1983 年之前，要在后来成为互联网的新兴网络和计算机集合上查找资源意味着必须知道IP 地址或引用手动维护的主机文件。

DNS 或域名系统的创建是为了提供一种更好的方式，让用户可以键入友好的主机名而不是IP。 DNS 不仅满足了这一需求，而且扩展性非常好—— 现在支持超过3.3 亿个域。解决方案可能很天才，最初的设计并不完美，隐私和安全留给后续修改。 38 年后的今天，它需要发展。

当考虑DNS 提供的功能时，隐私缺陷就变得非常明显。如果任何人查看他们的DNS 请求，就会出现一个故事：早上起床时；他们访问了哪些网站；他们在工作中使用的协作工具；甚至他们设置了哪些物联网设备。

在消费者和企业日益增长的隐私担忧引发的变革中，DNS 已转向HTTPS 来为其提供急需的隐私改造。 DNS over HTTPS (DoH) 就是这样：通过HTTPS 封装DNS。 DoH 提供了令人难以置信的潜力，可以像所有其他HTTPS 流量一样可靠地加密DNS。

然而，隐私往往是以安全为代价的，而卫生部也带来了潜在的后果。组织必须做好准备，既要利用优势，又要避免可能的陷阱。

了解DoH 的优点和缺点

在我们深入研究卫生部提出的问题之前，让我们首先了解该协议的优点。它以用户在浏览互联网时已经信任的方式（例如连接到银行网站或完成在线交易）提供DNS——。它验证服务器是否是被请求的服务器并安全通信，以便流量不会被拦截或损坏。此外，DoH 利用端口443，使DNS 解析安全可靠。

今年早些时候，国家安全局(NSA) 认识到人们对安全保护DNS 的兴趣日益增长以及控制DNS 的潜在困难，发布了安全采用加密DNS 的建议。 DoH 很难控制，因为IT 团队或管理员不能再仅仅检查DNS 流量或关闭不受欢迎服务器的53 端口。

DoH 现在允许通过端口443 进行私有DNS 解析。这意味着DNS 解析不仅仅是操作系统的权限，因为应用程序现在可以在互联网可用时独立且直接地获取解析。这对用户来说似乎是一场胜利，但有关威胁的重要信息以及通过过滤添加保护的能力却丢失了。

此外，当应用程序发出自己的恶意DNS 请求时，IT 团队不仅会失去可见性，而且还会失去控制，因为系统上的DNS 配置没有得到尊重。这可能会导致DNS解析不正确，导致内网查找失败。它甚至可能是一种数据泄露机制—— 这一切都归功于这种新的加密方法。

保持对DNS 的控制

NSA 建议所有DNS 流量仅发送到指定的解析器，并且应禁用或阻止所有其他解析器。这听起来可能很简单，但挑战在于遵守此建议，因为DNS 流量现在通过与HTTPS 相同的端口进行加密。由于端口443 流量占Internet 交互的大部分，因此不能简单地对其进行阻止，因此必须采取其他措施来满足NSA 的建议。

一种选择是部署可以检查HTTPS 流量的防火墙。不幸的是，这通常很昂贵并且需要强大的设备，因为防火墙通过将自身插入到流量中、解密然后重新加密来实现这一点。此外，许多网站对此行为犹豫不决，因此运行不顺畅。此外，此选项仅保护防火墙后面的设备，考虑到我们当今生活的混合环境，其效果有限。

VPN 怎么样？它们有可能在远程时有效地将用户拉到防火墙后面。然而，VPN 也会增加复杂性和成本，并且会损害性能。尽管鼓励许多连接到公司网络的远程工作人员使用VPN，但用户对VPN 的使用情况并不一致。公司正在积极放弃VPN，因为他们所需的许多资源现在都可以在云中获得。

另一种可能性是控制对DoH 提供商的访问。如果我们能够识别并停止DoH 连接，应用程序将被迫使用本地系统进行DNS 解析。面临的挑战是拥有及时的上下文智能，同时能够将其应用到任何网络上的任何系统。

将卫生部与安全相结合

我们需要一种方法来利用卫生部的好处，同时避免陷阱。正确的解决方案使用DoH 提供的加密和稳定性，同时确保唯一定义的DNS 解析器可用。完成此操作时必须不丢失请求的可见性，无论是将请求回显给SIEM 还是记录请求以进行报告。

寻找解决方案

幸运的是，DoH 已经存在了一段时间，并且有一些工具可以提供帮助。目前，利用DoH 的应用程序数量仍然很少，大部分都集中在Mozilla Firefox 和Google Chrome 等浏览器上。随着其他应用程序开始看到好处以及更多DoH 提供商的出现，这种情况正在发生变化。

鉴于DoH 的承诺，组织将需要投资DNS 解决方案，以简化DoH 的管理方式，同时提供所需的可见性和情报，否则这些解决方案将会丢失。

我们专注高端建站，小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验，每一个项目承诺做到满意为止，多一次对比，一定让您多一份收获！