保护DNS服务器十大最有效方法

DNS软件是黑客攻击的目标，可能会带来安全问题。本文提供了10种保护DNS最有效的服务器方法。

一.使用DNS转发器

DNS其他的都是转发器DNS服务器

完成DNS查询的DNS服务器DNS减少转发器的主要目的DNS处理压力，从查询请求DNS从DNS转发器更有潜力DNS从记忆中获益。

使用DNS转发器的另一个优点是它被阻止了DNS服务器转发来自互联网DNS服务器查询请求。器查询请求DNS服务器保存了您的内部域DNS如果记录资源，这一点非常重要。不要让内部DNS递回查询并直接联系服务器DNS使用转发器处理未经授权的请求务器。

二.使用只缓衝DNS服务器

只缓衝DNS为授权功能变数名称提供服务器。它被用作递回查询或转发器。当只是缓冲DNS服务器收到反馈，将结果保存在快速记忆中，然后将结果发送给它DNS查询请求的系统。随着时间推移，只缓衝DNS大量的服务器可以收集DNS这可以大大缩短其提供DNS回应时间DNS在您的管理控制下，服务器作为转发器可以提高组织安全性DNS只能缓冲服务器DNS作为自己的转发器，服务器只是缓冲DNS服务器代替你的内部DNS服务器完成递回查询。使用自己的缓冲DNS作为转发器，服务器可以提高安全性，因为你不需要依赖你ISP的DNS您无法确认服务器作为转发器ISP的DNS在服务器安全的情况下，更是如此。

三.使用DNS广告者(DNSadvertisers)

DNS广告商负责分析域的查询DNS服务器。比如你的主机对domain.com和corp.com你的公共资源是公开可用的DNS服务器应该是domain.com和corp.com配置DNS区档。

除DNS其他区档宿主DNS以外的服务器DNS广告商设置，是的DNS广告商只回答其授权的功能变数名称查询DNS服务器不会对别人DNS递回查询服务器。这使得用户无法使用您的公众DNS其它功能变数名称由服务器分析。通过减少和运行公开DNS包括缓存中毒在内的分析师风险增加了安全性。

四.使用DNS解析者

DNS可完成递回查询的分析师DNS可分析为授权功能变数名称的服务器。例如，您可能在内部网络上有一个DNS授权内部网络功能变数名称的服务器internalcorp.com的DNS服务器。这个用于网络中的客户机DNS分析服务器techrepublic.com时，这台DNS通过其他服务器DNS服务器查询执行递回以获得答案。

DNS服务器和DNS分析师之间的区别在于DNS分析师只是为了分析互联网主机的名称。DNS分析师可以是未经授权的DNS功能变数名称只缓存DNS服务器。您可以让DNS分析师只使用内部用户，你也可以让它只为外部用户服务，这样你就不必在无法控制的外部设置DNS服务器提高了安全性。当然，你也可以让DNS内外用户同时使用分析师。

五.保护DNS不受缓存污染

DNS缓存污染已经成了日益普遍的问题。绝大部分DNS所有服务器都可以DNS在答复发出请求的主机之前，查询结果保存在快速记忆中。DNS快速提取记忆体可以大大改善组织内部DNS查询性能。如果你的话，问题是DNS在服务器的快速记忆体中有很多假的DNS如果信息被污染，用户可能会被送到恶意网站，而不是他们想要访问的网站。

绝大部分DNS通过配置，服务器可以防止缓存污染。WindowsServer2003DNS预设服务器的配置状态可以防止缓存污染。如果你使用它Windows2000DNS您可以配置服务器并打开它DNS服务器的Properties对话方块，然后点击高级表。选择预防污染选项，然后重新启动DNS服务器。

六.使DDNS只需安全连接

很多DNS服务器接受动态更新。动态更新特性使这些DNS可记录使用服务器DHCP主机主机名称及IP位址。DDNS它可以大大减少DNS管理员的管理费，否则管理员必须手动配置这些主机DNS资源记录。

但是，如果没有检测到DDNS更新可能会带来严重的安全问题。恶意用户可以将主机配置为台湾档案服务器Web动态更新服务器或数据库服务器DNS如果有人想连接到这些服务器，主机记录将被转移到其他机器上。你可以减少恶意DNS升级的风险，通过要求安全连接到DNS动态升级服务器执行。你只需要配置你的DNS活动目录综合区服务器使用(ActiveDirectoryIntegratedZones)并要求实现安全动态升级。这样，所有域成员都可以安全动态地更新DNS资讯。

七.禁区传输

主要发生区域传输DNS服务器和从DNS服务器之间DNS具体功能变数名称由服务器授权，并可重写DNS需要时可以更新区域档DNS服务器从主力DNS服务器接收这些区域文件的唯读副本DNS从内部或互联网上改进服务器DNS查询响应性能。

然而，区域传输不仅仅是针对从DNS服务器。任何一个都可以发出DNS查询请求的人都可能造成DNS服务器配置的变化允许区域传输和倾倒自己的区域数据库文件。恶意用户可以使用这些信息来调查组织内部的命名计划，并攻击关键的服务架构。你可以配置你的DNS服务器，禁止区域传输禁止区域传输请求或只允许组织内特定服务器的区域传输。

八.用防火墙控制DNS访问

防火墙可以用来控制谁可以连接到你DNS服务器。对于那些只回应内部用户查询请求的人DNS应设置防火墙配置，防止外部主机连接DNS服务器。只用于缓存转发器DNS防火墙的配置应设置在服务器上，只允许那些只使用缓存转发器的人DNS服务器发送的查询请求。防火墙策略设置的重要一点是防止内部用户使用DNS协议连接外部DNS服务器。

九.在DNS存取控制建立在登记表中

在基于Windows的DNS您应该在服务器中DNS存取控制设置在与服务器相关的注册表中，这样只有需要访问的账户才能阅读或修改这些注册表设置。HKLM\CurrentControlSet\Services\DNS该键仅允许管理员和系统帐户访问，这些帐户应具有完全控制许可权。

十.在DNS档案系统入口设置存取控制

在基于Windows的DNS您应该在服务器中DNS存取控制设置在与服务器相关的档案系统入口处，只有需要访问的账户才能阅读或修改这些档案。