DNS 展開を保護する

ドメイン ネーム システム (DNS) サーバーの展開を設計するときには、DNS セキュリティに関する次のガイドラインに従います。

• ネットワーク ホストがインターネット上での名前解決を必要としない場合は、DNS とインターネットとの通信機能を取り除きます。
  
  この DNS 設計では、そのネットワーク内で全面的に管理されたプライベートな DNS 名前空間を使用できます。プライベートな DNS 名前空間は、ルート ドメインおよびトップレベル ドメインのゾーンをホストする内部 DNS サーバーを使用して、インターネット DNS 名前空間とまったく同じように配置されます。
  
  
• 組織の DNS 名前空間を、ファイアウォールの背後に配置された内部 DNS サーバーと、ファイアウォールの前面に配置された外部 DNS サーバーに分割します。
  
  この DNS 設計では、内部 DNS 名前空間が外部 DNS 名前空間のサブドメインとなります。たとえば、組織のインターネット DNS 名前空間が tailspintoys.com の場合、その組織のネットワークの内部 DNS 名前空間は corp.tailspintoys.com になります。
  
  
• 内部 DNS サーバーでは内部 DNS 名前空間をホストし、インターネットに直接接続された外部 DNS サーバーでは外部 DNS 名前空間をホストします。
  
  内部ホストから受け取った外部の名前に対するクエリを解決するため、この DNS 設計内の内部 DNS サーバーが、外部の名前に対するクエリを外部 DNS サーバーに転送します。外部ホストは、外部 DNS サーバーのみを使用してインターネットの名前解決を行います。
  
  
• 外部 DNS サーバーと 1 台の内部 DNS サーバーとの間で、ポート 53 の UDP および TCP 通信のみを許可するようにパケットフィルター ファイアウォールを構成します。
  
  これによって、内部 DNS サーバーと外部 DNS サーバーとの間の通信が容易になり、他のすべての外部コンピューターから内部 DNS 名前空間へのアクセスを防ぐことができます。
  
  

詳細については、「DNS のセキュリティ情報」を参照してください。