在使用防火牆時怎樣使用DNS呢?

來源:互聯網
上載者:User

  一些機構想隱藏DNS名,不讓外界知道。許多專家認為隱藏DNS名沒有什麼價值,但是,如果網站或企業的政策強制要求隱藏欄位名,它也不失為一種已知可行的辦法。你可能必須隱藏欄位名的另一條理由是你的內部網路上是否有非標準的定址方案。不要自欺欺人的認為,如果隱藏了你的DNS名,在攻擊者打入你的防火牆時,會給攻擊者增加困難。有關你的網路的資訊可以很容易地從網路層獲得。假如你有興趣證實這點的話,不妨在LAN上“ping”一下子網廣播位址,然後再執行“arp -a”。還需要說明的是,隱藏DNS中的網域名稱不能解決從郵件標頭、新聞文章等中“泄露”主機名稱的問題。

  這種方法是許多方法中的一個,它對於希望向Internet隱瞞自己的主機名稱的機構很有用。這種辦法的成功取決於這樣一個事實:即一台機器上的DNS客戶機不必與在同一台機器上的DNS伺服器對話。換句話說,正是由於在一台機器上有一個DNS伺服器,因此,將這部機器的DNS客戶機活動重新導向到另一台機器上的DNS伺服器沒有任何不妥(並且經常有好處)。

  首先,你在可以與外部世界通訊的橋頭堡主機上建立DNS伺服器。你建立這台伺服器使它宣布對你的網域名稱具有訪問的權力。事實上,這台伺服器所瞭解的就是你想讓外部世界所瞭解的:你網關的名稱和地址、你的萬用字元MX記錄等等。這台伺服器就是“公用”伺服器。

  然後,在內部機器上建立一台DNS伺服器。這台伺服器也宣布對你的網域名稱具有權力;與公用伺服器不同,這台伺服器“講的是真話”。它是你的“正常”的命名伺服器,你可以在這台伺服器中放入你所有的“正常”DNS名。你再設定這台伺服器,使它可以將它不能解決的查詢轉寄到公用伺服器(例如,使用Unix機上的/etc/

  named.boot中的“轉寄站”行(forwarder line))。

  最後,設定你所有的DNS客戶機(例如,Unix機上的/etc/resolv.conf檔案)使用內部伺服器,這些DNS客戶機包括公用伺服器所在機器上的DNS客戶機。這是關鍵。

  詢問有關一台內部主機資訊的內部客戶機向內部伺服器提出問題,並得到回答;詢問有關一部外部主機資訊的內部客戶機向內部伺服器查詢,內部客戶機再向公用伺服器進行查詢,公用伺服器再向Internet查詢,然後將得到的答案再一步一步傳回來。公用伺服器上的客戶機也以相同的方式工作。但是,一台詢問關於一台內部主機資訊的外部客戶機,只能從公用伺服器上得到“限制性”的答案。

  這種方式假定在這兩台伺服器之間有一個包過濾防火牆,這個防火牆允許伺服器相互傳遞DNS,但除此之外,限制其它主機之間的DNS。

  這種方式中的另一項有用的技巧是利用你的IN-ADDR.AROA網域名稱中萬用字元PTR記錄。這將引起對任何非公用主機的“地址到名稱”(address-to-name)的尋找返回像“unknown.YOUR.DOMAIN”這樣的資訊,而非返回一個錯誤。這就滿足了像ftp.uu.net匿名FTP網站的要求。這類網站要求得到與它們通訊的電腦的名字。當與進行DNS交叉檢查的網站通訊時,這種方法就不靈了。在交叉檢查中,主機名稱要與它的地址匹配,地址也要與主機名稱匹配。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。