1、保证 DNS 部署的安全
设计 DNS 服务器部署时,应采用下列 DNS 安全准则:
如果不需要企业网络主机来解析 Internet 上的名称,应取消与 Internet 的 DNS 通信。
在该 DNS 设计中,可使用企业网络中完全主持的专用 DNS 名称空间。专用 DNS 名称空间的分发与 Internet DNS 名称空间的分发相同,内部 DNS 服务器为根域和优异域主持区域。
在防火墙后面的内部 DNS 服务器和防火墙前面的外部 DNS 服务器间分割企业单位的 DNS 名称空间。
在该 DNS 设计中,企业内部 DNS 名称空间是外部 DNS 名称空间的子域。例如,如果企业单位的 Internet DNS 名称空间是 ghq.com,企业网络的内部 DNS 名称空间是 corp.ghq.com。
在内部 DNS 服务器上主持内部 DNS 名称空间,在暴露给 Internet 的外部 DNS 服务器上主持外部 DNS 服务器。
要解析内部主机进行的外部名称查询,内部 DNS 服务器会将外部名称查询转发给外部 DNS 服务器。外部主机只使用外部 DNS 服务器进行 Internet 名称解析。
配置数据包筛选防火墙,以便只允许在外部 DNS 服务器和单一内部 DNS 服务器间进行 UDP 和 TCP 端口 53 通信。
这将便于内部和外部 DNS 服务器间的通信,并可防止任何其他外部计算机获取对于内部 DNS 名称空间的访问权。
2、保护 DNS 服务器服务
要保护企业网络中的 DNS 服务器的安全,请采用下列准则:
检查并配置影响安全性的默认 DNS 服务器服务设置DNS 服务器服务配置选项对于标准和集成了 Active Directory 的 DNS 服务器服务具有安全意义。(如表2所示)
&picid=383826.jpg) |
| 表2 点击看大图 |
管理域控制器上运行的 DNS 服务器上的随机访问控制列表 (DACL) ,除了影响上述安全性的默认 DNS 服务器服务设置外,配置为域控制器的 DNS 服务器使用 DACL。DACL 允许您控制对于控制 DNS 服务器服务的 Active Directory 用户和组的权限。下表3列出了在域控制器上运行时,对于 DNS 服务器服务的默认组或用户名和权限。
&picid=383828.jpg) |
| 表3 点击看大图 |
DNS 服务器服务在域控制器上运行时,可使用 Active Directory 对象 Microsoft DNS 管理该服务的 DACL。在 Microsoft DNS Active Directory 对象上配置 DACL 与在 DNS 控制台中的 DNS 服务器上配置 DACL 效果相同,建议采用后一种方法。这样,Active Directory 对象和 DNS 服务器的安全管理员应直接联系,以确保管理员不会颠倒彼此的安全设置。
应将 NTFS 文件系统始终用于运行 Windows Server 2003 操作系统的 DNS 服务器。NTFS 文件系统比 FAT 和 FAT32 文件系统功能强大,并能提供包括 Active Directory 的各种功能,Active Directory 是域、用户帐户和其他重要安全功能所需要的。
