在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

您好,歡迎來電子發燒友網! ,新用戶?[免費注冊]

您的位置:電子發燒友網>電子百科>電腦硬件>服務器>

DNS服務器 - 解讀DNS服務器以及保護的方法

2018年01月14日 09:21 網絡整理 作者: 用戶評論(0

3.使用DNS廣告者(DNSadvertisers

DNS廣告者是一臺負責解析域中查詢的DNS服務器。例如,如果你的主機對于domain.com和corp.com是公開可用的資源,你的公共DNS服務器就應該為domain.com和corp.com配置DNS區文件。

除DNS區文件宿主的其他DNS服務器之外的DNS廣告者設置,是DNS廣告者只回答其授權的域名的查詢。這種DNS服務器不會對其他DNS服務器進行遞歸查詢。這讓用戶不能使用你的公共DNS服務器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險,包括緩存中毒,增加了安全。

解讀DNS服務器以及保護的方法

4.使用DNS解析者

DNS解析者是一臺可以完成遞歸查詢的DNS服務器,它能夠解析為授權的域名。例如,你可能在內部網絡上有一臺DNS服務器,授權內部網絡域名internalcorp.com的DNS服務器。當網絡中的客戶機使用這臺DNS服務器去解析techrepublic.com時,這臺DNS服務器通過向其他DNS服務器查詢來執行遞歸以獲得答案。

DNS服務器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS服務器。你可以讓DNS解析者僅對內部用戶使用,你也可以讓它僅為外部用戶服務,這樣你就不用在沒有辦法控制的外部設立DNS服務器了,從而提高了安全性。當然,你也可以讓DNS解析者同時被內、外部用戶使用。

5.保護DNS不受緩存污染

DNS緩存污染已經成了日益普遍的問題。絕大部分DNS服務器都能夠將DNS查詢結果在答復給發出請求的主機之前,就保存在高速緩存中。DNS高速緩存能夠極大地提高你組織內部的DNS查詢性能。問題是如果你的DNS服務器的高速緩存中被大量假的DNS信息“污染”了的話,用戶就有可能被送到惡意站點而不是他們原先想要訪問的網站。

絕大部分DNS服務器都能夠通過配置阻止緩存污染。WindowsServer2003DNS服務器默認的配置狀態就能夠防止緩存污染。如果你使用的是Windows2000DNS服務器,你可以配置它,打開DNS服務器的Properties對話框,然后點擊“高級”表。選擇“防止緩存污染”選項,然后重新啟動DNS服務器。

6.使DDNS只用安全連接

很多DNS服務器接受動態更新。動態更新特性使這些DNS服務器能記錄使用DHCP的主機的主機名和IP地址。DDNS能夠極大地減輕DNS管理員的管理費用,否則管理員必須手工配置這些主機的DNS資源記錄。

然而,如果未檢測的DDNS更新,可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為臺文件服務器、Web服務器或者數據庫服務器動態更新的DNS主機記錄,如果有人想連接到這些服務器就一定會被轉移到其他的機器上。

解讀DNS服務器以及保護的方法

你可以減少惡意DNS升級的風險,通過要求安全連接到DNS服務器執行動態升級。這很容易做到,你只要配置你的DNS服務器使用活動目錄綜合區(ActiveDirectoryIntegratedZones)并要求安全動態升級就可以實現。這樣一來,所有的域成員都能夠安全地、動態更新他們的DNS信息。

7.禁用區域傳輸

區域傳輸發生在主DNS服務器和從DNS服務器之間。主DNS服務器授權特定域名,并且帶有可改寫的DNS區域文件,在需要的時候可以對該文件進行更新。從DNS服務器從主力DNS服務器接收這些區域文件的只讀拷貝。從DNS服務器被用于提高來自內部或者互聯網DNS查詢響應性能。

然而,區域傳輸并不僅僅針對從DNS服務器。任何一個能夠發出DNS查詢請求的人都可能引起DNS服務器配置改變,允許區域傳輸傾倒自己的區域數據庫文件。惡意用戶可以使用這些信息來偵察你組織內部的命名計劃,并攻擊關鍵服務架構。你可以配置你的DNS服務器,禁止區域傳輸請求,或者僅允許針對組織內特定服務器進行區域傳輸,以此來進行安全防范。

8.使用防火墻來控制DNS訪問

防火墻可以用來控制誰可以連接到你的DNS服務器上。對于那些僅僅響應內部用戶查詢請求的DNS服務器,應該設置防火墻的配置,阻止外部主機連接這些DNS服務器。對于用做只緩存轉發器的DNS服務器,應該設置防火墻的配置,僅僅允許那些使用只緩存轉發器的DNS服務器發來的查詢請求。防火墻策略設置的重要一點是阻止內部用戶使用DNS協議連接外部DNS服務器。

解讀DNS服務器以及保護的方法

9.在DNS注冊表中建立訪問控制

在基于Windows的DNS服務器中,你應該在DNS服務器相關的注冊表中設置訪問控制,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些注冊表設置。

HKLMCurrentControlSetServicesDNS鍵應該僅僅允許管理員和系統帳戶訪問,這些帳戶應該擁有完全控制權限。

10.在DNS文件系統入口設置訪問控制

在基于Windows的DNS服務器中,你應該在DNS服務器相關的文件系統入口設置訪問控制,這樣只有需要訪問的帳戶才能夠閱讀或修改這些文件。

非常好我支持^.^

(0) 0%

不好我反對

(0) 0%

( 發表人:金巧 )

      發表評論

      用戶評論
      評價:好評中評差評

      發表評論,獲取積分! 請遵守相關規定!

      ?
      主站蜘蛛池模板: 婷婷久久久五月综合色 | 97久久综合九色综合 | 四虎影视永久在线观看 | 男女视频在线观看免费 | 欧美成人影院 | 特级全黄一级毛片视频 | 伊人98| 五月婷婷六月爱 | 色妞影视| 亚洲综合日韩欧美一区二区三 | 色香五月 | 免费一级特黄欧美大片勹久久网 | 狠狠色狠狠色狠狠五月ady | 788gao这里只有精品 | 男人午夜免费视频 | 大又大又粗又爽女人毛片 | 性欧美极品 | 亚洲第成色999久久网站 | 一个色在线 | 欧美黑人巨大xxx猛交 | 国内真实实拍伦视频在线观看 | 一区二区3区免费视频 | 午夜精品一区二区三区在线视 | 黄色成人免费网站 | 一级黄色大全 | 四虎免费久久影院 | 性色爽爱性色爽爱网站 | 免费黄色在线观看 | 美女扒开腿让男生桶爽网站 | 黄色毛片免费看 | 永久免费在线看 | 中文字幕在线播放不卡 | 精品久久久久久 | 天天摸天天澡天天碰天天弄 | 午夜视频免费在线播放 | 国产高清视频在线免费观看 | 久久久久999 | 午夜影视啪啪免费体验区深夜 | 国语一区 | 视频免费1区二区三区 | 天天狠天天透天干天天怕处 |