保護(hù)DNS服務(wù)器十大技巧
日期:2014-05-21點(diǎn)擊:2601
1、使用DNS轉(zhuǎn)發(fā)器
目的是減輕DNS處理的壓力,把查詢請(qǐng)求從DNS服務(wù)器轉(zhuǎn)給轉(zhuǎn)發(fā)器, 從DNS轉(zhuǎn)發(fā)器潛在地更大DNS高速緩存中受益。
2、使用只緩沖DNS服務(wù)器
隨著時(shí)間推移,只緩沖DNS服務(wù)器可以收集大量的DNS反饋,這能極大地縮短它提供DNS響應(yīng)的時(shí)間。
3、使用DNS廣告者(DNS advertisers)
讓用戶不能使用你的公共DNS服務(wù)器來(lái)解析其他域名。通過(guò)減少與運(yùn)行一個(gè)公開(kāi)DNS解析者相關(guān)的風(fēng)險(xiǎn),包括緩存中毒,增加了安全性。
4、使用DNS解析者
DNS解析者是一臺(tái)可以完成遞歸查詢的DNS服務(wù)器,它能夠解析為授權(quán)的域名。
5、保護(hù)DNS不受緩存污染
絕大部分DNS服務(wù)器都能夠通過(guò)配置阻止緩存污染。WindowsServer 2003 DNS服務(wù)器默認(rèn)的配置狀態(tài)就能夠防止緩存污染。
6、使DDNS只用安全連接
你可以減少惡意DNS升級(jí)的風(fēng)險(xiǎn),通過(guò)要求安全連接到DNS服務(wù)器執(zhí)行動(dòng)態(tài)升級(jí)。
7、禁用區(qū)域傳輸
你可以配置你的DNS服務(wù)器,禁止區(qū)域傳輸請(qǐng)求,或者僅允 許針對(duì)組織內(nèi)特定服務(wù)器進(jìn)行區(qū)域傳輸,以此來(lái)進(jìn)行安全防范。
8、使用防火墻來(lái)控制DNS訪問(wèn)
防火墻可以用來(lái)控制誰(shuí)可以連接到你的DNS服務(wù)器上,防火墻策略設(shè)置的重要一點(diǎn)是阻止內(nèi)部用戶使用DNS協(xié)議連接外部DNS服務(wù)器。
9、在DNS注冊(cè)表中建立訪問(wèn)控制
在基于Windows的DNS服務(wù)器中,你應(yīng)該在DNS服務(wù)器相關(guān)的注冊(cè)表中設(shè)置訪問(wèn)控制,這樣只有那些需要訪問(wèn)的帳戶才能夠閱讀或修改這些注冊(cè)表設(shè)置。
10、在DNS文件系統(tǒng)入口設(shè)置訪問(wèn)控制
在基于Windows的DNS服務(wù)器中,你應(yīng)該在DNS服務(wù)器相關(guān)的文件系統(tǒng)入口設(shè)置訪問(wèn)控制,這樣只有需要訪問(wèn)的帳戶才能夠閱讀或修改這些文件。
