了解 DNS Firewall

本文解答有关 Cloudflare DNS Firewall 产品用途的常见问题。


什么是 DNS Firewall?

DNS Firewall(之前称为 Virtual DNS)是一种 DNS 代理,可为 DNS 提供商、注册商和维护自己的 DNS 基础设施的企业提高性能、安全性和全局分发。

Cloudflare DNS Firewall 提供以下优势,同时允许组织完全控制其 DNS:

  • DDoS 缓解
  • 高可用性
  • 可靠性
  • 全局分发
  • DNS 缓存
  • 带宽节省

DNS Firewall 如何工作?

DNS Firewall 可代理 DNS 请求并保护 DNS 服务器,类似于 CloudFlare 代理 Web 请求和保护 Web 服务器的方式。  DNS Firewall 通过在 Cloudflare 的全局接入点中缓存 DNS 响应来保护上游域名服务器免受 DDoS 攻击,并减少上游域名服务器的负载。

overview.png

发往提供商域名服务器的 DNS 查询按如下方式处理:

     1.查询将发送到离网站访问者最近的 Cloudflare 接入点。

     2.Cloudflare 将尝试从 DNS 高速缓存返回对访问者的响应。

     3.如果高速缓存不可用,Cloudflare 将查询提供商的域名服务器。

     4.Cloudflare 将临时缓存后续 DNS 查询的响应。

Cloudflare 可以在恶意请求到达提供商的域名服务器之前阻止这些请求。

DNS Firewall 如何选择后端域名服务器来查询上游?

DNS Firewall 在客户的域名服务器之间轮询。  此外,DNS Firewall 通过算法从此信息中的域名服务器组和因素组中确定最快的服务器。


DNS Firewall 缓存过时的对象多长时间?

DNS 缓存的使用时间由一组分配的内存定义。  此外,即使 TTL 过期,Cloudflare 也不会强制推送缓存中的任何内容。  如果源域名服务器处于脱机状态,这允许 Cloudflare 从缓存中提供过时的对象。


DNS Firewall 是否会缓存 SERVFAIL?

不会。如果客户的域名服务器以 SERVFAIL 响应,则 DNS Firewall 将在下一个请求时再次尝试。


DNS Firewall 是否支持 EDNS-Client-Subnet?

是。 通常,DNS 提供商希望通过 EDNS-Client-Subnet 查看客户端的 IP,因为他们根据客户端的 IP 提供地理上特定的 DNS 答案。启用 EDNS-Client-Subnet 后,DNS Firewall 会将客户端的 IP 子网和 DNS 查询一起发送到源域名服务器。 

DNS Firewall 不会设置 EDNS 标头,它只是转发 EDNS。

启用 EDNS 后,DNS Firewall 会根据客户端 IP 子网在缓存中给出地理上正确的答案。为此,DNS Firewall 会对其缓存进行分段。例如:

  1. 解析器显示它正在为客户端 1.2.3.0/24 寻找答案。
  2. DNS Firewall 会将请求代理到源以获得答案。
  3. DNS Firewall 将缓存来自源的答案,但仅限于该 /24。
  4. 1.2.9.0/24 现在询问相同的 DNS 问题,并再次从源而不是缓存返回答案。
EDNS 限制了 DNS 缓存的有效性。

如何启用 EDNS-Client-Subnet

在您的源 DNS 服务器上启用 EDNS。  如果 DNS Firewall 看到使用 EDNS-Client-Subnet 发送的查询,并且 DNS Firewall 知道该源支持它,则 DNS Firewall 将允许 DNS 请求通过。  为了确定源是否支持 EDNS-Client-Subnet,DNS Firewall 允许此类请求每小时通过一次。 

要禁用 EDNS-Client-Subnet,请在源 DNS 服务器上禁用它。DNS Firewall 将检测此更改。


如何启用 DNS Firewall?

DNS Firewall 是一款 Enterprise 产品,适用于现有和新 Cloudflare 客户。

联系我们的销售团队:
+1 888 99 FLARE
或填写我们Enterprise 解决方案表单

 

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持