[发明专利]多租户DNS安全管理方法、装置及存储介质

说明书

本发明提出一种多租户DNS安全管理方法、装置及计算机可读存储介质，其方法包括：web门户服务器基于客户端的访问事件获取客户端的客户信息；web门户服务器将客户信息发送给Apache服务器，Apache服务器根据预设的用户身份数据库对租户信息进行安全验证；Apache服务器将已通过安全验证的租户信息对应的访问请求数据信息发送给DNS服务器；DNS服务器根据访问请求数据信息生成访问路径反馈给客户端。本发明还提出一种电子装置及计算机可读存储介质。本发明通过部署多个安全防护单元建立多租户DNS安全管理系统，能够有效防止DNS服务器以及应用服务器因受外部流量攻击出现内部信息被窃或服务器硬件被损的问题。

技术领域

本发明涉及计算机域名解析技术领域，尤其涉及一种多租户DNS安全管理方法、装置及计算机可读存储介质。

背景技术

DNS(Domain Name System，域名系统)为因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使客户端更方便的访问互联网，而不用去记住能够被机器直接读取的网络协议(Internet Protocol，IP)数串。通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析。DNS协议运行在UDP协议之上，使用端口号53。

随着互联网业务，尤其是移动互联网业务的迅猛发展，互联网已经深入到社会生活的方方面面，人们一分钟都离不开互联网。DNS作为互联网的基础服务，几乎所有的应用都要依赖于DNS，由于DNS暴露在公网中，极易成为不法分子的攻击目标，是互联网系统最大的软肋。所以，如何使DNS能够抵御各种安全风险，一直是移动互联领域致力解决的问题之一。

在现有技术中，DNS安全防护体系过度依赖抗分布式拒绝服务(DistributedDenial of Service，DDoS)系统，在识别到攻击时(一般通过设置总体流量阈值来确定)，使用抗DDoS系统在DNS前端对攻击流量进行识别和清洗，而未识别到攻击时(攻击流量未超过设置的阈值)，则放任攻击流量进入DNS。为了减少维护工作量，一般没有针对路由器、防火墙、DNS主机等设备进行精细化的安全加固，或者加固措施不完整，在网络层面把DNS完全暴露在互联网中。

上述现有技术中这种基于抗DDoS系统的单一防范方法，可能会存在以下问题：

在攻击流量未超过设置的阈值时，这部分攻击流量进入DNS，会对DNS的正常运行带来不利影响，且会影响运营商对DNS正常业务流量的判断，进而影响扩容。

抗DDoS系统作为一种干扰设备，当攻击发生时，其对攻击流量进行清洗的同时，会对部分正常流量造成破坏，影响到正常业务。事实证明，抗DDoS系统在流量清洗过程中，对用户上网业务的影响，比较明显；

抗DDoS系统主要关注的是流量总量，对DNS业务层面的攻击(如具备很大杀伤力的递归攻击)无能为力。当系统遭受递归攻击时(攻击流量并未超过设置的阈值)，抗DDoS系统并未监测到，而DNS业务可能已经受到影响。

基于上述问题，亟需一种能够对DNS服务器进行有效的多层次安全管理的方法。

发明内容

本发明提供一种多租户DNS安全管理方法、电子装置以及计算机存储介质，其主要目的在于通过部署多个安全防护单元建立一种多租户DNS安全管理系统，有效地防止DNS服务器以及应用服务器受到外部流量攻击出现内部信息被窃或服务器硬件被损的问题。

为实现上述目的，本发明提供一种电子装置，该电子装置包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的多租户DNS安全管理程序，所述多租户DNS安全管理程序被所述处理器执行时实现如下步骤：

基于客户端的访问事件获取所述客户端的客户信息，其中，所述客户信息包括租户信息以及访问请求数据信息；

将所述客户信息发送给Apache服务器，以供所述Apache服务器根据预设的用户身份数据库对所述租户信息进行安全验证；