前言

虚竹哥有个朋友小五，他是在安全厂家公司工作。小五的大学系主任找他，咨询有没有比较优秀的网络通信安全防护的软件，需要对学校的网络进行安全防护。

主要有这么几个痛点：

• 传统本地化产品难以及时更新情报库，应对新型攻击。

近年来，黑客和黑产团伙攻击手 段呈现多样化实战化，除传统僵木蠕外，各类新型、复杂甚至未知威胁高发，包括远控木马、 后门程序、勒索病毒、挖矿木马等。此外，APT 组织通过外部渗透和社工手段，持续对高校科研成果窃取，且此高校网络出口无限制，部署的传统防火墙、上网行为管理产品防护单一， 极易感染勒索病毒造成大规模传播。

• 师生上网人数众多，学生上网行为难管控。

学生安全意识和防护水平各不相同，经常混用 U 盘、打开钓鱼邮件、点击恶意链接、浏览风险网站、安装不可信程序等。该高校多个校区，客户师生上万人，每人 1-2 个终端，学校难以统一规范管理学生上网行为，更没有师生私有终端设备的管理权限。

• 安全人员有限，难以应对大量告警和各类新型威胁。

学校 IT 部门只有 3~4人，难以应对每天数百次的各类攻击，以及各类新型威胁，IT 部门负责人和安全人员对校园网络安全现状、 运维处置非常担忧，希望通过有效的手段进行全面安全防护。

小五向系主任推荐了：一个办公网安全防护方案：北京微步在线的 OneDNS 产品。

小五会推荐的一个主要原因是，作为一个OneDNS公益版的老用户，第一时间知道OneDNS公益版终于官宣永久免费了，终于可以安心地把这个好用的办公网优化工具介绍给朋友们。

大家跟虚竹哥往下了解。

DNS安全风险

DNS 是什么

DNS：域名系统(DomainNameSystem)的缩写，因特网的一项核心服务，相当于互联网的GPS。

可以看成一个巨大的通讯录，主机访问域名时，把网址解析为对应IP地址给出终端。

DNS是网络威胁流通的主管道

常见的针对递归DNS的攻击有：Dos&DDos、缓存投毒、服务器劫持、 DNS劫持、DNS欺骗、DNS重绑定等；

常见的利用递归DNS的攻击有：C&C域名、恶意DGA域名、恶意软件、 钓鱼网址、色情网址、黑产广告网址等。

传统的DNS只提供解析服务，但我们并不知道解析性能怎么样，出了问题也很难发现，同时还有DNS流量劫持等风险。

OneDNS公益版

第一，好用；第二，免费！哈哈哈，白嫖的不香嘛。

解决问题

OneDNS还能解决高校/企业办公网络中经常会遇到的一些问题：

• 总有学生/员工的电脑上被安装上一些莫名其妙的应用程序，拖慢电脑速度，影响办公效率；

• 电脑桌面上总是会不定时出现一些广告弹窗，让人烦不胜烦；

• 还有人总是在上班时间打开公司明令禁止访问的网站，比如网页游戏、赌博网站等；

• 学校/公司服务器半夜总是莫名重启，怀疑被“恶意挖矿”，但又找不到具体被感染的文件。

如果有更高的办公网络安全需求，比如要阻止“恶意挖矿”、防勒索软件、防木马病毒等，则可选择微步在线OneDNS企业版。

OneDNS是什么

OneDNS 简单地说就是互联网安全接入服务，是具备安全防护能力的 DNS 递归解析服务。

OneDNS节点分布

全国部署 80+ 加速节点， 覆盖 20+ 个地域 每个地域覆盖 3 大运营商和部分二级运营商，包含教育网接入， 解析性能高达 100万次/秒

OneDNS防护原理

OneDNS拿到请求域名，与云端情报库实时碰撞，安全域名稳定高效解析，返回解析IP给用户进行访问；

检测到恶意域名不做解析，直接拦截，返回拦截页面，实现安全防护。

图会比较直观，基本原理如图所示：

OneDNS核心能力

1、办公终端的高级威胁防护

高级威胁全面防护，自动拦截实时阻断 微步在线威胁情报云，准确率高达99.9%。

2、安全响应闭环能力

OneDNS防护实现检测、拦截、定位、取证闭环。

更详细的能力介绍，大家可自行去官网深入了解。OneDNS

解决方案

针对文章开头的几个痛点，给出了结合OneDNS 参考的解决方案建议：

痛点：传统本地化产品难以及时更新情报库，应对新型攻击。

建议解决方案：将高校网络出口 DNS 指向 OneDNS，OneDNS 检测终端访问互联网的 DNS，准确识别恶意软件、钓鱼、勒索病毒、APT 攻击、挖矿木马、非法站点等新型攻击的网络通信，精准告警 零误报，自动拦截减少运维处置工作。

使用效果：

OneDNS 每天为该高校识别数十种威胁事件，包括 APT、僵尸网络、木马、钓鱼网站、 恶意软件、矿池等，准确率 99.9%的高精准告警，减少大量误报，安全管控更高效，高校安 全应急响应速度提高至 90%以上。

痛点：师生上网人数众多，学生上网行为难管控；安全人员有限，难以应对大量告警和各类新型威胁。

建议解决方案：

将高校网络出口 DNS 指向 OneDNS，轻松实现师生大量终端的统一接入，全面威胁高精准识别，自动告警拦截，无需投入很多安全人员，即可统一对校园网络接入互联网做安全防护。

使用效果：

OneDNS 每天为该高校校园终端提供千万次域名解析，为在校师生引入了高效稳定的 DNS 服务，优化上网体验的同时，实现对 上千 余次恶意请求进行拦截。

每天精准识别数千次各类威胁攻击，并实现自动拦截，控制台统一可视化管理。

总结

OneDNS还是很适合大学的，学校教职工和学生很多，人员复杂很担心有重大的安全问题，同时流量很大导致我们很难用一些复杂的流量管理或者安全产品，但是OneDNS产品使用简单，对网络没影响，只需要简单配署一下，就能用上了，每天都能看到有很多的安全事件。

OneDNS这么一个轻量、安全的DNS防护，可以助力高校的网络安全。同时结合高校的实际场景，对痛点能很好地解决，与威胁情报相结合，相当于给DNS服务插上翅膀，站在更高的视角俯视威胁，帮助我们及时规避和响应安全风险。

有兴趣可以体验下免费的公益版本：

让企业/高校办公安全轻装上阵