Pek çok kurum, HTTP yük dengeleme stratejisini yıllar boyu titizlikle ayarlar, web trafiği için derin WAAP koruması inşa eder — ama DNS altyapısını sabit IP'li tek bir özyinelemeli sunucu olarak bırakır. Bu tek sunucu, hem performans darboğazı hem de yüksek değerli bir saldırı hedefi hâline gelir.
Performans tarafında, yavaş bir DNS katmanı her kullanıcıya bakan işleme gecikme ekler. Doğru yük dengeleme yoksa, doygunluğa ulaşan bir özyinelemeli sunucu kendisinden sonraki tüm aramaları geciktirir; geleneksel anycast tabanlı DNS kümeleri ise on-prem kontrol gerektiren özel veri merkezlerinde yönetimi zor bir yaklaşımdır.
Güvenlik tarafında, saldırganlar DNS'in nadiren denetlendiğini bilir. DNS tünelleme araçları zararsız görünen TXT kayıtları üzerinden gigabaytlarca veri sızdırır; DGA destekli zararlı yazılım komuta-kontrol için binlerce rastgele üretilmiş alan adına ulaşmaya çalışır; DNS amplifikasyon kampanyaları açık özyinelemeli sunucuları yansıma vektörü olarak kötüye kullanır; misafir ağındaki istemciler diledikleri DNS sunucusunu sorgular ve kurumun kurduğu diğer tüm güvenlik kontrollerini bypass eder.
TR7 DNS Güvenlik Duvarı ve Yük Dengeleyici, DNS'i HTTP servislerinin zaten gördüğü yük dengeleme, sağlık yönetimi, önbellekleme ve güvenlik politikası uygulamasını hak eden birinci sınıf bir uygulama protokolü olarak ele alır.
TR7 DNS'i birinci sınıf bir uygulama protokolü olarak ele alır: sorgular, ADC tarafından tam yük dengeleme ve sağlık-bilinçli iletim alır; aynı zamanda WAAP politika motorundan geçer — aynı ağ geçidini terk etmeden.
Round-robin, en-az-bekleyen, tutarlı hash, ağırlıklı rastgele ve ağırlıklı hash gibi birden fazla algoritma, DNS sorgularını özyinelemeli veya yetkili kurum servisi havuzlarına dağıtır. Her algoritma iş yüküne göre seçilir: simetrik havuzlar için round-robin, değişken yanıt sürelerinde en-az-bekleyen, önbellek-yakınlık senaryolarında tutarlı hash.
Yapılandırılabilir sağlık denetimleri kurum servislerini sürekli denetler — UDP sorgu denetimleri, TCP sorgu denetimleri, özel ad çözümleme denetimleri. Sağlıksız sunucular saniyeler içinde rotasyondan çıkarılır; iyileşen sunucular otomatik olarak geri alınır. TR7'nin HTTP havuzları için kullandığı sağlık modeli aynen DNS havuzlarına uygulanır.
Sorgu adı, sorgu tipi, kaynak IP, EDNS seçenekleri, regex ifadeleri ve bunların kombinasyonları üzerinde kural eşleştirme. Aksiyonlar arasında engelleme, sessizce düşürme, REFUSED yanıt, TCP'ye düşürme, kontrollü cevap döndürme (sinkhole), farklı bir havuza yönlendirme ve etiketleme bulunur. Politika, sorgu herhangi bir kurum servisine ulaşmadan önce değerlendirilir.
Hız limitleri kaynak IP, sorgu adı, sorgu tipi ya da birleşik boyutlar bazında uygulanabilir. Dinamik engellemeler, trafik desenleri operatör tanımlı eşikleri aştığında otomatik olarak devreye girer; tek bir kaynaktan ağ geçidini NXDOMAIN sorgularıyla bombardıman eden bir akış, operatör müdahalesi olmadan kısıtlanır veya geçici olarak engellenir.
TR7 DNS Güvenlik Duvarı ve Yük Dengeleyici, TR7'nin tüm trafik yönetim felsefesini — yük dengeleme, sağlık denetimi, önbellekleme, politika ve gözlemlenebilirlik — DNS protokolüne taşır.
Tek tip havuzlar için round-robin, değişken yanıt süresine sahip kurum servisleri için en-az-bekleyen, aynı sorgunun aynı kurum servisine ulaşması gereken önbellek-yakınlık senaryoları için tutarlı hash ve ağırlıklı hash, kademeli trafik geçişleri için ağırlıklı rastgele. Her vService kendi algoritmasını seçer; algoritmalar restart olmadan canlı değiştirilebilir.
İç kurumsal alan adları bir havuz üzerinden, kamuya açık alan adları başka bir havuz üzerinden, iş ortağı bölgeleri üçüncü bir havuz üzerinden çözümlenebilir. Havuz başına yönlendirme kuralları sorguları QName desenlerine, kaynak IP aralıklarına veya eşleşen politika etiketlerine göre yönlendirir. Aynı ağ geçidi farklı DNS mimarilerini temiz şekilde hizmetlendirir.
TCP ve UDP DNS sorgu probları, özel ad çözümleme probları ve zamanlama temelli yanıt denetimleri kurum servisi sağlığını sürekli doğrular. Eşik parametreleri kaç başarısız denetimin kaldırma tetikleyeceğini ve kaç başarılı denetimin geri eklemeyi sağlayacağını tanımlar. Yanıt veren ama yavaş kalan kurum servisleri bile devreden çıkarılabilir — kullanıcıya yansıyan gecikme engellenir.
Sık sorgulanan kayıtlar ağ geçidinde TTL-farkında geçersizleştirmeyle önbelleklenir. Önbellek DNSSEC'i tanır ve hassas bölgeler için seçici olarak atlanabilir. Önbellek hit oranı gerçek zamanlı metriklerde sunulur — operatörler ağ geçidinin tam olarak ne kadar yükü emdiğini görür.
Güvenlik duvarı kuralları sorgu adı (kesin, sonek, regex), sorgu tipi (A, AAAA, TXT, MX, ANY vb.), kaynak IP, EDNS Client Subnet, EDNS seçenekleri ve istek bayraklarının herhangi bir kombinasyonu üzerinde eşleşir. Koşullar AND/OR mantığıyla birleştirilebilir. Kurallar operatör tanımlı sıraya göre açık izin/red anlamlarıyla değerlendirilir.
Engelle kontrollü bir hata döndürür; sessizce düşürme sessizce atar; reddet REFUSED döndürür; kes TCP'ye geri düşürme zorlar (amplifikasyona karşı faydalı); sahte yanıt kontrollü bir cevap döner (NXDOMAIN ile engelle, sinkhole'a yönlendir, güvenli alternatif sun); yönlendir sorguyu farklı havuza gönderir. Etiket aksiyonları sorguları yanıtı değiştirmeden alt akış denetimi için işaretler.
Örüntü tabanlı ve istatistiksel tespit, algoritmik olarak üretilmiş alan adlarına (DGA zararlı yazılım C2'si) ve DNS-temelli veri sızdırmaya özgü olağandışı TXT/CNAME yüklerini tanır. Tespit edilen sorgular politikaya bağlı olarak engellenir, sinkhole'lanır veya analist incelemesi için sadece kaydedilir.
DNS amplifikasyon saldırıları açık özyinelemeli sunucuları hedefleri yansıyan trafikle taşırmak için kötüye kullanır. TR7, ANY sorgularını, büyük yanıt desenlerini ve kaynak sahteciliği göstergelerini tespit eder; herhangi bir yansıma kabloya çıkmadan önce yanıt hız sınırlama ve kaynak doğrulama aksiyonlarını uygular. Ağ geçidi asla amplifikasyon vektörü olmaz.
Sorgular kaynak ülke, ASN, IP aralığı veya zaman penceresine göre değerlendirilebilir. Engelleme listesi, izin listesi ve koşullu aksiyon politikaları, TR7 WAAP'ta HTTP katmanına nasıl uygulanıyorsa DNS katmanına da aynı politika düzenleyici ve aynı uygulama modeliyle aynen uygulanır.
DNS over TLS (DoT, RFC 7858), DNS over HTTPS (DoH, RFC 8484) ve DNS over QUIC (DoQ, RFC 9250) ağ geçidinde sonlandırılır. Sertifika yönetimi HTTP servislerinin kullandığı aynı TR7 sertifika deposunu kullanır. Modern stub çözümleyiciler ve tarayıcı tarafı DoH istemcileri yerel olarak bağlanır.
Alt akış çözümleyiciler tarafından geçirilen ECS bilgisi onurlandırılabilir, geçersiz kılınabilir, gizliliği koruyan bir prefiks değerine maskelenebilir veya tamamen çıkarılabilir. Davranış politika başına yönetilir — bazı akışlar için gizlilik uyumu, bazıları için coğrafi doğruluk korunabilir.
Her sorgu, karar ve aksiyon SIEM uyumlu biçimle yapılandırılmış log akışına yazılır. Gerçek zamanlı metrikler sorgu hızını, yanıt süresini, önbellek hit oranını, kurum servisi sağlığını ve kural eşleşme sayılarını sunar. Operatörler DNS trafiğini TR7'nin HTTP için verdiği gözlemlenebilirlik derinliğiyle görür.
DNS Güvenlik Duvarı ve Yük Dengeleyici, kural sıralaması, havuz topolojisi, önbellek ayarı, taşıma protokolü seçimi ve denetim saklama politikalarıyla birlikte işletilir.
Güvenlik duvarı kuralları varsayılan olarak ilk-eşleşen-kazanır mantığıyla yukarıdan aşağıya değerlendirilir. Kural-başına etiketler alt akış kurallarının daha önceki eşleşmelere göre farklı davranmasını sağlar. Zincirin tepesindeki açık izin kuralları, jenerik engelleme kuralları uygulanmadan önce bilinen-iyi trafiği sabitler — üretimde yanlış pozitifler ortadan kalkar.
Kurum servisi havuzları amaçlarına göre gruplanır: kurum içi, kamuya açık özyineleme, iş ortağı bölgeleri, sinkhole havuzu. Havuz-başına yönlendirme kuralları sorguları QName, kaynak IP veya eşleşmiş etiketlere göre yönlendirir. Havuz failover eşikleri tek bir sağlıksız kurum servisinin tüm trafiği emmesini engeller.
Önbellek boyutu, TTL davranışı, ECS-farkında önbellekleme ve hassas bölgeler için seçici atlama operatör kontrolündedir. Negatif yanıt önbellekleme (NXDOMAIN, NODATA) DGA-bulaşmış ağlarda tipik olan yüksek NX oranlı iş yüklerinde kurum servisi yükünü azaltır.
Düz UDP/TCP DNS, DoT, DoH ve DoQ her vService dinleyicisi için ayrı ayrı etkinleştirilebilir. Modern istemciler tercih ettikleri taşımayı müzakere eder; eski istemciler UDP'ye geri düşer. Sertifika ve şifre politikası merkezi TR7 TLS profil havuzu ile hizalanır.
Sorgu-başına denetim kayıtları uyum süresince saklanabilir; yüksek hacimli ortamlarda örnekleme uygulanabilir. Yapılandırılmış JSON logları SIEM'e doğrudan akar. Operatörler havuz başına tam saklama, örneklenmiş saklama ve olay-bazlı saklama arasından seçim yapar.
DNS oturumları protokol düzeyinde durumsuzdur; aktif düğümler arasındaki failover çoğu sorgu için şeffaftır. TCP DNS oturumları ve uzun DoH bağlantıları kesintiyi azaltmak için HA çifti arasında koordine edilir. Sağlık denetim durumu ve önbellek durumu düğüm başına bağımsız yönetilir.
İç ağa hizmet veren kurumsal çözümleyiciler hız sınırlama, sorgu filtreleme, denetim loglaması ve yüksek erişilebilirlik kazanır. Uç noktalar artık keyfi dış çözümleyicileri sorgulayamaz; DGA-bulaşmış ana bilgisayarlar ağ geçidinde tespit edilip engellenir.
Kamuya açık DNS servisleri işleten kurumlar — internet servis sağlayıcıları, barındırma sağlayıcıları, kamu portalları — amplifikasyon saldırılarını ağ geçidinde sonlandırır. Hız sınırlama, kaynak doğrulama ve yanıt-deseni denetimleri çözümleyiciyi yansıma vektörü olarak kötüye kullanılmaktan korur.
Sağlık, finans ve kamu ağları TXT-kayıt-temelli sızdırma ve tünelleme tekniklerine karşı tespit katmanı ekler. Şüpheli akışlar sinkhole'lanır veya analist incelemesi için tam oturum bağlamıyla kaydedilir.
TR7 GTM çoklu-bölge uygulamaları için yetkili DNS hizmet verdiğinde, DNS Güvenlik Duvarı ve Yük Dengeleyici GTM'in önünde hız sınırlama, önbellekleme ve güvenlik duvarı katmanı olarak konumlanır. GTM yönlendirme zekâsına odaklanır; ağ geçidi düşmanca trafiği emer.
Akıllı yük dengeleme, aktif sağlık denetimi, modern taşımalar ve tam bir güvenlik duvarı kural motoru — hepsi tek ağ geçidinde. Canlı bir kurulumla DNS altyapınız üzerinde gösterelim.