Обеспечение безопасности развертывания DNS

При планировании развертывания DNS-сервера придерживайтесь следующих правил обеспечения безопасности DNS:

  • Если от узлов сети не требуется разрешения имен Интернета, устраните связь DNS-сервера с Интернетом.

    При таком проектировании DNS можно использовать частное пространство имен DNS, которое размещено полностью в локальной сети. Частное пространство имен DNS распределяется так же, как и пространство имен DNS в Интернете: внутренние DNS-серверы хранят зоны для корневого домена и доменов верхнего уровня.

  • Разделите пространство имен DNS организации между внутренними DNS-серверами, защищенными брандмауэром, и внешними DNS-серверами, располагающимися за брандмауэром.

    При таком проектировании DNS внутреннее пространство имен DNS является дочерним доменом внешнего пространства имен DNS. Например, если пространством имен DNS в Интернете для организации является tailspintoys.com, внутреннее пространство имен DNS для локальной сети будет corp.tailspintoys.com.

  • Размещайте внутреннее пространство имен DNS на внутренних DNS-серверах, а внешнее пространство имен DNS на внешних DNS-серверах, имеющих выход в Интернет.

    Чтобы разрешать запросы внешних имен, сделанных внутренними узлами, внутренние DNS-серверы в этом проекте DNS должны пересылать запросы внешних имен на внешние DNS-серверы. Внешние узлы используют только внешние DNS-серверы для разрешения имен Интернета.

  • Настройте фильтрацию пакетов на брандмауэре, чтобы была разрешена связь только по порту 53 протоколов TCP и UDP между внешним и внутренним DNS-серверами.

    При таком проектировании DNS облегчается связь между внутренними и внешними DNS-серверами и предотвращается доступ других внешних компьютеров к внутреннему пространству имен DNS.

Дополнительные сведения см. в разделе Сведения о безопасности для DNS.