[发明专利]协同DNS安全性更新

说明书

系统和方法对于在软件定义广域网(SD‑WAN)下操作的企业网络提供了协同域名系统DNS安全性更新。一种系统可被配置为收集肯定和/或否定的统一威胁防御(UTD)结果，部署基于规则的模型，当在若干个SD‑WAN边缘网络设备上检测到威胁或排除时，该模型触发对本地安全性黑名单/白名单的更新，其中该更新包括签名，并且将该更新推送到尚未看到该威胁或排除的其他设备。

相关申请的交叉引用

本申请要求2019年9月11日提交的标题为“SYNERGISTIC DNS SECURITY UPDATE”的美国非临时专利申请第16/567,435号的权益和优先权，该美国申请要求2018年11月30日提交的标题为“SYNERGISTIC DNS SECURITY UPDATE”的美国临时专利申请第62/774,102号的权益，这些申请的内容通过引用被全部并入在此。

技术领域

本发明的实施例概括而言涉及基于经由边缘网络设备上的本地安全性策略进行的威胁检测来提供网络中的协同域名系统(Domain Name System，DNS)安全性更新的系统和方法。

背景技术

企业网络环境正在不断演变。对移动和物联网(Internet of Things，IoT)设备流量、软件即服务(Software as a Service，SaaS)应用和云的采用有更大的需求。此外，安全性需求在增加，并且某些应用可要求优先考虑和优化才能正常操作。随着这种复杂性的增长，在提供高可用性和规模的同时，也在推动降低成本和运营花费。

在这个演变的环境下，传统的WAN体系结构正面临着重大挑战。传统的WAN体系结构通常由多个多协议标签交换(Multi-Protocol Label Switching，MPLS)传输组成，或者由MPLS与以活跃/后备方式使用的互联网或长期演进(Long-Term Evolution，LTE)链路配对组成，最常见的是互联网或SaaS流量被回传到中央数据中心或区域枢纽，用于互联网接入。这些体系结构的问题可包括不足的带宽、高带宽成本、应用停机、不良的SaaS性能、复杂的操作、云连通性的复杂工作流程、较长的部署时间和策略变化、有限的应用可视性以及保障网络安全的困难。

近年来，软件定义广域网(software-defined wide-area network，SD-WAN)解决方案已被开发来解决这些挑战。SD-WAN是软件定义联网(software-defined networking，SDN)这一更广泛技术的一部分。SDN是一种集中式网络管理方案，其可将底层的网络基础设施从其应用中抽象出来。数据平面转发和控制平面的这个解耦可允许网络运营者集中网络的智能并且提供更多的网络自动化、操作简化和集中的配设、监视和故障排查。SD-WAN可将SDN的这些原则应用到WAN。

为了保障SD-WAN的安全，可以使用云交付的安全互联网网关来提供针对互联网上的威胁的第一道防线。云交付的安全互联网网关可包括域名系统(DNS)安全性平台，这是一个层次化的分散命名系统，用于连接到互联网或私有网络的计算机、服务或其他资源。DNS将各种信息与指派给每个参与实体的域名关联起来。最突出的是，它将更容易记忆的域名转化为利用底层网络协议定位和识别计算机服务和设备所需要的数值IP地址。

DNS安全性平台，如Cisco Umbrella，可以对网络上所有设备的互联网活动给出完整的可见性，并且在威胁到达网络之前将其阻止。DNS安全性平台可以阻止网络钓鱼、恶意软件感染，并且在建立连接之前主动阻止对恶意目的地的请求。更具体而言，DNS通过为每个域指定权威的名称服务器，来委托指派域名和将这些名称映射到互联网资源的责任。网络管理员可将其分配的名称空间的子域的权力委托给其他名称服务器。这种机制提供了分布式和容错的服务，并且是为了避免单一的大型中央数据库而设计的。