保護DNS服務器十大技巧
日期:2014-05-21點擊:3054
1、使用DNS轉發器
目的是減輕DNS處理的壓力,把查詢請求從DNS服務器轉給轉發器, 從DNS轉發器潛在地更大DNS高速緩存中受益。
2、使用只緩沖DNS服務器
隨著時間推移,只緩沖DNS服務器可以收集大量的DNS反饋,這能極大地縮短它提供DNS響應的時間。
3、使用DNS廣告者(DNS advertisers)
讓用戶不能使用你的公共DNS服務器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險,包括緩存中毒,增加了安全性。
4、使用DNS解析者
DNS解析者是一臺可以完成遞歸查詢的DNS服務器,它能夠解析為授權的域名。
5、保護DNS不受緩存污染
絕大部分DNS服務器都能夠通過配置阻止緩存污染。WindowsServer 2003 DNS服務器默認的配置狀態就能夠防止緩存污染。
6、使DDNS只用安全連接
你可以減少惡意DNS升級的風險,通過要求安全連接到DNS服務器執行動態升級。
7、禁用區域傳輸
你可以配置你的DNS服務器,禁止區域傳輸請求,或者僅允 許針對組織內特定服務器進行區域傳輸,以此來進行安全防范。
8、使用防火墻來控制DNS訪問
防火墻可以用來控制誰可以連接到你的DNS服務器上,防火墻策略設置的重要一點是阻止內部用戶使用DNS協議連接外部DNS服務器。
9、在DNS注冊表中建立訪問控制
在基于Windows的DNS服務器中,你應該在DNS服務器相關的注冊表中設置訪問控制,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些注冊表設置。
10、在DNS文件系統入口設置訪問控制
在基于Windows的DNS服務器中,你應該在DNS服務器相關的文件系統入口設置訪問控制,這樣只有需要訪問的帳戶才能夠閱讀或修改這些文件。
