权威专家指导:10大气法维护好DNS网络服务器

2020-12-31 17:13 admin

权威专家指导:10大气法维护好DNS网络服务器


小视频,自媒体平台,达种族草一站服务

DNS手机软件是网络黑客热衷于进攻的总体目标,它将会产生安全性难题。这儿是一些维护DNS网络服务器最合理的方式。

1.应用DNS分享器

DNS分享器是为别的DNS网络服务器进行DNS查寻的DNS网络服务器。应用DNS转

发器的关键目地是缓解DNS解决的工作压力,把查寻恳求从DNS网络服务器转给分享器, 从DNS分享器潜伏地更大DNS髙速缓存文件中获益。

应用DNS分享器的另外一个益处是它阻拦了DNS网络服务器分享来源于互连网DNS网络服务器的查寻恳求。假如你的DNS网络服务器储存了你內部的域DNS資源纪录得话, 这一点就十分关键。不许內部DNS网络服务器开展递归查寻并立即联络DNS网络服务器,只是让它应用分享器来解决未受权的恳求。

2.应用只缓存DNS网络服务器

只缓存DNS网络服务器是对于为受权网站域名的。它被用作递归查寻或是应用分享器。当只缓存DNS网络服务器接到一个意见反馈,它把結果储存在髙速缓存文件中,随后把 結果推送给向它明确提出DNS查寻恳求的系统软件。伴随着時间变化,只缓存DNS网络服务器能够搜集很多的DNS意见反馈,这能巨大地减少它出示DNS响应的時间。

把只缓存DNS网络服务器做为分享器应用,在你的管理方法操纵下,能够提升机构安全性性。內部DNS网络服务器能够把只缓存DNS网络服务器作为自身的分享器,只缓存 DNS网络服务器替代你的內部DNS网络服务器进行递归查寻。应用你自身的只缓存DNS网络服务器做为分享器可以提升安全性性,由于你没必须依靠你的ISP的DNS服务 器做为分享器,在你没能确定ISP的DNS网络服务器安全性性的状况下,也是这般。

3.应用DNS广告宣传者(DNS advertisers)

DNS广告宣传者是一台承担分析域中查寻的DNS网络服务器。比如,假如你的服务器针对domain 和corp是公布能用的資源,你的公共性DNS网络服务器就应当为 domain 和corp配备DNS区文档。

除DNS区文档寄主的别的DNS网络服务器以外的DNS广告宣传者设定,是DNS广告宣传者只回应其受权的网站域名的查寻。这类DNS网络服务器不容易对别的DNS网络服务器开展递归 查寻。这让客户不可以应用你的公共性DNS网络服务器来分析别的网站域名。根据降低与运作一个公布DNS分析者有关的风险性,包含缓存文件中毒了,提升了安全性。

4.应用DNS分析者

DNS分析者是一台能够进行递归查寻的DNS网络服务器,它可以分析为受权的网站域名。比如,你可以能以内部互联网上面有一台DNS网络服务器,受权內部互联网网站域名 internalcorp的DNS网络服务器。当互联网中的顾客机应用这台DNS网络服务器去分析techrepublic时,这台DNS网络服务器根据向别的DNS网络服务器查寻来实行递归 以得到回答。

DNS网络服务器和DNS分析者中间的差别是DNS分析者是只是对于分析互连网服务器名。DNS分析者能够是未受权DNS网站域名的只缓存文件DNS网络服务器。你可以以让DNS 分析者仅对里部客户应用,你还可以让它仅为外界客户服务,那样你也就无需在沒有方法操纵的外界开设DNS网络服务器了,进而提升了安全性性。自然,你也 可让DNS分析者同时被内、外界客户应用。

5.维护DNS不会受到缓存文件环境污染

DNS缓存文件环境污染早已变成日渐广泛的难题。绝大多数DNS网络服务器都可以将DNS查寻結果在回应给传出恳求的服务器以前,就储存在髙速缓存文件中。DNS髙速缓存文件 可以巨大地提升你机构內部的DNS查寻特性。难题是假如你的DNS网络服务器的髙速缓存文件中被很多假的DNS信息内容 环境污染 了得话,客户就会有将会被送至故意站点 而并不是她们本来要想浏览的网站。

绝大多数DNS网络服务器都可以根据配备阻拦缓存文件环境污染。Windows Server 2003 DNS网络服务器默认设置的配备情况就可以够避免缓存文件环境污染。假如你应用的是Windows 2000 DNS网络服务器,你可以以配备它,开启DNS网络服务器的Properties会话框,随后点一下 高級 表。挑选 避免缓存文件环境污染 选择项,随后再次起动DNS网络服务器。

6.使DDNS仅用安全性联接

许多DNS网络服务器接纳动态性升级。动态性升级特点使这种DNS网络服务器能纪录应用DHCP的服务器的服务器名和IP详细地址。DDNS可以巨大地缓解DNS管理方法员的管理方法花费 ,不然管

理员务必手工制作配备这种服务器的DNS資源纪录。

但是,假如未检验的DDNS升级,将会会有来很比较严重的安全性难题。一个故意客户能够配备服务器变成台文档网络服务器、Web网络服务器或是数据信息库网络服务器动态性升级 的DNS服务器纪录,假如有些人想联接到这种网络服务器就一定会被迁移到别的的设备上。

你可以以降低故意DNS升級的风险性,根据规定安全性联接到DNS网络服务器实行动态性升級。这非常容易保证,你要是配备你的DNS网络服务器应用主题活动文件目录综合性区 (Active Directory Integrated Zones)然后求安全性动态性升級便可以完成。那样一来,全部的域组员都可以安全性地、动态性升级她们的DNS信息内容。

7.禁止使用地区传送

地区传送产生在主DNS网络服务器和从DNS网络服务器中间。主DNS网络服务器受权特殊网站域名,而且含有可改变的DNS地区文档,在必须的情况下能够对该文档开展升级 。从DNS网络服务器从主要DNS网络服务器接受这种地区文档的写保护复制。从DNS网络服务器被用以提升来源于內部或是互连网DNS查寻响应特性。

但是,地区传送其实不只是对于从DNS网络服务器。一切一个可以传出DNS查寻恳求的人都可以能造成DNS网络服务器配备更改,容许地区传送乱倒自身的地区数据信息 库文档。故意客户可使用这种信息内容来侦查你机构內部的取名方案,并进攻重要服务构架。你可以以配备你的DNS网络服务器,严禁地区传送恳求,或是仅允 许对于机构内特殊网络服务器开展地区传送,为此来开展安全性预防。

8.应用防火安全墙来操纵DNS浏览

防火安全墙能够用于操纵谁能够联接到你的DNS网络服务器上。针对这些只是响应內部客户查寻恳求的DNS网络服务器,应当设定防火安全墙的配备,阻拦外界服务器联接 这种DNS网络服务器。针对用作只缓存文件分享器的DNS网络服务器,应当设定防火安全墙的配备,只是容许这些应用只缓存文件分享器的DNS网络服务器发过来的查寻恳求。防火安全墙对策设定的关键一点是阻拦內部客户应用DNS协议书联接外界DNS网络服务器。

9.在DNS申请注册表格中创建浏览操纵

在根据Windows的DNS网络服务器中,你应当在DNS网络服务器有关的申请注册表格中设定浏览操纵,那样仅有这些必须浏览的账号才可以够阅读文章或改动这种申请注册表设定。

HKLMCurrentControlSetServicesDNS键应当只是容许管理方法员和系统软件账号浏览,这种账号应当有着彻底操纵管理权限。

10.在DNS文档系统软件通道设定浏览操纵

在根据Windows的DNS网络服务器中,你应当在DNS网络服务器有关的文档系统软件通道设定浏览操纵,那样仅有必须浏览的账号才可以够阅读文章或改动这种文档。

%system_directory%DNS文档夹及子文档夹应当只是容许系统软件账号浏览,系统软件账号应当有着彻底操纵管理权限。使DDNS仅用安全性联接。