域名安全
域名是网站的核心资产,域名安全直接关系到网站的可用性和品牌声誉。本章介绍 Cloudflare 提供的域名安全功能和最佳实践。
域名安全威胁
常见威胁类型
| 威胁类型 | 说明 | 后果 |
|---|---|---|
| 域名劫持 | 攻击者获取域名控制权 | 网站被篡改或下线 |
| 域名盗窃 | 未经授权转移域名 | 失去域名所有权 |
| DNS 劫持 | 篡改 DNS 解析记录 | 流量被劫持到恶意服务器 |
| 社会工程攻击 | 通过欺骗获取账户权限 | 账户被入侵 |
| 域名过期 | 忘记续费导致域名过期 | 域名被他人注册 |
域名劫持案例
域名劫持可能导致严重后果:
- 网站被篡改:攻击者可以修改网站内容,发布虚假信息
- 流量被劫持:用户被重定向到钓鱼网站
- 品牌损失:域名被用于非法活动,损害品牌声誉
- 数据泄露:攻击者可以获取用户数据
Cloudflare 域名安全功能
注册商锁定(Registrar Lock)
Cloudflare 默认为所有域名启用注册商锁定,防止未经授权的转移:
功能特点:
- 防止域名被转移到其他注册商
- 需要手动解锁才能进行转移
- 在 WHOIS 中显示
clientTransferProhibited
管理锁定状态:
- 登录 Cloudflare 控制台
- 进入 "Domain Registration" → "Manage Domains"
- 选择域名 → "Manage"
- 在 "Configuration" 中查看锁定状态
解锁域名(仅用于转移):
Configuration → Unlock → Confirm and Unlock
解锁后会生成授权码,用于转移域名。
WHOIS 隐私保护
Cloudflare 默认提供免费的 WHOIS 隐私保护:
保护效果:
未保护:
Registrant Name: 张三
Registrant Email: [email protected]
Registrant Phone: +86.13812345678
保护后:
Registrant Name: REDACTED FOR PRIVACY
Registrant Email: Please query the RDDS service
Registrant Phone: REDACTED FOR PRIVACY
优势:
- 防止个人信息泄露
- 减少垃圾邮件和骚扰电话
- 防止身份盗用
- 完全免费
限制:
- 部分域名(如 .us)不支持隐私保护
- 注册局可能要求公开特定信息
DNSSEC 配置
DNSSEC 为 DNS 添加数字签名,防止 DNS 欺骗和劫持:
启用 DNSSEC:
- 进入 "DNS" → "Settings"
- 找到 "DNSSEC" 部分
- 点击 "Enable DNSSEC"
- Cloudflare 生成 DS 记录
- 将 DS 记录添加到域名注册商
DS 记录示例:
类型: DS
名称: @
内容: 2371 13 2 3B5B7F...
验证 DNSSEC:
# 使用 dig 验证
dig example.com +dnssec
# 查看返回的 RRSIG 记录
两步验证(2FA)
强烈建议为 Cloudflare 账户启用两步验证:
启用步骤:
- 进入 "My Profile" → "Authentication"
- 选择 "Two-Factor Authentication"
- 使用身份验证器应用扫描二维码
- 输入验证码完成设置
- 保存恢复代码
推荐验证器应用:
- Google Authenticator
- Authy
- Microsoft Authenticator
- 1Password
重要提示:
- 恢复代码是丢失验证器时的唯一恢复方式
- 将恢复代码保存在安全的地方
- 不要将恢复代码存储在云端
API 令牌管理
使用 API 令牌时,遵循最小权限原则:
创建令牌:
- 进入 "My Profile" → "API Tokens"
- 点击 "Create Token"
- 选择权限模板或自定义权限
- 设置 IP 地址限制
- 设置有效期
权限建议:
| 用途 | 推荐权限 |
|---|---|
| DNS 管理 | Zone.DNS (Edit) |
| Workers 部署 | Workers Scripts (Edit) |
| 只读访问 | Zone (Read) |
| 完全访问 | 账户所有权限(谨慎使用) |
安全建议:
- 定期轮换令牌
- 设置 IP 白名单
- 使用后立即删除临时令牌
- 监控令牌使用情况
高级域名保护(企业版)
Custom Domain Protection
Cloudflare 为企业客户提供高级域名保护功能:
功能特点:
| 功能 | 说明 |
|---|---|
| 注册局锁定 | 在注册局级别锁定域名,需要人工验证才能修改 |
| 离线验证 | 所有更改需要通过预设的验证流程 |
| 无界面访问 | 移除通过界面修改域名的可能性 |
| 多重授权 | 需要多人批准才能进行敏感操作 |
适用场景:
- 高价值域名
- 企业核心品牌域名
- 需要最高安全级别的域名
申请方式:联系 Cloudflare 企业销售团队
注册局锁定(Registry Lock)
注册局锁定是最高级别的域名保护:
与注册商锁定的区别:
| 锁定类型 | 锁定位置 | 解锁方式 |
|---|---|---|
| 注册商锁定 | 注册商 | 用户在控制台解锁 |
| 注册局锁定 | 注册局 | 需要人工验证流程 |
注册局锁定保护的操作:
- 域名转移
- 域名删除
- NS 记录修改
- 域名信息修改
域名安全最佳实践
账户安全
强密码策略:
✓ 至少 16 个字符
✓ 包含大小写字母、数字、特殊字符
✓ 不使用常见单词或个人信息
✓ 每个网站使用不同密码
使用密码管理器:
推荐密码管理器:
- 1Password
- Bitwarden
- LastPass
- Dashlane
定期检查账户活动:
- 定期查看登录历史
- 检查最近的账户更改
- 发现异常立即修改密码
域名管理
自动续费:
- 启用自动续费,防止域名过期
- 确保支付方式有效
- 设置续费提醒
联系信息维护:
- 保持联系信息准确
- 使用常用邮箱接收通知
- 定期检查 WHOIS 信息
域名监控:
- 监控域名到期时间
- 设置日历提醒
- 监控 WHOIS 变更
团队管理
最小权限原则:
| 角色 | 权限 | 适用人员 |
|---|---|---|
| Super Admin | 所有权限 | 核心管理员 |
| Admin | 区域管理权限 | 运维人员 |
| Editor | 编辑权限 | 开发人员 |
| Viewer | 只读权限 | 审计人员 |
定期审计:
- 定期审查团队成员权限
- 移除离职人员访问权限
- 记录权限变更日志
应急响应
域名被劫持应对:
-
立即行动:
- 联系 Cloudflare 支持
- 联系域名注册局
- 报警并记录证据
-
恢复访问:
- 通过验证流程恢复账户
- 检查并恢复 DNS 记录
- 更改所有密码和令牌
-
事后分析:
- 分析入侵原因
- 加强安全措施
- 更新应急响应计划
域名过期应对:
| 阶段 | 时间 | 状态 | 操作 |
|---|---|---|---|
| 宽限期 | 过期后 0-40 天 | 可续费 | 立即续费 |
| 赎回期 | 过期后 40-70 天 | 高价赎回 | 支付赎回费用 |
| 删除期 | 过期后 70-75 天 | 无法恢复 | 等待重新注册 |
| 公开注册 | 过期后 75+ 天 | 可被他人注册 | 尝试重新注册 |
域名安全检查清单
日常检查
- 账户使用强密码
- 启用两步验证
- 恢复代码已安全保存
- 联系信息准确
- 自动续费已启用
定期检查(每月)
- 检查登录历史
- 审查团队成员权限
- 验证支付方式有效
- 检查域名到期时间
年度检查
- 更新密码
- 轮换 API 令牌
- 审查安全设置
- 更新应急联系人
常见问题
如何判断域名是否被锁定?
使用 WHOIS 查询:
whois example.com | grep -i status
查看输出中的状态码:
clientTransferProhibited:注册商锁定已启用serverTransferProhibited:注册局锁定已启用
WHOIS 隐私保护会影响域名验证吗?
不会。域名验证通常通过 DNS 记录或文件验证,不依赖 WHOIS 信息。
如何防止域名被社会工程攻击?
- 使用企业邮箱注册域名
- 不在社交媒体公开域名管理信息
- 设置复杂的账户恢复问题
- 启用所有安全验证选项
域名被锁定后还能续费吗?
可以。锁定只影响转移和修改操作,不影响续费。
参考资源
下一步
了解域名安全后,你可以: