保護DNS伺服器幾種有效方法

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳

DNS軟體是駭客熱衷攻擊的目標，它可能帶來安全問題，在網路安全防護中，DNS的安全保護就顯得尤為重要。 本文結合相關資料和自己多年來的經驗列舉了四個保護DNS伺服器有效的方法。 以便讀者參考。

1.使用DNS轉寄站

DNS轉寄站是為其他DNS伺服器完成DNS查詢的DNS伺服器。 使用DNS轉寄站的主要目的是減輕DNS處理的壓力，把查詢請求從DNS伺服器轉給轉寄站， 從DNS轉寄站潛在地更大DNS快取記憶體中受益。

使用DNS轉寄站的另一個好處是它阻止了DNS伺服器轉發來自互聯網DNS伺服器的查詢請求。 如果你的DNS伺服器保存了你內部的域DNS資源記錄的話， 這一點就非常重要。 不讓內部DNS伺服器進行遞迴查詢並直接聯繫DNS伺服器，而是讓它使用轉寄站來處理未授權的請求。

2.使用只緩衝DNS伺服器

只緩衝DNS伺服器是針對為授權功能變數名稱的。 它被用做遞迴查詢或者使用轉寄站。 當只緩衝DNS伺服器收到一個回饋，它把結果保存在快取記憶體中，然後把 結果發送給向它提出DNS查詢請求的系統。 隨著時間推移，只緩衝DNS伺服器可以收集大量的DNS回饋，這能極大地縮短它提供DNS回應的時間。

把只緩衝DNS伺服器作為轉寄站使用，在你的管理控制下，可以提高組織安全性。 內部DNS伺服器可以把只緩衝DNS伺服器當作自己的轉寄站，只緩衝 DNS伺服器代替你的內部DNS伺服器完成遞迴查詢。 使用你自己的只緩衝DNS伺服器作為轉寄站能夠提高安全性，因為你不需要依賴你的ISP的DNS服務 器作為轉寄站，在你不能確認ISP的DNS伺服器安全性的情況下，更是如此。

3.使用DNS廣告者

DNS廣告者是一台負責解析域中查詢的DNS伺服器。 例如，如果你的主機對於domain.com 和corp.com是公開可用的資源，你的公共DNS伺服器就應該為 domain.com 和corp.com配置DNS區檔。

除DNS區檔宿主的其他DNS伺服器之外的DNS廣告者設置，是DNS廣告者只回答其授權的功能變數名稱的查詢。 這種DNS伺服器不會對其他DNS伺服器進行遞迴查詢。 這讓使用者不能使用你的公共DNS伺服器來解析其他功能變數名稱。 通過減少與運行一個公開DNS解析者相關的風險，包括緩存中毒，增加了安全。

4.使用DNS解析者

DNS解析者是一台可以完成遞迴查詢的DNS伺服器，它能夠解析為授權的功能變數名稱。 例如，你可能在內部網路上有一台DNS伺服器，授權內部網路功能變數名稱 internalcorp.com的DNS伺服器。 當網路中的客戶機使用這台DNS伺服器去解析techrepublic.com時，這台DNS伺服器通過向其他DNS伺服器查詢來執行遞迴 以獲得答案。

DNS伺服器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名稱。 DNS解析者可以是未授權DNS功能變數名稱的只緩存DNS伺服器。 你可以讓DNS 解析者僅對內部使用者使用，你也可以讓它僅為外部使用者服務，這樣你就不用在沒有辦法控制的外部設立DNS伺服器了，從而提高了安全性。 當然，你也可以讓DNS解析者同時被內、外部使用者使用。

以上資料僅供參考，如有需要瞭解本公司智慧DNS和更多的保護方式狀況可點擊HTTP://dns.qy.com.cn/