При планировании развертывания DNS-сервера придерживайтесь следующих правил обеспечения безопасности DNS:

• Если от узлов сети не требуется разрешения имен Интернета, устраните связь DNS-сервера с Интернетом.
  
  При таком проектировании DNS можно использовать частное пространство имен DNS, которое размещено полностью в локальной сети. Частное пространство имен DNS распределяется так же, как и пространство имен DNS в Интернете: внутренние DNS-серверы хранят зоны для корневого домена и доменов верхнего уровня.
  
  
• Разделите пространство имен DNS организации между внутренними DNS-серверами, защищенными брандмауэром, и внешними DNS-серверами, располагающимися за брандмауэром.
  
  При таком проектировании DNS внутреннее пространство имен DNS является дочерним доменом внешнего пространства имен DNS. Например, если пространством имен DNS в Интернете для организации является tailspintoys.com, внутреннее пространство имен DNS для локальной сети будет corp.tailspintoys.com.
  
  
• Размещайте внутреннее пространство имен DNS на внутренних DNS-серверах, а внешнее пространство имен DNS на внешних DNS-серверах, имеющих выход в Интернет.
  
  Чтобы разрешать запросы внешних имен, сделанных внутренними узлами, внутренние DNS-серверы в этом проекте DNS должны пересылать запросы внешних имен на внешние DNS-серверы. Внешние узлы используют только внешние DNS-серверы для разрешения имен Интернета.
  
  
• Настройте фильтрацию пакетов на брандмауэре, чтобы была разрешена связь только по порту 53 протоколов TCP и UDP между внешним и внутренним DNS-серверами.
  
  При таком проектировании DNS облегчается связь между внутренними и внешними DNS-серверами и предотвращается доступ других внешних компьютеров к внутреннему пространству имен DNS.
  
  

Дополнительные сведения см. в разделе Сведения о безопасности для DNS.