附註:

使用 DNS 防火牆保護您的 Oracle Cloud Infrastructure 內部網路

簡介

您可以控制虛擬機器 (VM) 執行處理正在做什麼,以控制其行為。在大多數情況下,網域名稱系統 (DNS) 查詢會被遺忘且不受控制或受到監控,使得洩漏的機器能夠連線到指令和控制 (C2) 伺服器並下載惡意軟體的方式保持開啟。如果能夠控制和封鎖這些對 C2 伺服器和其他類型惡意伺服器的輸出查詢,會為您的網路增加一層安全,並且避免您的 VM 和網路遭到進一步危害。

目標

必要條件

作業 1:在 OCI 主控台上尋找 DNS 解析器

請確定您已經建立 VCN,然後按一下 VCN 名稱。在虛擬雲端網路詳細資訊頁面中,按一下 DNS 解析器

OCI_DNS-DNS_Resolver

作業 2:設定轉送端點

  1. 資源底下,按一下端點建立端點

  2. 建立端點頁面中,輸入下列資訊,然後按一下建立端點

    • 名稱: 輸入名稱。
    • 子網路:選取您要作為轉送器端點的子網路。
    • 端點類型:選取轉寄

    OCI_DNS-Forwarder_Creation

    這需要幾分鐘的時間,完成後,您就會建立 DNS 轉送器。在我們的 DNS 防火牆案例中,這可讓我們設定將想要的查詢重新導向。

    DNS 解析器會依照解析執行處理查詢的順序排列:

    首先,它會檢查所有附加的專用檢視,然後解析器規則,最後會使用 Oracle 自己的公用網際網路解析器來解析主機名稱。有關詳細資訊,請參閱組態與解析

    在下一個步驟中,我們想要將所有非本機查詢 (不在任何專用檢視中) 分離,然後將它們傳送到 DNS 防火牆服務,或是公司管理的其他 DNS 伺服器來控制查詢。

    您可以選擇免費服務 (例如 OpenDNS、Quad9、ControlD 及其他許多服務),或選擇具有更多控制權和功能的付費服務,例如 Cisco Umbrella、ControlD、NextDNS、InfoBlox 等。

    備註:我們沒有與任務 3 中提及的 DNS 提供者連線。由於簡單、易用且組態的緣故,它們被用作範例。其他許多廠商都提供類似的服務,請找出最符合您需求的供應商。

作業 3:建立解析器規則

附註:

認可

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室,或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件,請造訪 Oracle Help Center