DNS 部署的安全保护

设计域名系统 (DNS) 服务器部署时,请使用下列 DNS 安全指南:

  • 如果网络主机无需解析 Internet 上的名称,可取消 DNS 与 Internet 的通信。

    在此 DNS 设计中,可以使用完全在网络中承载的专用 DNS 命名空间。专用 DNS 命名空间仅作为 Internet DNS 命名空间来分发,内部 DNS 服务器承载根域和顶级域的区域。

  • 在位于防火墙后面的内部 DNS 服务器与位于防火墙前面的外部 DNS 服务器之间拆分组织的 DNS 命名空间。

    在此 DNS 设计中,内部 DNS 命名空间是外部 DNS 命名空间的一个子域。例如,如果组织的 Internet DNS 命名空间是 tailspintoys.com,则网络的内部 DNS 命名空间是 corp.tailspintoys.com。

  • 将内部 DNS 命名空间承载在内部 DNS 服务器上,将外部 DNS 命名空间承载在暴露于 Internet 的外部 DNS 服务器上。

    要解析由内部主机进行的外部名称查询,此 DNS 设计中的内部 DNS 服务器将对外部名称的查询转发到外部 DNS 服务器。外部主机仅用于外部 DNS 服务器进行 Internet 名称解析。

  • 配置筛选包的防火墙仅允许在外部 DNS 服务器和单个内部 DNS 服务器之间进行 UDP 和 TCP 端口 53 通信。

    这种 DNS 设计便于内部和外部 DNS 服务器之间的通信,并防止任何其他外部计算机获取访问内部 DNS 命名空间的权限。

有关详细信息,请参阅 DNS 安全信息


目录