DNS软体是骇客热衷于进攻的总体目标,它将会带来安全性难题。本文出示了10个维护DNS服务器最合理的方式。
1. 应用DNS转发器
DNS转发器是为别的DNS服务器
进行DNS查寻的DNS服务器。应用DNS转发器的关键目地是减轻DNS解决的工作压力,把查寻恳求从DNS服务器转给转发器, 从DNS转发器潜伏地更大DNS快取记忆力体中获益。
应用DNS转发器的另外一个益处是它阻拦了DNS服务器转发来自互联网技术DNS服务器的查寻恳求。假如您的DNS服务器储存了您內部的域DNS資源纪录的话,这1点就十分关键。不让內部DNS服务器开展递迴查寻并立即联繫DNS服务器,而是让它应用转发器来解决未受权的恳求。
2. 应用只缓衝DNS服务器
只缓衝DNS服务器是对于为受权作用变数名字的。它被用做递迴查寻或应用转发器。当只缓衝DNS服务器收到1个回馈,它把結果储存在快取记忆力体中,随后把 結果推送给向它提出DNS查寻恳求的系统软件。伴随着時间推移,只缓衝DNS服务器能够搜集很多的DNS回馈,这能巨大地减少它出示DNS答复的時间。 把只缓衝DNS服务器做为转发器应用,在您的管理方法操纵下,能够提升机构安全性性。內部DNS服务器能够把只缓衝DNS服务器作为自身的转发器,只缓衝 DNS服务器替代您的內部DNS服务器进行递迴查寻。应用您自身的只缓衝DNS服务器做为转发器可以提升安全性性,由于您不必须依靠您的ISP的DNS服务 器做为转发器,在您不可以确定ISP的DNS服务器安全性性的状况下,更是这般。
3. 应用DNS广告宣传者(DNS advertisers)
DNS广告宣传者是1台负责分析域中查寻的DNS服务器。比如,假如您的主机针对domain.com 和corp.com是公布能用的資源,您的公共性DNS服务器就应当为 domain.com 和corp.com配备DNS区档。
除DNS区档寄主的别的DNS服务器以外的DNS广告宣传者设定,是DNS广告宣传者只回应其受权的作用变数名字的查寻。这类DNS服务器不容易对别的DNS服务器开展递迴 查寻。这让客户不可以应用您的公共性DNS服务器来分析别的作用变数名字。根据降低与运作1个公布DNS分析者有关的风险性,包含缓存文件中毒,提升了安全性。
4. 应用DNS分析者
DNS分析者是1台能够进行递迴查寻的DNS服务器,它可以分析为受权的作用变数名字。比如,您将会在內部网路上有1台DNS服务器,受权內部网路作用变数名字 internalcorp.com的DNS服务器。当网路中的顾客机应用这台DNS服务器去分析techrepublic.com时,这台DNS服务器根据向别的DNS服务器查寻来实行递迴 以得到回答。
DNS服务器和DNS分析者之间的差别是DNS分析者是仅仅对于分析互联网技术主机名字。DNS分析者能够是未受权DNS作用变数名字的只缓存文件DNS服务器。您可让DNS 分析者仅对內部客户应用,您还可以让它仅为外界应用者服务,这样您就无需在沒有方法操纵的外界开设DNS服务器了,从而提升了安全性性。自然,您也 可让DNS分析者另外被内、外界客户应用。
5. 维护DNS不会受到缓存文件污染
DNS缓存文件污染早已变成日趋广泛的难题。绝绝大多数DNS服务器都可以将DNS查寻結果在答覆给传出恳求的主机以前,就储存在快取记忆力体中。DNS快取记忆力体 可以巨大地提升您机构內部的DNS查寻特性。难题是假如您的DNS服务器的快取记忆力体中被很多假的DNS资讯“污染”了的话,客户就有将会被送到故意网站 而并不是她们塬先要想浏览的网站。
绝绝大多数DNS服务器都可以根据配备阻拦缓存文件污染。WindowsServer 2003 DNS服务器预设的配备情况就可以够避免缓存文件污染。假如您应用的是Windows 2000 DNS服务器,您能够配备它,开启DNS服务器的Properties会话方块,随后点一下“高級”表。挑选“避免缓存文件污染”选项,随后再次启动DNS服务器。
6. 使DDNS只用安全性联接
许多DNS服务器接纳动态性升级。动态性升级特点使这些DNS服务器能纪录应用DHCP的主机的主机名字和IP位址。DDNS可以巨大地减轻DNS管理方法员的管理方法花费 ,不然管理方法员务必手工制作配备这些主机的DNS資源纪录。
但是,假如未检验的DDNS升级,将会会带来很比较严重的安全性难题。1个故意应用者能够配备主机变成台档案服务器、Web服务器或材料库服务器动态性升级 的DNS主机纪录,假如有人想联接到这些服务器就1定会被迁移到别的的设备上。 您能够降低故意DNS升級的风险性,根据规定安全性联接到DNS服务器实行动态性升級。这很非常容易保证,您要是配备您的DNS服务器应用主题活动文件目录综合性区 (Active Directory Integrated Zones)并规定安全性动态性升級便可以完成。这样1来,全部的域组员都可以安全性地、动态性升级她们的DNS资讯。
7. 禁用地区传送
地区传送产生在主DNS服务器和从DNS服务器之间。主DNS服务器受权特殊作用变数名字,而且带有可改变的DNS地区档,在必须的情况下能够对该档开展升级 。从DNS服务器从主力DNS服务器接受这些地区档的唯读复制。从DNS服务器被用于提升来自內部或互联网技术DNS查寻答复特性。
但是,地区传送其实不仅仅对于从DNS服务器。任何1个可以传出DNS查寻恳求的人都可以能引发DNS服务器配备更改,容许地区传送倾倒自身的地区材料 库档。故意应用者可使用这些资讯来侦查您机构內部的取名计画,并进攻重要服务构架。您能够配备您的DNS服务器,严禁地区传送恳求或仅允 许对于机构内特殊服务器开展地区传送,以此来开展安全性防範。
8. 应用防火墙来操纵DNS浏览
防火墙能够用来操纵谁能够联接到您的DNS服务器上。针对那些仅仅答复內部客户查寻恳求的DNS服务器,应当设定防火墙的配备,阻拦外界主机联接 这些DNS服务器。针对用做只缓存文件转发器的DNS服务器,应当设定防火墙的配备,仅仅容许那些应用只缓存文件转发器的DNS服务器发来的查寻恳求。防火墙对策设定的关键1点是阻拦內部应用者应用DNS协约联接外界DNS服务器。
9. 在DNS註册表格中创建存储操纵
在根据Windows的DNS服务器中,您应当在DNS服务器有关的註册表格中设定存储操纵,这样仅有那些必须浏览的账号才可以够阅读文章或改动这些註册表设定。HKLM\CurrentControlSet\Services\DNS键应当仅仅容许管理方法员和系统软件账号浏览,这些账号应当有着彻底操纵批准权。
10. 在DNS档案系统软件通道设定存储操纵
在根据Windows的DNS服务器中,您应当在DNS服务器有关的档案系统软件通道设定存储操纵,这样仅有必须浏览的账号才可以够阅读文章或改动这些档。