DNS提供了域名解析功能，如果DNS服務(wù)遭到黑客的攻擊，就會造成用戶大面積無法上網(wǎng)的故障。因此，對DNS服務(wù)進(jìn)行保護(hù)，防范諸如DNS劫持之類的攻擊，對于網(wǎng)絡(luò)安全是極為重要的。

利用思科提供的Umbrella OpenDNS技術(shù)，不僅可以保護(hù)DNS的安全，還可以在DNS的架構(gòu)之上，提供更加高級的安全功能。

Umbrella OpenDNS實質(zhì)上是一個云安全平臺，提供了針對終端和移動設(shè)備的安全解決方案。對于傳統(tǒng)網(wǎng)絡(luò)來說，會使用防火墻提供深度的安全防護(hù)，內(nèi)網(wǎng)的用戶必須通過防火墻才可以訪問外部網(wǎng)絡(luò)。

但是，如果用戶離開防火墻的覆蓋范圍（例如出差在外等），就無法得到防火墻的保護(hù)。按照傳統(tǒng)保護(hù)方法，用戶必須利用VPN連接到內(nèi)網(wǎng)，通過內(nèi)網(wǎng)防火墻保護(hù)訪問行為。

使用Umbrella OpenDNS，可以保證移動用戶不管在任何位置，都可以得到防火墻的安全保護(hù)。當(dāng)然，這里所指的漫游針對的不是手機(jī)等設(shè)備，而是傳統(tǒng)的PC，筆記本電腦等使 用Windows或 者M(jìn)ac OS系統(tǒng)的設(shè)備。Umbrella O p e n D N S 的設(shè)計思想是在云端設(shè)置防火墻，在所有的用戶PC端安裝客戶端工具，客戶端和Umbrella OpenDNS的通訊是加密的。當(dāng)用戶訪問目標(biāo)網(wǎng)站時，客戶端會將對應(yīng)的域名發(fā)送到Umbrella OpenDNS云端防火墻上，如果Umbrella OpenDNS檢測該域名是安全的，則可以對其進(jìn)行解析，允許用戶直接訪問該站點(diǎn)。如果其認(rèn)為該域名絕對是惡意的，就禁止用戶進(jìn)行訪問。

另一方面，如果Umbrella OpenDNS認(rèn)為該域名可能存在問題，就會利用Proxy功能將用戶流量引導(dǎo)到到云端防火墻，通過在云端防火墻配置各種安全功能（例如防病毒、內(nèi)容過濾等），之后才將流量發(fā)送到目標(biāo)站點(diǎn)。

這樣，不管用戶處于什么位置，都可以得到云端防火墻的保護(hù)。Umbrella OpenDNS使用Internet的基礎(chǔ)設(shè)施在鏈接之前阻止惡意目的地，通過從云端提供安全，不僅可以節(jié)省成本，而且可以更有效的安全性。Umbrella OpenDNS基于DNS的分析來阻止或者放行用戶的訪問，甚至可以通過對應(yīng)的設(shè)置，將用戶的所有流量引導(dǎo)到云端防火墻，進(jìn)行全面的管控。

Umbrella OpenDNS實現(xiàn)的是智能的DNS檢測功能，在正常情況下，不會代理所有的用戶流量。只是當(dāng)其判斷用戶訪問的域名存在風(fēng)險時，才會將流量引導(dǎo)過來，進(jìn)行深層次的監(jiān)控和過濾，實際上，即使用戶遭到了黑客攻擊，例如當(dāng)木馬侵入系統(tǒng)，必然會建立后門，和遠(yuǎn)程黑客進(jìn)行連接。Umbrella OpenDNS云端防火墻可以切斷其回連操作，阻斷惡意流量的傳播，讓黑客無法遙控木馬。當(dāng)用戶和應(yīng)用已經(jīng)離開了邊界，Umbrella OpenDNS能夠提供對所有設(shè)備上的互聯(lián)網(wǎng)活動的可視性，用戶甚至可以永久保留監(jiān)控日志。

利用Umbrella OpenDNS云端防火墻的管理界面，用戶可以監(jiān)控網(wǎng)絡(luò)訪問信息。Umbrella OpenDNS可以從互聯(lián)網(wǎng)中自動學(xué)習(xí)，智能分析數(shù)據(jù)和創(chuàng)建識別模式，通過異常檢測機(jī)制（例如URL和文件信譽(yù)分?jǐn)?shù)等）來識別識別惡意域名和IP地址，自動關(guān)聯(lián)數(shù)據(jù)并阻止攻擊行為。Umbrella OpenDNS的優(yōu)點(diǎn)是使用簡單，沒有復(fù)雜的硬件安裝和手動軟件更新操作，基于瀏覽器界面提供了快速設(shè)置和持續(xù)管理功能。

此外，還可以在思科的網(wǎng)絡(luò)設(shè)備上激活DNS保護(hù)功能，即通過更改網(wǎng)絡(luò)服務(wù)器，接入點(diǎn)或路由器上的對應(yīng)設(shè)置，就可以保護(hù)整個網(wǎng)絡(luò)安全。即在一些思科的新款網(wǎng)絡(luò)設(shè)備（例如ISR 4000系列路由器、ASA防火墻等）上集成了Umbrella OpenDNS功能，打開網(wǎng)址“https://d o c s.u m b r e l l a.c o m/product/hardware”，可以查看在不同的網(wǎng)絡(luò)設(shè)備上具體的配置信息。實際上，即使不安裝輕量級的Umbrella OpenDNS客戶端，也可以直接在本機(jī)上配置對應(yīng)的DNS服務(wù)器地址，來利用Umbrella OpenDNS進(jìn)行保護(hù)。

打開網(wǎng)絡(luò)連接屬性窗口，雙 擊“Internet協(xié) 議版本 4(TCP/IP)”項，在打開窗口中選擇“使用下面的DNS服務(wù)器地址”項，輸入“208.67.222.222”或 者“208.67.220.220”。 這 樣，就可以實現(xiàn)最基本的普通DNS安全控制功能。如果使用Umbrella OpenDNS客戶端的話，就可以和云端防火墻實現(xiàn)加密認(rèn)證的通訊，對于危險的流量會經(jīng)過云防火墻過濾，之后才發(fā)送到目的地。打開網(wǎng)址“https://signup.umbrella.com”， 執(zhí)行所需的賬號注冊操作。打開 網(wǎng) 址“https://login.umbrella.com/”，輸入賬號和密碼，登錄到Umbrella OpenDNS管理界面。在左側(cè)選擇“Overview”項，顯示網(wǎng)絡(luò)活動狀態(tài)，訪問的域名列表等摘要信息。在左側(cè)選擇“Identities”-“Networks”項，在右側(cè)點(diǎn)擊“+”按鈕，輸入網(wǎng)絡(luò)名稱，其會自動識別當(dāng)前的IP地址，就可以將該地址注冊到云端防火墻，

因為Umbrella OpenDNS是利用IP來標(biāo)識不同的設(shè)備的。這樣的話，當(dāng)客戶端使用該IP訪問云端防火墻時，就可以受到其管控了。在左側(cè)選擇“Identities” →“Roaming Computers”項，在右側(cè)顯示注冊上來的客戶端信息。除了使用Umbrella OpenDNS提供的客戶端程序外，還可以利用Cisco AnyConnect進(jìn)行連接。對于后者來說，在其安裝界面中需要選 擇“Umbrella Roaming Security”項，安 裝 完 畢后，打開“C:ProgramDataCiscoCisco AnyConnect Secure Mobility ClientUmbralla” 目 錄，在 其中新建名為“OrgInfo.json”的 文 件，輸 入“{”、“"organizationId" :"2419193",”、“"fingerprint": "53ab9b4941b429116067f 84ddccce25b",”、“"userId": "9785941"”，“}” 行 內(nèi)容。重啟系統(tǒng)后就可以使用AnyConnect進(jìn)行注冊了。

在默認(rèn)情況下，只存在名為“Default Policy”的 策略，其功能比較有限。在左側(cè)選擇“Policies”→“Policy List”項，在右側(cè)點(diǎn)擊“+”按鈕，創(chuàng)建新的策略。在“What would you like to protct”面板中選擇需要保護(hù)的設(shè)備，包括活動目錄中的組、賬戶和計算機(jī)、網(wǎng)絡(luò)、主機(jī)、站點(diǎn)、網(wǎng)絡(luò)設(shè)備等，例如選擇某些主機(jī)等，在下一步窗口中的“What should this policy do？”面板中選擇需要激活的保護(hù)功能，包括“Enforce Security at this DNS Layer”（保護(hù)DNS安全）、“Inspect Files”（監(jiān)控 文 件）、“Limit Content Access”（限制訪問內(nèi)容）、“Apply Destination Lists”（允許胡禁止訪問的列表）等。

點(diǎn)擊“ADVANCEDSETTINGS”項，在高級設(shè)置面板中選擇“Enable Intelligent Proxy”項，激 活 流 量 代理功能，對于惡意流量進(jìn)行安全管控。選擇“SSL Decryption”項，激 活SSL解密功能。點(diǎn)擊“DOWNLOAD CERTIFICATE”按鈕，下載名為“Cisco_Umbrella_Root_CA.cer”的證書文件。之后打開該證書，點(diǎn)擊“安裝證書”按鈕，將其安裝到受信任的根證書辦法機(jī)構(gòu)中。選擇“Enable IP-Layer Enforcement”項，激活對于IP層面的安全訪問控制功能。點(diǎn)擊“Next”按鈕，顯示需要防控的歸類信息（例如惡意軟件、網(wǎng)絡(luò)釣魚等）。

在下一步窗口中的“Limit Content Access”欄中選擇訪問內(nèi)容控制的級別，默認(rèn)為“High”，選擇“Custom”項，可以自定義過濾范圍。點(diǎn)擊“Next”按鈕，可以添加需要禁止或者放行的網(wǎng)站列表。在下一步窗口中可以設(shè)置阻止界面，包括默認(rèn)的或者自定義的。這樣，當(dāng)攔截到危險的訪問時，可以顯示該頁面進(jìn)行提醒。之后輸入策略名稱，點(diǎn)擊“Save”按鈕保存該策略。

這樣，當(dāng)客戶端訪問Internet時，就會得到云端防火墻的保護(hù)。例如當(dāng)訪問的目標(biāo)網(wǎng)站位于禁止列表中，對其訪問時就會被攔截并彈出警告頁面。當(dāng)使用HTTP或者HTTPS等方式下載包含病毒的文件時，也會遭到云端防火墻的攔截等。