使用云防火墻實現安全訪問

DNS提供了域名解析功能，如果DNS服務遭到黑客的攻擊，就會造成用戶大面積無法上網的故障。因此，對DNS服務進行保護，防范諸如DNS劫持之類的攻擊，對于網絡安全是極為重要的。

利用思科提供的Umbrella OpenDNS技術，不僅可以保護DNS的安全，還可以在DNS的架構之上，提供更加高級的安全功能。

Umbrella OpenDNS實質上是一個云安全平臺，提供了針對終端和移動設備的安全解決方案。對于傳統網絡來說，會使用防火墻提供深度的安全防護，內網的用戶必須通過防火墻才可以訪問外部網絡。

但是，如果用戶離開防火墻的覆蓋范圍（例如出差在外等），就無法得到防火墻的保護。按照傳統保護方法，用戶必須利用VPN連接到內網，通過內網防火墻保護訪問行為。

使用Umbrella OpenDNS，可以保證移動用戶不管在任何位置，都可以得到防火墻的安全保護。當然，這里所指的漫游針對的不是手機等設備，而是傳統的PC，筆記本電腦等使 用Windows或 者Mac OS系統的設備。Umbrella O p e n D N S 的設計思想是在云端設置防火墻，在所有的用戶PC端安裝客戶端工具，客戶端和Umbrella OpenDNS的通訊是加密的。當用戶訪問目標網站時，客戶端會將對應的域名發送到Umbrella OpenDNS云端防火墻上，如果Umbrella OpenDNS檢測該域名是安全的，則可以對其進行解析，允許用戶直接訪問該站點。如果其認為該域名絕對是惡意的，就禁止用戶進行訪問。

另一方面，如果Umbrella OpenDNS認為該域名可能存在問題，就會利用Proxy功能將用戶流量引導到到云端防火墻，通過在云端防火墻配置各種安全功能（例如防病毒、內容過濾等），之后才將流量發送到目標站點。

這樣，不管用戶處于什么位置，都可以得到云端防火墻的保護。Umbrella OpenDNS使用Internet的基礎設施在鏈接之前阻止惡意目的地，通過從云端提供安全，不僅可以節省成本，而且可以更有效的安全性。Umbrella OpenDNS基于DNS的分析來阻止或者放行用戶的訪問，甚至可以通過對應的設置，將用戶的所有流量引導到云端防火墻，進行全面的管控。

Umbrella OpenDNS實現的是智能的DNS檢測功能，在正常情況下，不會代理所有的用戶流量。只是當其判斷用戶訪問的域名存在風險時，才會將流量引導過來，進行深層次的監控和過濾，實際上，即使用戶遭到了黑客攻擊，例如當木馬侵入系統，必然會建立后門，和遠程黑客進行連接。Umbrella OpenDNS云端防火墻可以切斷其回連操作，阻斷惡意流量的傳播，讓黑客無法遙控木馬。當用戶和應用已經離開了邊界，Umbrella OpenDNS能夠提供對所有設備上的互聯網活動的可視性，用戶甚至可以永久保留監控日志。

利用Umbrella OpenDNS云端防火墻的管理界面，用戶可以監控網絡訪問信息。Umbrella OpenDNS可以從互聯網中自動學習，智能分析數據和創建識別模式，通過異常檢測機制（例如URL和文件信譽分數等）來識別識別惡意域名和IP地址，自動關聯數據并阻止攻擊行為。Umbrella OpenDNS的優點是使用簡單，沒有復雜的硬件安裝和手動軟件更新操作，基于瀏覽器界面提供了快速設置和持續管理功能。

此外，還可以在思科的網絡設備上激活DNS保護功能，即通過更改網絡服務器，接入點或路由器上的對應設置，就可以保護整個網絡安全。即在一些思科的新款網絡設備（例如ISR 4000系列路由器、ASA防火墻等）上集成了Umbrella OpenDNS功能，打開網址“https://d o c s.u m b r e l l a.c o m/product/hardware”，可以查看在不同的網絡設備上具體的配置信息。實際上，即使不安裝輕量級的Umbrella OpenDNS客戶端，也可以直接在本機上配置對應的DNS服務器地址，來利用Umbrella OpenDNS進行保護。

打開網絡連接屬性窗口，雙 擊“Internet協 議版本 4(TCP/IP)”項，在打開窗口中選擇“使用下面的DNS服務器地址”項，輸入“208.67.222.222”或 者“208.67.220.220”。 這 樣，就可以實現最基本的普通DNS安全控制功能。如果使用Umbrella OpenDNS客戶端的話，就可以和云端防火墻實現加密認證的通訊，對于危險的流量會經過云防火墻過濾，之后才發送到目的地。打開網址“https://signup.umbrella.com”， 執行所需的賬號注冊操作。打開 網 址“https://login.umbrella.com/”，輸入賬號和密碼，登錄到Umbrella OpenDNS管理界面。在左側選擇“Overview”項，顯示網絡活動狀態，訪問的域名列表等摘要信息。在左側選擇“Identities”-“Networks”項，在右側點擊“+”按鈕，輸入網絡名稱，其會自動識別當前的IP地址，就可以將該地址注冊到云端防火墻，

因為Umbrella OpenDNS是利用IP來標識不同的設備的。這樣的話，當客戶端使用該IP訪問云端防火墻時，就可以受到其管控了。在左側選擇“Identities” →“Roaming Computers”項，在右側顯示注冊上來的客戶端信息。除了使用Umbrella OpenDNS提供的客戶端程序外，還可以利用Cisco AnyConnect進行連接。對于后者來說，在其安裝界面中需要選 擇“Umbrella Roaming Security”項，安 裝 完 畢后，打開“C:ProgramDataCiscoCisco AnyConnect Secure Mobility ClientUmbralla” 目 錄，在 其中新建名為“OrgInfo.json”的 文 件，輸 入“{”、“"organizationId" :"2419193",”、“"fingerprint": "53ab9b4941b429116067f 84ddccce25b",”、“"userId": "9785941"”，“}” 行 內容。重啟系統后就可以使用AnyConnect進行注冊了。

在默認情況下，只存在名為“Default Policy”的 策略，其功能比較有限。在左側選擇“Policies”→“Policy List”項，在右側點擊“+”按鈕，創建新的策略。在“What would you like to protct”面板中選擇需要保護的設備，包括活動目錄中的組、賬戶和計算機、網絡、主機、站點、網絡設備等，例如選擇某些主機等，在下一步窗口中的“What should this policy do？”面板中選擇需要激活的保護功能，包括“Enforce Security at this DNS Layer”（保護DNS安全）、“Inspect Files”（監控 文 件）、“Limit Content Access”（限制訪問內容）、“Apply Destination Lists”（允許胡禁止訪問的列表）等。

點擊“ADVANCEDSETTINGS”項，在高級設置面板中選擇“Enable Intelligent Proxy”項，激 活 流 量 代理功能，對于惡意流量進行安全管控。選擇“SSL Decryption”項，激 活SSL解密功能。點擊“DOWNLOAD CERTIFICATE”按鈕，下載名為“Cisco_Umbrella_Root_CA.cer”的證書文件。之后打開該證書，點擊“安裝證書”按鈕，將其安裝到受信任的根證書辦法機構中。選擇“Enable IP-Layer Enforcement”項，激活對于IP層面的安全訪問控制功能。點擊“Next”按鈕，顯示需要防控的歸類信息（例如惡意軟件、網絡釣魚等）。

在下一步窗口中的“Limit Content Access”欄中選擇訪問內容控制的級別，默認為“High”，選擇“Custom”項，可以自定義過濾范圍。點擊“Next”按鈕，可以添加需要禁止或者放行的網站列表。在下一步窗口中可以設置阻止界面，包括默認的或者自定義的。這樣，當攔截到危險的訪問時，可以顯示該頁面進行提醒。之后輸入策略名稱，點擊“Save”按鈕保存該策略。

這樣，當客戶端訪問Internet時，就會得到云端防火墻的保護。例如當訪問的目標網站位于禁止列表中，對其訪問時就會被攔截并彈出警告頁面。當使用HTTP或者HTTPS等方式下載包含病毒的文件時，也會遭到云端防火墻的攔截等。