Stats
Actions
Tags
Implements NextDNS as zero-trust DNS filter for encrypted DoH/DoT resolution, threat intel blocking, privacy controls, and org policies across endpoints like Linux.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:implementing-zero-trust-dns-with-nextdnsThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
NextDNS 是一种基于云的 DNS 解析器,提供加密 DNS 解析(DNS-over-HTTPS 和 DNS-over-TLS)、实时威胁情报阻断、广告和追踪器过滤,以及细粒度 DNS 策略执行。在零信任架构中,DNS 是关键控制点——每个网络连接都从 DNS 查询开始,这使 DNS 过滤成为阻断恶意域名、防止 DNS 隧道数据泄露、执行可接受使用策略,以及获取所有网络通信可见性的有效层次。NextDNS 使用包含数百万个实时更新恶意域名的威胁情报源处理查询,阻断加密货币挖矿和钓鱼域名,检测 DNS 重绑定攻击,并支持 CNAME 伪装保护。对于企业 Windows 环境,Microsoft 在 Windows 11 上的零信任 DNS(ZTDNS)功能通过强制端点只能通过批准的受保护 DNS 服务器解析域名来扩展这一概念。
NextDNS 是一种基于云的 DNS 解析器,提供加密 DNS 解析(DNS-over-HTTPS 和 DNS-over-TLS)、实时威胁情报阻断、广告和追踪器过滤,以及细粒度 DNS 策略执行。在零信任架构中,DNS 是关键控制点——每个网络连接都从 DNS 查询开始,这使 DNS 过滤成为阻断恶意域名、防止 DNS 隧道数据泄露、执行可接受使用策略,以及获取所有网络通信可见性的有效层次。NextDNS 使用包含数百万个实时更新恶意域名的威胁情报源处理查询,阻断加密货币挖矿和钓鱼域名,检测 DNS 重绑定攻击,并支持 CNAME 伪装保护。对于企业 Windows 环境,Microsoft 在 Windows 11 上的零信任 DNS(ZTDNS)功能通过强制端点只能通过批准的受保护 DNS 服务器解析域名来扩展这一概念。
端点设备
|
DNS 查询(加密)
|
+----+----+
| DoH/DoT | (DNS-over-HTTPS 或 DNS-over-TLS)
| 隧道 |
+----+----+
|
+----+----+
| NextDNS |
| 解析器 |
+----+----+
|
+----+----+------+--------+
| | | |
威胁情报 广告/追踪 隐私 家长
检查 拦截 控制 控制
| | | |
+----+----+------+--------+
|
允许或阻断
|
响应返回端点
仪表板:https://my.nextdns.io
配置 ID:abc123(每个配置文件唯一)
端点:
DNS-over-HTTPS: https://dns.nextdns.io/abc123
DNS-over-TLS: abc123.dns.nextdns.io
DNS-over-QUIC: quic://abc123.dns.nextdns.io
IPv4: 45.90.28.x, 45.90.30.x(绑定到配置)
IPv6: 2a07:a8c0::xx, 2a07:a8c1::xx
安全选项卡配置:
[x] 威胁情报源 - 阻断来自精选威胁源的域名
[x] AI 驱动威胁检测 - 基于机器学习的检测
[x] Google Safe Browsing - 与 Google 威胁数据库交叉验证
[x] 加密货币挖矿保护 - 阻断加密货币挖矿域名
[x] DNS 重绑定保护 - 防止 DNS 重绑定攻击
[x] IDN 同形异义词攻击 - 阻断国际化域名攻击
[x] 仿冒域名保护 - 阻断常见仿冒域名
[x] DGA 保护 - 阻断域名生成算法域名
[x] NRD(新注册域名)- 阻断注册不足 30 天的域名
[x] DDNS(动态 DNS)- 阻断动态 DNS 服务
[x] 停车域名 - 阻断停车/未使用域名
[x] CSAM - 阻断儿童性虐待材料域名
隐私选项卡配置:
拦截列表:
[x] NextDNS 广告和追踪器拦截列表
[x] OISD(完整版)
[x] EasyPrivacy
[x] AdGuard DNS 过滤器
原生追踪防护:
[x] 阻断 Windows 遥测
[x] 阻断 Apple 遥测
[x] 阻断 Samsung 遥测
[x] 阻断 Xiaomi 遥测
[x] 阻断 Huawei 遥测
[x] 阻断 Roku 遥测
[x] 阻断 Sonos 遥测
[x] 阻断伪装第三方追踪器(CNAME 伪装)
[x] 允许联盟和追踪链接(可选,用于商业需求)
允许列表(绕过所有阻断的域名):
- login.microsoftonline.com
- graph.microsoft.com
- *.company.com
拒绝列表(无论其他设置始终阻断):
- known-malicious-domain.com
- unauthorized-cloud-storage.com
- personal-email-provider.com(如策略要求)
# 使用 systemd-resolved 配置 DNS-over-TLS
sudo tee /etc/systemd/resolved.conf << 'EOF'
[Resolve]
DNS=45.90.28.x#abc123.dns.nextdns.io
DNS=45.90.30.x#abc123.dns.nextdns.io
DNS=2a07:a8c0::xx#abc123.dns.nextdns.io
DNS=2a07:a8c1::xx#abc123.dns.nextdns.io
DNSOverTLS=yes
Domains=~.
EOF
sudo systemctl restart systemd-resolved
# 验证
resolvectl status
resolvectl query example.com
# 安装 NextDNS CLI
sh -c 'sh -e $(curl -sL https://nextdns.io/install)'
# 使用您的配置文件配置
sudo nextdns install \
-config abc123 \
-report-client-info \
-auto-activate
# 验证
nextdns status
nextdns log
# 通过 Homebrew 安装
brew install nextdns/tap/nextdns
# 配置
sudo nextdns install \
-config abc123 \
-report-client-info
# 或通过系统设置 > 网络 > DNS 配置
# 添加 DNS-over-HTTPS:https://dns.nextdns.io/abc123
# 安装 Windows 版 NextDNS CLI
# 从以下地址下载:https://nextdns.io/download/windows
# 或在 Windows 11 上原生配置 DoH
# 设置 > 网络和 Internet > 以太网/Wi-Fi > DNS
# 首选 DNS:45.90.28.x
# HTTPS 加密 DNS:开启(手动模板)
# DoH 模板:https://dns.nextdns.io/abc123
# PowerShell:配置 DoH
Set-DnsClientDohServerAddress -ServerAddress "45.90.28.x" `
-DohTemplate "https://dns.nextdns.io/abc123" `
-AllowFallbackToUdp $false `
-AutoUpgrade $true
# 大多数路由器支持自定义 DNS 服务器
# 对于支持 DoH/DoT 的路由器(pfSense、OPNsense、OpenWrt):
# pfSense DNS 解析器(Unbound):
# 服务 > DNS 解析器 > 自定义选项:
server:
forward-zone:
name: "."
forward-tls-upstream: yes
forward-addr: 45.90.28.x@853#abc123.dns.nextdns.io
forward-addr: 45.90.30.x@853#abc123.dns.nextdns.io
# OpenWrt(使用 https-dns-proxy):
opkg update && opkg install https-dns-proxy
uci set https-dns-proxy.default.resolver_url='https://dns.nextdns.io/abc123'
uci commit https-dns-proxy
/etc/init.d/https-dns-proxy restart
iOS:
从 App Store 安装 NextDNS 应用
或:设置 > 通用 > VPN 与设备管理
安装 NextDNS 配置描述文件
Android:
设置 > 网络 > 私人 DNS
DNS 提供商:abc123.dns.nextdns.io
或:从 Play Store 安装 NextDNS 应用
对于企业 Windows 环境,Microsoft 的 ZTDNS 强制端点只能与通过批准 DNS 服务器解析的域名通信。
# 启用 ZTDNS(Windows 11 23H2 及以上)
# 需要 Windows Defender 防火墙处于强制执行模式
# 通过组策略配置受保护 DNS 服务器:
# 计算机配置 > 管理模板 > 网络 > DNS 客户端
# > 配置 DNS over HTTPS (DoH) 名称解析
# > 受保护 DNS 服务器:https://dns.nextdns.io/abc123
# Windows 防火墙阻断所有未通过受保护 DNS 服务器
# 解析的域名的流量
NextDNS 分析仪表板提供:
- 随时间变化的总查询量
- 按类别分类的阻断查询
- 热门域名(允许和阻断)
- 热门阻断原因(威胁、广告、追踪器)
- 设备级细分
- 查询的地理分布
日志设置:
保留期:1 小时 / 6 小时 / 1 天 / 1 周 / 1 月 / 3 月 / 1 年 / 2 年
存储位置:美国 / 欧盟 / 英国 / 瑞士
日志记录:[ ] 启用 / [ ] 禁用
# NextDNS API 用于自动化监控
# 获取分析数据
curl -H "X-Api-Key: your-api-key" \
"https://api.nextdns.io/profiles/abc123/analytics/domains?from=-24h"
# 获取阻断域名
curl -H "X-Api-Key: your-api-key" \
"https://api.nextdns.io/profiles/abc123/analytics/domains?from=-24h&status=blocked"
# 导出日志用于 SIEM 集成
curl -H "X-Api-Key: your-api-key" \
"https://api.nextdns.io/profiles/abc123/logs?from=-1h" \
| jq '.data[] | select(.status == "blocked")'
第 1 层 - 安全(所有人强制):
- 威胁情报阻断
- 加密货币挖矿保护
- DNS 重绑定保护
- DGA 检测
- NRD 阻断(< 30 天)
第 2 层 - 隐私(推荐):
- 追踪器阻断
- 原生遥测阻断
- CNAME 伪装保护
第 3 层 - 合规(组织特定):
- 基于类别的阻断
- 自定义允许/拒绝列表
- 基于时间的访问策略
- 按法规要求的日志保留
npx claudepluginhub killvxk/cybersecurity-skills-zhConfigures NextDNS as a zero trust DNS filtering layer with encrypted resolution, threat intelligence blocking, and policy enforcement across endpoints.
Configures NextDNS as a zero trust DNS filtering layer with encrypted resolution, threat intelligence blocking, and policy enforcement across endpoints.
Implements NextDNS as zero-trust DNS layer with DoH/DoT encryption, threat intelligence blocking, ad/tracker filtering, privacy controls, and policy enforcement across endpoints. Useful for securing network queries in enterprise environments.