別讓DNS over HTTPS （DoH） 成為安全漏洞

Zyxel_Kenny

現在大多數的瀏覽器和最新的作業系統都在使用新的加密技術—DNS over TLS (DoT) 和 DNS over HTTPS (DoH)—來對抗未經授權的 DNS 服務。雖然它是一個保護隱私的好工具，但卻也可能為您的企業和 IT 人員帶來潛在安全威脅。本文將帶您了解DoH的運作模式，及Zyxel ATP防火牆如何協助提供安全防護。

什麼是 DoH？

要了解DoH，首先就要先知道一般DNS的運作模式。網域名稱系統（Domain Name Server，DNS）就像網際網路的通訊錄一樣，會將每個網域名稱轉換為IP位址。

DNS over HTTPS （DoH）則是一種傳遞DNS解析請求時採用HTTPS加密的新協定，主要能夠強化使用者的隱私與安全。目前，所有主流的瀏覽器，如Google Chrome、Microsoft Edge、Mozilla Firefox和Opera都支援這項協定。

啟用 DoH 時的 DNS 查詢方式

而DNS 過濾解決方案對每家資安廠商來說都是一層重要的把關。DNS威脅過濾能將網域位址與最新的雲端信譽資料庫進行匹配，並確定是否為信譽良好的網域位址。

DNS 威脅過濾的運作機制

然而，如果DNS over HTTPS 的查詢是來自於用戶端，就無法看到中間的溝通過程，這讓員工和學生能輕易繞過網路層的Web過濾政策。對於透過DNS解決方案來了解Web流量的公司來說，也會失去對內部網路流量的可視性。

Zyxel 如何協助您管理客戶的網路活動

為了提供內部網路流量的精確可視性，Zyxel致力以安全的方式將DNS over HTTPS（DoH）協定與ATP系列完全整合，強化每個組織的網路安全。一旦 ATP 防火牆檢測到用戶端採用DNS over HTTPS到已知 DoH 伺服器做查詢，ATP 將阻止這些 DNS 查詢，以防止使用者繞過既有的網路限制政策。

DoH/DoT 阻擋和監控的好處： 防止使用者繞過公司的 Web 過濾政策。 保留網路上所有 DNS 流量的可視見性和安全性。 高效路由 DNS 查詢，並保持整體網路正常運行。