通过DNS实现内网应用外访的自动化开通

　　随着互联业务的发展，金融内越来越多的应用系统存在访问互联应用服务的需求。但在内隔离的络架构下，如何在保证安全的同时，还能满足业务部门的需求，成为络部门一个待解决的问题，特别是访问互联应用的需求越来越多时，这个问题的解决变得更加迫切。

　　手动配置的方式并不可取

　　通常情况下，络部门会要求业务部门自己互联应用服务的IP地址，然后在防火墙为此IP手动配置白名单策略，这种方式在业务需求量较少时是可行的，但随着开通数量越来越多时，逐个手动开通策略以及维护会大幅增加运维人员的投入。

　　利用DNS服务解析互联应用服务地址是通用方式。可以在防火墙与应用系统上配置相同的DNS服务器地址，通过DNS对相同域名解析同一个地址，结合防火墙自动生成白名单机制，实现内应用访问互联应用的自动开通流程。

　　但在实际使用过程中，由于DNS的一些解析机制问题，DNS防火墙开通策略的IP地址与内应用访问的目的地址不尽相同，导致业务访问无法自动开通。

　　详解如何实现自动化开通

　　对于上述问题，可以通过安全DNS服务器与防火墙配合，实现一种自动化开通流程。以内分离的络架构。

　　ZDNS研发的Safeguard安全威胁管控系统了一个系统解决DNS安全难题的方案，通过DNS协议深度防护和威胁情报检测技术，扼住络通信的咽喉要道，保护合规业务正常通信，阻断络攻击外联，成为保障络应用安全访问的门神。

　　和专线都WAN连接。当被实现为全状络时，专线在两点之间建立连接。

　　代表多协议标签交换。它是一种数据传输机制。在络中为数据包分配标签。取代检查数据包本身，仅基于此标签的内容即可做出数据包转发决策。在数据包的每个点上都会贴上一个新标签，以告知路由器对数据包进行处理，直到到达目的地为止。通过使用任何协议，它允许跨所有类型的传输介质创建端到端电路。这是一个复杂的功能框架。通过使用这种机制，消除了对特定数据链路层技术(例如同步光络，帧中继和异步传输模式)的依赖。还消除了需要多个第二层络来满足不同类型的流量的需求。

　　是分组交换络的成员。由于在OSI模型上的操作，因此通常被称为2.5层协议。它旨在为数据包交换和基于电路的客户端统一的数据承载服务。它用于多种流量，例如以太帧，SONET，本机ATM或IP数据包。分配了ATM的信令协议和信元交换包。它还认识到，现代络的核心不再需要ATM信元，因为现代络是如此之快，以至于全长分组(1500字节)也不会引起实时排队延迟。使用的主要好处是，它通过降低复杂程度，流量调节和络可扩展性来简化数据包转发。

　　客户和者之间的服务合同被称为专线。服务商同意一条连接不同位置的对称电信线路，消费者同意每月支付租金。与传统的PSTN线路不同，它没有电话号码。线路的每一侧相互连接。租用的线路可以用于数据，Internet或电话。一些连接两个PBX，而另一些则关闭服务。

　　租用线路通常由企业用来连接其遥远的办公室。与拨号连接不同，它们始终处于活动状态。租用线路每年更新一次。它可以承载语音，数据或两者。租用线路的主要好处是它们是私有的，因此安全级别以及速度，可靠性和弹性都更高。