DNS提供了域名解析功能，如果DNS服务遭到黑客的攻击，就会造成用户大面积无法上网的故障。因此，对DNS服务进行保护，防范诸如DNS劫持之类的攻击，对于网络安全是极为重要的。

利用思科提供的Umbrella OpenDNS技术，不仅可以保护DNS的安全，还可以在DNS的架构之上，提供更加高级的安全功能。

Umbrella OpenDNS实质上是一个云安全平台，提供了针对终端和移动设备的安全解决方案。对于传统网络来说，会使用防火墙提供深度的安全防护，内网的用户必须通过防火墙才可以访问外部网络。

但是，如果用户离开防火墙的覆盖范围（例如出差在外等），就无法得到防火墙的保护。按照传统保护方法，用户必须利用VPN连接到内网，通过内网防火墙保护访问行为。

使用Umbrella OpenDNS，可以保证移动用户不管在任何位置，都可以得到防火墙的安全保护。当然，这里所指的漫游针对的不是手机等设备，而是传统的PC，笔记本电脑等使 用Windows或 者Mac OS系统的设备。Umbrella O p e n D N S 的设计思想是在云端设置防火墙，在所有的用户PC端安装客户端工具，客户端和Umbrella OpenDNS的通讯是加密的。当用户访问目标网站时，客户端会将对应的域名发送到Umbrella OpenDNS云端防火墙上，如果Umbrella OpenDNS检测该域名是安全的，则可以对其进行解析，允许用户直接访问该站点。如果其认为该域名绝对是恶意的，就禁止用户进行访问。

另一方面，如果Umbrella OpenDNS认为该域名可能存在问题，就会利用Proxy功能将用户流量引导到到云端防火墙，通过在云端防火墙配置各种安全功能（例如防病毒、内容过滤等），之后才将流量发送到目标站点。

这样，不管用户处于什么位置，都可以得到云端防火墙的保护。Umbrella OpenDNS使用Internet的基础设施在链接之前阻止恶意目的地，通过从云端提供安全，不仅可以节省成本，而且可以更有效的安全性。Umbrella OpenDNS基于DNS的分析来阻止或者放行用户的访问，甚至可以通过对应的设置，将用户的所有流量引导到云端防火墙，进行全面的管控。

Umbrella OpenDNS实现的是智能的DNS检测功能，在正常情况下，不会代理所有的用户流量。只是当其判断用户访问的域名存在风险时，才会将流量引导过来，进行深层次的监控和过滤，实际上，即使用户遭到了黑客攻击，例如当木马侵入系统，必然会建立后门，和远程黑客进行连接。Umbrella OpenDNS云端防火墙可以切断其回连操作，阻断恶意流量的传播，让黑客无法遥控木马。当用户和应用已经离开了边界，Umbrella OpenDNS能够提供对所有设备上的互联网活动的可视性，用户甚至可以永久保留监控日志。

利用Umbrella OpenDNS云端防火墙的管理界面，用户可以监控网络访问信息。Umbrella OpenDNS可以从互联网中自动学习，智能分析数据和创建识别模式，通过异常检测机制（例如URL和文件信誉分数等）来识别识别恶意域名和IP地址，自动关联数据并阻止攻击行为。Umbrella OpenDNS的优点是使用简单，没有复杂的硬件安装和手动软件更新操作，基于浏览器界面提供了快速设置和持续管理功能。

此外，还可以在思科的网络设备上激活DNS保护功能，即通过更改网络服务器，接入点或路由器上的对应设置，就可以保护整个网络安全。即在一些思科的新款网络设备（例如ISR 4000系列路由器、ASA防火墙等）上集成了Umbrella OpenDNS功能，打开网址“https://d o c s.u m b r e l l a.c o m/product/hardware”，可以查看在不同的网络设备上具体的配置信息。实际上，即使不安装轻量级的Umbrella OpenDNS客户端，也可以直接在本机上配置对应的DNS服务器地址，来利用Umbrella OpenDNS进行保护。

打开网络连接属性窗口，双 击“Internet协 议版本 4(TCP/IP)”项，在打开窗口中选择“使用下面的DNS服务器地址”项，输入“208.67.222.222”或 者“208.67.220.220”。 这 样，就可以实现最基本的普通DNS安全控制功能。如果使用Umbrella OpenDNS客户端的话，就可以和云端防火墙实现加密认证的通讯，对于危险的流量会经过云防火墙过滤，之后才发送到目的地。打开网址“https://signup.umbrella.com”， 执行所需的账号注册操作。打开 网 址“https://login.umbrella.com/”，输入账号和密码，登录到Umbrella OpenDNS管理界面。在左侧选择“Overview”项，显示网络活动状态，访问的域名列表等摘要信息。在左侧选择“Identities”-“Networks”项，在右侧点击“+”按钮，输入网络名称，其会自动识别当前的IP地址，就可以将该地址注册到云端防火墙，

因为Umbrella OpenDNS是利用IP来标识不同的设备的。这样的话，当客户端使用该IP访问云端防火墙时，就可以受到其管控了。在左侧选择“Identities” →“Roaming Computers”项，在右侧显示注册上来的客户端信息。除了使用Umbrella OpenDNS提供的客户端程序外，还可以利用Cisco AnyConnect进行连接。对于后者来说，在其安装界面中需要选 择“Umbrella Roaming Security”项，安 装 完 毕后，打开“C:ProgramDataCiscoCisco AnyConnect Secure Mobility ClientUmbralla” 目 录，在 其中新建名为“OrgInfo.json”的 文 件，输 入“{”、“"organizationId" :"2419193",”、“"fingerprint": "53ab9b4941b429116067f 84ddccce25b",”、“"userId": "9785941"”，“}” 行 内容。重启系统后就可以使用AnyConnect进行注册了。

在默认情况下，只存在名为“Default Policy”的 策略，其功能比较有限。在左侧选择“Policies”→“Policy List”项，在右侧点击“+”按钮，创建新的策略。在“What would you like to protct”面板中选择需要保护的设备，包括活动目录中的组、账户和计算机、网络、主机、站点、网络设备等，例如选择某些主机等，在下一步窗口中的“What should this policy do？”面板中选择需要激活的保护功能，包括“Enforce Security at this DNS Layer”（保护DNS安全）、“Inspect Files”（监控 文 件）、“Limit Content Access”（限制访问内容）、“Apply Destination Lists”（允许胡禁止访问的列表）等。

点击“ADVANCEDSETTINGS”项，在高级设置面板中选择“Enable Intelligent Proxy”项，激 活 流 量 代理功能，对于恶意流量进行安全管控。选择“SSL Decryption”项，激 活SSL解密功能。点击“DOWNLOAD CERTIFICATE”按钮，下载名为“Cisco_Umbrella_Root_CA.cer”的证书文件。之后打开该证书，点击“安装证书”按钮，将其安装到受信任的根证书办法机构中。选择“Enable IP-Layer Enforcement”项，激活对于IP层面的安全访问控制功能。点击“Next”按钮，显示需要防控的归类信息（例如恶意软件、网络钓鱼等）。

在下一步窗口中的“Limit Content Access”栏中选择访问内容控制的级别，默认为“High”，选择“Custom”项，可以自定义过滤范围。点击“Next”按钮，可以添加需要禁止或者放行的网站列表。在下一步窗口中可以设置阻止界面，包括默认的或者自定义的。这样，当拦截到危险的访问时，可以显示该页面进行提醒。之后输入策略名称，点击“Save”按钮保存该策略。

这样，当客户端访问Internet时，就会得到云端防火墙的保护。例如当访问的目标网站位于禁止列表中，对其访问时就会被拦截并弹出警告页面。当使用HTTP或者HTTPS等方式下载包含病毒的文件时，也会遭到云端防火墙的拦截等。