DNS提供了域名解析功能，如果DNS服務(wù)遭到黑客的攻擊，就會(huì)造成用戶大面積無(wú)法上網(wǎng)的故障。因此，對(duì)DNS服務(wù)進(jìn)行保護(hù)，防范諸如DNS劫持之類的攻擊，對(duì)于網(wǎng)絡(luò)安全是極為重要的。

利用思科提供的Umbrella OpenDNS技術(shù)，不僅可以保護(hù)DNS的安全，還可以在DNS的架構(gòu)之上，提供更加高級(jí)的安全功能。

Umbrella OpenDNS實(shí)質(zhì)上是一個(gè)云安全平臺(tái)，提供了針對(duì)終端和移動(dòng)設(shè)備的安全解決方案。對(duì)于傳統(tǒng)網(wǎng)絡(luò)來(lái)說(shuō)，會(huì)使用防火墻提供深度的安全防護(hù)，內(nèi)網(wǎng)的用戶必須通過(guò)防火墻才可以訪問(wèn)外部網(wǎng)絡(luò)。

但是，如果用戶離開(kāi)防火墻的覆蓋范圍（例如出差在外等），就無(wú)法得到防火墻的保護(hù)。按照傳統(tǒng)保護(hù)方法，用戶必須利用VPN連接到內(nèi)網(wǎng)，通過(guò)內(nèi)網(wǎng)防火墻保護(hù)訪問(wèn)行為。

使用Umbrella OpenDNS，可以保證移動(dòng)用戶不管在任何位置，都可以得到防火墻的安全保護(hù)。當(dāng)然，這里所指的漫游針對(duì)的不是手機(jī)等設(shè)備，而是傳統(tǒng)的PC，筆記本電腦等使 用Windows或 者M(jìn)ac OS系統(tǒng)的設(shè)備。Umbrella O p e n D N S 的設(shè)計(jì)思想是在云端設(shè)置防火墻，在所有的用戶PC端安裝客戶端工具，客戶端和Umbrella OpenDNS的通訊是加密的。當(dāng)用戶訪問(wèn)目標(biāo)網(wǎng)站時(shí)，客戶端會(huì)將對(duì)應(yīng)的域名發(fā)送到Umbrella OpenDNS云端防火墻上，如果Umbrella OpenDNS檢測(cè)該域名是安全的，則可以對(duì)其進(jìn)行解析，允許用戶直接訪問(wèn)該站點(diǎn)。如果其認(rèn)為該域名絕對(duì)是惡意的，就禁止用戶進(jìn)行訪問(wèn)。

另一方面，如果Umbrella OpenDNS認(rèn)為該域名可能存在問(wèn)題，就會(huì)利用Proxy功能將用戶流量引導(dǎo)到到云端防火墻，通過(guò)在云端防火墻配置各種安全功能（例如防病毒、內(nèi)容過(guò)濾等），之后才將流量發(fā)送到目標(biāo)站點(diǎn)。

這樣，不管用戶處于什么位置，都可以得到云端防火墻的保護(hù)。Umbrella OpenDNS使用Internet的基礎(chǔ)設(shè)施在鏈接之前阻止惡意目的地，通過(guò)從云端提供安全，不僅可以節(jié)省成本，而且可以更有效的安全性。Umbrella OpenDNS基于DNS的分析來(lái)阻止或者放行用戶的訪問(wèn)，甚至可以通過(guò)對(duì)應(yīng)的設(shè)置，將用戶的所有流量引導(dǎo)到云端防火墻，進(jìn)行全面的管控。

Umbrella OpenDNS實(shí)現(xiàn)的是智能的DNS檢測(cè)功能，在正常情況下，不會(huì)代理所有的用戶流量。只是當(dāng)其判斷用戶訪問(wèn)的域名存在風(fēng)險(xiǎn)時(shí)，才會(huì)將流量引導(dǎo)過(guò)來(lái)，進(jìn)行深層次的監(jiān)控和過(guò)濾，實(shí)際上，即使用戶遭到了黑客攻擊，例如當(dāng)木馬侵入系統(tǒng)，必然會(huì)建立后門，和遠(yuǎn)程黑客進(jìn)行連接。Umbrella OpenDNS云端防火墻可以切斷其回連操作，阻斷惡意流量的傳播，讓黑客無(wú)法遙控木馬。當(dāng)用戶和應(yīng)用已經(jīng)離開(kāi)了邊界，Umbrella OpenDNS能夠提供對(duì)所有設(shè)備上的互聯(lián)網(wǎng)活動(dòng)的可視性，用戶甚至可以永久保留監(jiān)控日志。

利用Umbrella OpenDNS云端防火墻的管理界面，用戶可以監(jiān)控網(wǎng)絡(luò)訪問(wèn)信息。Umbrella OpenDNS可以從互聯(lián)網(wǎng)中自動(dòng)學(xué)習(xí)，智能分析數(shù)據(jù)和創(chuàng)建識(shí)別模式，通過(guò)異常檢測(cè)機(jī)制（例如URL和文件信譽(yù)分?jǐn)?shù)等）來(lái)識(shí)別識(shí)別惡意域名和IP地址，自動(dòng)關(guān)聯(lián)數(shù)據(jù)并阻止攻擊行為。Umbrella OpenDNS的優(yōu)點(diǎn)是使用簡(jiǎn)單，沒(méi)有復(fù)雜的硬件安裝和手動(dòng)軟件更新操作，基于瀏覽器界面提供了快速設(shè)置和持續(xù)管理功能。

此外，還可以在思科的網(wǎng)絡(luò)設(shè)備上激活DNS保護(hù)功能，即通過(guò)更改網(wǎng)絡(luò)服務(wù)器，接入點(diǎn)或路由器上的對(duì)應(yīng)設(shè)置，就可以保護(hù)整個(gè)網(wǎng)絡(luò)安全。即在一些思科的新款網(wǎng)絡(luò)設(shè)備（例如ISR 4000系列路由器、ASA防火墻等）上集成了Umbrella OpenDNS功能，打開(kāi)網(wǎng)址“https://d o c s.u m b r e l l a.c o m/product/hardware”，可以查看在不同的網(wǎng)絡(luò)設(shè)備上具體的配置信息。實(shí)際上，即使不安裝輕量級(jí)的Umbrella OpenDNS客戶端，也可以直接在本機(jī)上配置對(duì)應(yīng)的DNS服務(wù)器地址，來(lái)利用Umbrella OpenDNS進(jìn)行保護(hù)。

打開(kāi)網(wǎng)絡(luò)連接屬性窗口，雙 擊“Internet協(xié) 議版本 4(TCP/IP)”項(xiàng)，在打開(kāi)窗口中選擇“使用下面的DNS服務(wù)器地址”項(xiàng)，輸入“208.67.222.222”或 者“208.67.220.220”。 這 樣，就可以實(shí)現(xiàn)最基本的普通DNS安全控制功能。如果使用Umbrella OpenDNS客戶端的話，就可以和云端防火墻實(shí)現(xiàn)加密認(rèn)證的通訊，對(duì)于危險(xiǎn)的流量會(huì)經(jīng)過(guò)云防火墻過(guò)濾，之后才發(fā)送到目的地。打開(kāi)網(wǎng)址“https://signup.umbrella.com”， 執(zhí)行所需的賬號(hào)注冊(cè)操作。打開(kāi) 網(wǎng) 址“https://login.umbrella.com/”，輸入賬號(hào)和密碼，登錄到Umbrella OpenDNS管理界面。在左側(cè)選擇“Overview”項(xiàng)，顯示網(wǎng)絡(luò)活動(dòng)狀態(tài)，訪問(wèn)的域名列表等摘要信息。在左側(cè)選擇“Identities”-“Networks”項(xiàng)，在右側(cè)點(diǎn)擊“+”按鈕，輸入網(wǎng)絡(luò)名稱，其會(huì)自動(dòng)識(shí)別當(dāng)前的IP地址，就可以將該地址注冊(cè)到云端防火墻，

因?yàn)閁mbrella OpenDNS是利用IP來(lái)標(biāo)識(shí)不同的設(shè)備的。這樣的話，當(dāng)客戶端使用該IP訪問(wèn)云端防火墻時(shí)，就可以受到其管控了。在左側(cè)選擇“Identities” →“Roaming Computers”項(xiàng)，在右側(cè)顯示注冊(cè)上來(lái)的客戶端信息。除了使用Umbrella OpenDNS提供的客戶端程序外，還可以利用Cisco AnyConnect進(jìn)行連接。對(duì)于后者來(lái)說(shuō)，在其安裝界面中需要選 擇“Umbrella Roaming Security”項(xiàng)，安 裝 完 畢后，打開(kāi)“C:ProgramDataCiscoCisco AnyConnect Secure Mobility ClientUmbralla” 目 錄，在 其中新建名為“OrgInfo.json”的 文 件，輸 入“{”、“"organizationId" :"2419193",”、“"fingerprint": "53ab9b4941b429116067f 84ddccce25b",”、“"userId": "9785941"”，“}” 行 內(nèi)容。重啟系統(tǒng)后就可以使用AnyConnect進(jìn)行注冊(cè)了。

在默認(rèn)情況下，只存在名為“Default Policy”的 策略，其功能比較有限。在左側(cè)選擇“Policies”→“Policy List”項(xiàng)，在右側(cè)點(diǎn)擊“+”按鈕，創(chuàng)建新的策略。在“What would you like to protct”面板中選擇需要保護(hù)的設(shè)備，包括活動(dòng)目錄中的組、賬戶和計(jì)算機(jī)、網(wǎng)絡(luò)、主機(jī)、站點(diǎn)、網(wǎng)絡(luò)設(shè)備等，例如選擇某些主機(jī)等，在下一步窗口中的“What should this policy do？”面板中選擇需要激活的保護(hù)功能，包括“Enforce Security at this DNS Layer”（保護(hù)DNS安全）、“Inspect Files”（監(jiān)控 文 件）、“Limit Content Access”（限制訪問(wèn)內(nèi)容）、“Apply Destination Lists”（允許胡禁止訪問(wèn)的列表）等。

點(diǎn)擊“ADVANCEDSETTINGS”項(xiàng)，在高級(jí)設(shè)置面板中選擇“Enable Intelligent Proxy”項(xiàng)，激 活 流 量 代理功能，對(duì)于惡意流量進(jìn)行安全管控。選擇“SSL Decryption”項(xiàng)，激 活SSL解密功能。點(diǎn)擊“DOWNLOAD CERTIFICATE”按鈕，下載名為“Cisco_Umbrella_Root_CA.cer”的證書文件。之后打開(kāi)該證書，點(diǎn)擊“安裝證書”按鈕，將其安裝到受信任的根證書辦法機(jī)構(gòu)中。選擇“Enable IP-Layer Enforcement”項(xiàng)，激活對(duì)于IP層面的安全訪問(wèn)控制功能。點(diǎn)擊“Next”按鈕，顯示需要防控的歸類信息（例如惡意軟件、網(wǎng)絡(luò)釣魚等）。

在下一步窗口中的“Limit Content Access”欄中選擇訪問(wèn)內(nèi)容控制的級(jí)別，默認(rèn)為“High”，選擇“Custom”項(xiàng)，可以自定義過(guò)濾范圍。點(diǎn)擊“Next”按鈕，可以添加需要禁止或者放行的網(wǎng)站列表。在下一步窗口中可以設(shè)置阻止界面，包括默認(rèn)的或者自定義的。這樣，當(dāng)攔截到危險(xiǎn)的訪問(wèn)時(shí)，可以顯示該頁(yè)面進(jìn)行提醒。之后輸入策略名稱，點(diǎn)擊“Save”按鈕保存該策略。

這樣，當(dāng)客戶端訪問(wèn)Internet時(shí)，就會(huì)得到云端防火墻的保護(hù)。例如當(dāng)訪問(wèn)的目標(biāo)網(wǎng)站位于禁止列表中，對(duì)其訪問(wèn)時(shí)就會(huì)被攔截并彈出警告頁(yè)面。當(dāng)使用HTTP或者HTTPS等方式下載包含病毒的文件時(shí)，也會(huì)遭到云端防火墻的攔截等。