Säkra DNS-distributionen

När du planerar distributionen av DNS-servern (Domain Name System) kan du använda följande riktlinjer för DNS-säkerhet:

• Om namn inte behöver matchas på Internet på värddatorerna i nätverket inaktiverar du DNS-kommunikation med Internet.
  
  I den här DNS-strukturen kan du använda ett privat DNS-namnområde som finns enbart i nätverket. Det privata DNS-namnområdet distribueras precis som DNS-namnområdet för Internet, där de interna DNS-servrarna är värdar för zoner för rotdomänen och domäner på den översta nivån.
  
  
• Dela DNS-namnområdet för organisationen mellan interna DNS-servrar bakom brandväggen och externa DNS-servrar utanför brandväggen.
  
  I den här DNS-strukturen är det interna DNS-namnområdet en underdomän till det externa DNS-namnområdet. Om DNS-området för Internet för organisationen till exempel är tailspintoys.com blir det interna DNS-namnområdet för nätverket corp.tailspintoys.com.
  
  
• Använda interna DNS-servrar som värdar för det interna DNS-namnområdet och externa DNS-servrar som värdar för det externa DNS-namnområdet som exponeras mot Internet.
  
  I den här DNS-strukturen vidarebefordras frågor som gäller externa namn till de externa DNS-servrarna när frågorna som görs av interna värdar ska matchas. På externa värdar används endast de externa DNS-servrarna för Internetnamnmatchning.
  
  
• Konfigurera brandväggen för paketfiltrering så att endast kommunikation mellan UDP- och TCP-port 53 tillåts mellan den externa DNS-servern och en enskild intern DNS-server.
  
  I den här DNS-strukturen underlättas kommunikation mellan interna och externa DNS-servrar och externa datorer hindras från att få åtkomst till det interna DNS-namnområdet.
  
  

Mer information finns i Säkerhetsinformation för DNS.