DNS dağıtımının güvenliğinin sağlanması
Etki Alanı Adı Sistemi (DNS) sunucu dağıtımınızı tasarlarken, şu DNS güvenliği yönergelerini kullanın:
-
Ağınızdaki ana bilgisayarların Internet'teki adları çözümlemesi gerekmiyorsa, DNS'nin Internet iletişimini hesaba katmayın.
Bu DNS tasarımında, tamamen ağınızda barındırılan özel bir DNS ad alanı kullanabilirsiniz. Özel DNS ad alanı, kök etki alanını ve üst düzey etki alanlarını barındıran iç DNS sunucularınızda Internet DNS ad alanları ile aynı şekilde dağıtılır.
-
Kuruluşunuzun DNS ad alanını, güvenlik duvarının arkasındaki iç DNS sunucuları ve güvenlik duvarının önündeki dış DNS sunucuları arasında bölün.
Bu DNS tasarımında, iç DNS ad alanınız dış DNS ad alanınızın alt etki alanıdır. Örneğin, kuruluşunuzun Internet DNS ad alanı tailspintoys.com ise, ağınızın iç DNS ad alanı corp.tailspintoys.com olacaktır.
-
İç DNS ad alanınızı iç DNS sunucularınızda, dış DNS ad alanınızı da Internet'e açık olan dış DNS sunucularında barındırın.
Bu DNS tasarımında, iç ana bilgisayarlardan yapılan dış ad sorgularını çözümlemek için, iç DNS sunucuları dış adlar için yapılan sorguları dış DNS sunucularına iletir. Dış ana bilgisayarlar, Internet ad çözümlemesi için yalnızca dış DNS sunucularını kullanır.
-
Paket filtreli güvenlik duvarınızı, dış DNS sunucunuz ve tek iç DNS sunucunuz arasında yalnızca UDP ve TCP bağlantı noktası 53 üzerinden iletişime izin verecek şekilde yapılandırın.
Bu DNS tasarımı iç ve dış DNS sunucuları arasında iletişimi sağlar ve başka dış bilgisayarların iç DNS ad alanınıza erişimini engeller.
Daha fazla bilgi için bkz. DNS Güvenlik Bilgileri.