下面是DNS的三种安全级别，我们可根据单位实际情况，选择DNS 安全配置级别，增加企业的 DNS 安全性。

    1、低级安全性

    低级安全性是一种标准的 DNS 部署，不配置任何安全预防措施。只在不关心 DNS 数据的完整性的网络环境或不存在外部连接威胁的专用网络中才部署该级 DNS 安全性。
    • 企业的 DNS 结构完全暴露给 Internet。
    • 标准 DNS 解决方案是由企业网络中的所有 DNS 服务器执行的。
    • 所有 DNS 服务器都配置有指向 Internet 的根提示的根服务器。
    • 所有 DNS 服务器都允许向任何服务器进行区域传输。
    • 所有 DNS 服务器都配置为侦听其所有 IP 地址。
    • 在所有 DNS 服务器上禁用防止缓存污染。
    • 允许对所有 DNS 区域进行动态更新。
    • 用户数据报协议 (UDP) 和传输控制协议/Internet 协议 (TCP/IP) 端口 53 在企业网络的源和目标地址的防火墙上处于打开状态。

    2、中级安全性
    中级安全性使用可用的 DNS 安全功能，不在域控制器上运行 DNS 服务器，也不在 Active Directory 中存储 DNS 区域。
    • 企业的 DNS 结构有限暴露给 Internet。
    • 所有 DNS 服务器在本地都无法解析名称时，将其配置为使用转发器指向内部 DNS 服务器的特定列表。
    • 所有 DNS 服务器都将区域传输限制为其区域中的名称服务器 (NS) 资源记录中列出的服务器。
    • 配置 DNS 服务器在指定的 IP 地址上侦听。
    • 在所有 DNS 服务器上已启用缓存污染防止。
    • 不允许对任何 DNS 区域进行动态更新。
     • 内部 DNS 服务器通过防火墙与外部 DNS 服务器通信，该防火墙具有所允许的源和目标地址的有限列表。
    • 防火墙前方的外部 DNS 服务器都配置有指向 Internet 的根服务器的根提示。
     • 所有 Internet 名称解析都使用代理服务器和网关执行。

    3、高级安全性
    高级安全性使用与中级安全性相同的配置，DNS 服务器服务在域控制器上运行且 DNS 区域存储在 Active Directory 中时，也使用可用的安全功能。此外，高级安全性还完全取消了与 Internet 的 DNS 通信。这不是通常使用的配置，但是，每当不需要 Internet 连接时，则建议使用该配置。
    • 企业的 DNS 结构不通过内部 DNS 服务器与 Internet 通信。
    • 企业网络使用内部 DNS 根目录和名称空间，其中对于 DNS 区域的所有权限都是内部的。
    • 配置为使用转发器的 DNS 服务器只使用内部 DNS 服务器 IP 地址。
    • 所有 DNS 服务器都将区域传输限制为指定的 IP 地址。
    • 配置 DNS 服务器在指定的 IP 地址上侦听。
    • 在所有 DNS 服务器上已启用缓存污染防止。
    • 内部 DNS 服务器都配置有指向内部 DNS 服务器的根提示，这些服务器主持企业内部名称空间的根目录区域。
    • 所有 DNS 服务器都在域控制器上运行。DNS 服务器服务上配置有随机访问控制列表 (DACL)，只允许特定个人在 DNS 服务器上执行管理任务。
    • 所有 DNS 区域都存储在 Active Directory 中。DACL 配置为只允许特定个人创建、删除或修改 DNS 区域。
    • DNS 资源记录上的 DACL 被配置为只允许特定个人创建、删除或修改 DNS 数据。
    • 为 DNS 区域配置了安全的动态更新，优异和根目录区域除外，它们根本不允许进行动态更新。