache?

A longevidade do cache de DNS é definida por uma alocação de memória configurada.  Além disso, a Cloudflare não expulsa nada do cache à força, nem mesmo quando o TTL expira.  Isso permite que a Cloudflare sirva objetos obsoletos do cache se os nameservers de origem estiverem off-line.


O DNS Firewall armazena o SERVFAIL no cache?

Não. Se os nameservers do cliente responderem com um SERVFAIL, o DNS Firewall tentará novamente na próxima solicitação.


O DNS Firewall suporta a extensão EDNS-Client-Subnet?

Sim. Muitas vezes, os provedores de DNS querem ver o IP de um cliente por meio da extensão EDNS-Client-Subnet porque servem respostas de DNS específicas para determinada geografia, com base no IP do cliente. Com a EDNS-Client-Subnet ativada, o DNS Firewall enviará a sub-rede IP do cliente para o nameserver de origem juntamente com a consulta de DNS . 

O DNS Firewall não configura o cabeçalho da EDNS, apenas encaminha a EDNS.

Quando a EDNS está ativada, o DNS Firewall fornece a resposta geograficamente correta em cache com base na sub-rede IP do cliente. Para fazer isso, o DNS Firewall segmenta seu próprio cache. Por exemplo:

  1. Um resolvedor diz que está procurando uma resposta para o cliente 1.2.3.0/24.
  2. O DNS Firewall fará proxy da solicitação para a origem em busca da resposta.
  3. O DNS Firewall armazenará a resposta da origem no cache, mas apenas para esses /24.
  4. Agora, o 1.2.9.0/24 faz a mesma pergunta de DNS e a resposta é novamente retornada a partir da origem, ao invés de a partir do cache.
A EDNS limita a eficácia do cache de DNS.

Como faço para ativar a EDNS-Client-Subnet?  

Ative a EDNS nos seus servidores DNS de origem.  Caso o DNS Firewall veja uma consulta enviada com EDNS-Client-Subnet e o DNS Firewall souber que a origem oferece suporte à extensão, o DNS Firewall deixará passar a solicitação DNS.  Para determinar se uma origem suporta a extensão EDNS-Client-Subnet, o DNS Firewall deixa passar as solicitações desse tipo uma vez a cada hora. 

Para desativar a EDNS-Client-Subnet, desative-a nos seus servidores DNS de origem. O DNS Firewall detectará essa alteração.


Como faço para ativar o DNS Firewall?

O DNS Firewall é um produto Enterprise que está disponível para os clientes da Cloudflare, tanto os já existentes quanto os novos.

Entre em contato com a nossa equipe de vendas pelo telefone:
+ 1 (888) 993.5273
ou preencha o nosso Formulário de Soluções para Empresas.

 

Não encontra o que precisa?

95% das perguntas podem ser respondidas usando a ferramenta de pesquisa. Essa é a maneira mais rápida de obter uma resposta.