別讓DNS over HTTPS (DoH) 成為安全漏洞

Zyxel_Kenny
Zyxel_Kenny 文章數: 78  Zyxel Employee
First Comment Friend Collector Third Anniversary
已編輯 十一月 2022 防火牆 常見問題

現在大多數的瀏覽器和最新的作業系統都在使用新的加密技術—DNS over TLS (DoT) 和 DNS over HTTPS (DoH)—來對抗未經授權的 DNS 服務。雖然它是一個保護隱私的好工具,但卻也可能為您的企業和 IT 人員帶來潛在安全威脅。本文將帶您了解DoH的運作模式,及Zyxel ATP防火牆如何協助提供安全防護。

什麼是 DoH?

要了解DoH,首先就要先知道一般DNS的運作模式。網域名稱系統(Domain Name Server,DNS)就像網際網路的通訊錄一樣,會將每個網域名稱轉換為IP位址。




DNS over HTTPS (DoH)則是一種傳遞DNS解析請求時採用HTTPS加密的新協定,主要能夠強化使用者的隱私與安全。目前,所有主流的瀏覽器,如Google Chrome、Microsoft Edge、Mozilla Firefox和Opera都支援這項協定。




啟用 DoH 時的 DNS 查詢方式


而DNS 過濾解決方案對每家資安廠商來說都是一層重要的把關。DNS威脅過濾能將網域位址與最新的雲端信譽資料庫進行匹配,並確定是否為信譽良好的網域位址。




DNS 威脅過濾的運作機制

然而,如果DNS over HTTPS 的查詢是來自於用戶端,就無法看到中間的溝通過程,這讓員工和學生能輕易繞過網路層的Web過濾政策。對於透過DNS解決方案來了解Web流量的公司來說,也會失去對內部網路流量的可視性。

Zyxel 如何協助您管理客戶的網路活動

為了提供內部網路流量的精確可視性,Zyxel致力以安全的方式將DNS over HTTPS(DoH)協定與ATP系列完全整合,強化每個組織的網路安全。一旦 ATP 防火牆檢測到用戶端採用DNS over HTTPS到已知 DoH 伺服器做查詢,ATP 將阻止這些 DNS 查詢,以防止使用者繞過既有的網路限制政策。

DoH/DoT 阻擋和監控的好處: 防止使用者繞過公司的 Web 過濾政策。 保留網路上所有 DNS 流量的可視見性和安全性。 高效路由 DNS 查詢,並保持整體網路正常運行。