保護 DNS 部署的安全
設計網域名稱系統 (DNS) 伺服器部署時,請使用下列 DNS 安全性指導方針:
-
如果不需要網路主機解析網際網路上的名稱,請排除網際網路的 DNS 通訊。
在這種 DNS 設計中,您可以使用完全裝載在網路中的私人 DNS 命名空間。私人 DNS 命名空間和網際網路 DNS 命名空間相同,都是透過裝載根網域和頂層網域區域的內部 DNS 伺服器來發佈。
-
在防火牆之後的內部 DNS 伺服器以及防火牆之前的外部 DNS 伺服器間分割您組織的 DNS 命名空間。
在這種 DNS 設計中,您的內部 DNS 命名空間是外部 DNS 命名空間的子網域。例如,如果組織的網際網路 DNS 命名空間是 tailspintoys.com,則網路的內部 DNS 命名空間是 corp.tailspintoys.com。
-
在內部 DNS 伺服器上裝載內部 DNS 命名空間,以及在公開於網際網路中的外部 DNS 伺服器上裝載外部 DNS 命名空間。
若要解析內部主機所產生的外部名稱查詢,此種 DNS 設計的內部 DNS 伺服器會將外部名稱查詢轉送到外部 DNS 伺服器。外部主機只會使用外部 DNS 伺服器進行網際網路名稱解析。
-
設定封包篩選防火牆,在外部 DNS 伺服器及單一內部 DNS 伺服器之間只允許 UDP 與 TCP 連接埠 53 通訊。
這種 DNS 設計可促進內部及外部 DNS 伺服器之間的通訊,還可防止任何其他外部電腦獲得內部 DNS 命名空間的存取權。
如需相關資訊,請參閱 DNS 的安全性資訊。