附註:

使用 pfSense 防火牆將安全新增至網域名稱系統架構

簡介

OraStage 是能源部門的領導公司,專精於可再生能源解決方案和創新的電力技術,該公司宣布將工作負載移轉至 Oracle Cloud Infrastructure (OCI) 以提升效能、擴展性及安全性。

圖像

考慮到 OraStage 概述的特定需求和條件,公司需要雲端的混合網域名稱系統 (DNS) 解決方案,而在此混合方式則代表除了 OCI DNS 服務之外,還使用自己的 Berkeley 網際網路名稱網域版本 9 (BIND9) DNS 系統,其中的最終架構會顯示在下列映像檔中。

圖像

OraStage DNS 需求:

本教學課程系列將引導您逐步達成上述概述的需求,從頭開始建立整個解決方案。您可以從下列清單輕鬆導覽至每個教學課程:

概觀

在本教學課程中,我們將探討如何利用開放原始碼防火牆和路由器平台 pfSense 來加強 DNS 架構的安全性。

DNS 是網路基礎架構的重要元件,但通常容易受到 DNS 詐騙、快取中毒及分散式阻斷服務 (DDoS) 等攻擊。藉由將 pfSense 與 DNS 安全措施整合,您可以新增健全的保護層,確保網路的 DNS 流量安全且有彈性。因此,建議您設定防火牆,以篩選 DNS 查詢、封鎖惡意網域,並強化整體 DNS 完整性。

在 DNS 伺服器前面放置 pfSense 防火牆有什麼額外優點?

整體而言,在 DNS 伺服器前放置防火牆可防止未經授權的存取、偵測惡意流量,並針對廣泛的 DNS 相關威脅提供強大的保護,藉此增強伺服器的安全、效能和彈性。

目標

注意:

最終架構

圖像

必要條件

圖像

作業 1:設定路由與安全網路元件

作業 1.1:建立虛擬雲端網路 (Hub-VCN)

請確定您已經建立 Hub-VCN (10.4.0.0/16),其中包含 Hub-Private-Subnet (10.4.0.0/24) 和 Hub-Public-Subnet (10.4.1.0/24)。

圖像

注意:

作業 1.2:設定 Hub-VCN 的路由與安全

圖像

圖像

圖像

作業 1.3:設定 LSN-VCN 的路由與安全性

作業 1.4:設定 DNS-VCN 的路由與安全

作業 1.5:設定前端 VCN 的路由與安全性

作業 1.6:設定後端 VCN 的路由與安全

注意:請勿變更傳入和傳出規則中的任何項目。

作業 1.7:設定 DRG 上的網輻 VCN 路由

此作業的目的在於確保從任何網路 (DNS/LSN/ 前端 / 後端) 傳送並接收於 DRG 的所有流量都會遞送至中樞,而防火牆將會檢查這些網路。

作業 2:啟動設定 Windows 跳躍點伺服器

工作 3:安裝並設定 pfSense 防火牆

注意:如果您已經有另一種防火牆解決方案,可以略過工作 3.1 至 3.7,然後從 3.8 繼續。

工作 3.1:下載 pfSense 影像

作業 3.2:建立 OCI 物件儲存的儲存桶

在此任務中,我們將建立一個 OCI Object Storage 貯體,用於上傳 pfSense 映像檔,並使用此物件映像檔在 OCI 中建立自訂映像檔。

作業 3.3:將 pfSense 映像檔上傳至儲存的儲存桶

作業 3.4:建立自訂影像

我們已上傳 pfSense 影像。現在,我們需要從中建立 OCI 自訂映像檔。此自訂映像檔將用於建立 pfSense 防火牆執行處理。

圖像

作業 3.5:使用自訂 pfSense 映像檔建立執行處理

作業 3.6:在執行處理上安裝 pfSense

我們需要進行初始安裝及設定 pfSense 防火牆。已經有執行中的執行處理。

任務 3.7:連線至 pfSense Web 圖形使用者介面 (GUI) 並完成初始設定

安裝已完成,現在我們需要連線至 pfSense 防火牆的 Web GUI。但在此之前,請務必允許來自 Hub-Public-Subnet 的 HTTP/HTTPS 流量,因為我們將從該處的跳躍伺服器連線至防火牆 GUI。我們已經允許來自所有 VCN (10.0.0.0/8) 的所有流量在 Task 1.2 中通過防火牆。

作業 3.8:將流量遞送至 pfSense 防火牆

在工作 1 中,我們在 VCN 和 DRG 上設定路由,以強制所有從網輻傳送的流量進入集線器網路 (綠色箭頭)。此工作會回答如何將此流量的所有項目遞送至 pfSense 防火牆 (紅色箭號)。

圖像

我們會建立傳入路由表 ( 傳輸路由表 ) 來執行此操作。這基本上是您在 VCN 層次建立的路由表,但是在 DRG 中指定,因此進入 Hub 的流量將會遞送至您選擇的特定目的地 (在我們的案例中為 pfSense 防火牆)。

工作 3.9:允許流量通過 pfSense

在本教學課程中,我們將運用 pfSense 的兩個功能。

請記住,您可以使用 pfSense 進行更多工作,但我們的焦點在於在 OCI 中安裝 pfSense,並將其整合至現有的網路架構,並在 OCI 中導入適當的路由和安全性。

第一個規則 (選擇性):

圖像

第二規則:

圖像

第三規則:

圖像

第四個規則:

圖像

第五個規則:

圖像

第六個規則:

圖像

作業 4:測試並驗證

測試方案 1

測試案例 2

結論

恭喜您!我們終於抵達 DNS 歷程的尾端。

在本教學課程中,我們專注於使用 pfSense 增強 OraStage 的 DNS 架構,這對於各種 DNS 型攻擊和漏洞提供了重要的防禦層。透過篩選流量、強制執行安全 DNS 協定及封鎖惡意網域,OraStage 可確保其 DNS 伺服器能夠安全且有效率地運作。

在整個系列中,您已經掌握 OCI 的一些重要技能。每個教學課程都建立在最後階段,讓您在 OCI 中擁有穩固的基礎,同時依賴漸進式學習方法。這些技能可協助您有效管理和最佳化雲端基礎架構:

認可

其他學習資源

探索 docs.oracle.com/learn 上的其他實驗室,或存取 Oracle Learning YouTube 頻道上的更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件,請造訪 Oracle Help Center