加強DNS服務的安全措施有以下這些：

• 使用DNS轉發器：使用DNS轉發器的另一個好處是它阻止了DNS服務器轉發來自互聯網DNS服務器的查詢請求。如果DNS服務器保存了內部的域DNS資源記錄，則這一點非常重要。不讓內部DNS服務器進行遞歸查詢并直接聯系DNS服務器，而是讓它使用轉發器來處理未授權的請求。

• 使用只緩沖DNS服務器：只緩沖DNS服務器是針對未授權域名的。它被用作遞歸查詢或者使用轉發器。當只緩沖DNS服務器收到一個反饋時，它把結果保存在高速緩存中，然后把結果發送給向它提出DNS查詢請求的系統。隨著時間推移，只緩沖DNS服務器可以收集大量的DNS反饋，這能極大地縮短它提供DNS響應的時間。在管理控制下，把只緩沖DNS服務器作為轉發器使用，可以提高組織安全性。

• 使用DNS廣告者：DNS廣告者（DNS Advertisers）是一臺負責解析域中查詢的DNS服務器。除DNS區文件宿主的其他DNS服務器之外的DNS廣告者設置，是DNS廣告者只回答其授權的域名的查詢。這種DNS服務器不會對其他DNS服務器進行遞歸查詢。這讓用戶不能使用公共DNS服務器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險（包括緩存中毒）增加了安全。

• 使用DNS解析者：DNS解析者是一臺可以完成遞歸查詢的DNS服務器，它能夠解析為授權的域名。DNS服務器和DNS解析者之間的區別是DNS解析者僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS服務器。可以讓DNS解析者僅對內部用戶使用，也可以讓它僅為外部用戶服務，這樣就不用在沒有辦法控制的外部設立DNS服務器，從而提高了安全性。當然，也可以讓DNS解析者同時被內、外部用戶使用。

• 保護DNS不受緩存污染：DNS緩存污染已經成了日益普遍的問題。絕大部分DNS服務器都能夠將DNS查詢結果在答復給發出請求的主機之前，就保存在高速緩存中。DNS高速緩存能夠極大地提高組織內部的DNS查詢性能。但如果DNS服務器的高速緩存中被大量假的DNS信息“污染”了，用戶就有可能被送到惡意站點，而不是其原先想要訪問的網站。

• 使DNS只用安全連接：很多DNS服務器接受動態更新。動態更新特性使這些DNS服務器能記錄使用DHCP的主機的主機名和IP地址。DNS能夠極大地減輕DNS管理員的工作強度，否則管理員必須手工配置這些主機的DNS資源記錄。然而，如果未檢測DNS更新，可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為一臺文件服務器、Web服務器或者數據庫服務器，以動態更新DNS主機記錄，如果有人想連接到這些服務器就一定會被轉移到其他的機器上。

• 禁用區域傳輸：區域傳輸發生在主DNS服務器和從DNS服務器之間。主DNS服務器授權特定域名，并且帶有可改寫的DNS區域文件，在需要的時候可以對該文件進行更新，從DNS服務器從主DNS服務器接收這些區域文件的只讀副本。從DNS服務器被用于提高來自內部或者互聯網DNS查詢響應性能。

• 使用防火墻來控制DNS訪問：防火墻可以用來控制哪個用戶可以連接到DNS服務器上。對于那些僅僅響應內部用戶查詢請求的DNS服務器，應該設置防火墻的配置，阻止外部主機連接這些DNS服務器。對于用作只緩存轉發器的DNS服務器，應該設置防火墻的配置，僅僅允許那些使用只緩存轉發器的DNS服務器發來的查詢請求。防火墻策略設置的重要原因是它阻止內部用戶使用DNS協議連接外部DNS服務器。

• 在DNS注冊表中建立訪問控制：在基于Windows的DNS服務器中，應該在DNS服務器相關的注冊表中設置訪問控制，這樣只有那些需要訪問的賬戶才能夠閱讀或修改這些注冊表設置。

• 在DNS文件系統入口設置訪問控制：在基于Windows的DNS服務器中，應該在DNS服務器相關的文件系統入口設置訪問控制，這樣只有需要訪問的賬戶才能夠閱讀或修改這些文件。

企業局域網安全方案設計原則有以下這些：

• 綜合性、整體性原則：應用系統工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）及專業措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等）。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施，即計算機網絡安全應遵循綜合性、整體性原則，根據規定的安全策略制定出合理的網絡安全體系結構。

• 需求、風險、代價平衡的原則：對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際的研究（包括任務、性能、結構、可靠性、可維護性等），并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系統的安全策略。

• 一致性原則：一致性原則主要是指網絡安全問題應與整個網絡的工作周期（或生命周期）同時存在，制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統設計（包括初步或詳細設計）及實施計劃、網絡驗證、驗收、運行等，都要有安全的內容及措施，實際上，在網絡建設的開始就考慮網絡安全對策，比在網絡建設好后再考慮安全措施要容易，且花費也小得多。

• 易操作性原則：安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統的正常運行。

• 分步實施原則：由于網絡系統及其應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出，因此，分步實施即可滿足網絡系統及信息安全的基本需求，亦可節省費用開支。

• 多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其他層保護仍可保護信息的安全。

• 可評價性原則：網絡安全的“可評價性”原則是指：實用安全性與用戶需求和應用環境緊密相關。如何預先評價一個安全設計并驗證其網絡的安全性，這需要通過國家有關網絡信息安全測評認證機構的評估來實現。

等級保護測評包括技術測評和管理測評兩方面要求：

• 技術測評主要包括物理環境安全（機房）、網絡通信安全（網絡結構）、區域邊界安全（邊界安全防護措施）、計算環境安全（包括網絡設備、安全設備、操作系統、數據庫、應用軟件、中間件、數據）、安全管理中心（安全管理中心僅三級及以上要求）五個層面，還需進行工具測試和滲透測試（如有特殊原因，客戶可以選擇不進行，但需簽署自愿放棄驗證聲明）。

• 管理測評主要包括安全策略和管理制度、安全管理機構和人員、安全建設管理和安全運維管理四個層面。

防火墻本身就把網絡分為幾種信任等級，而且根據等級不一樣，安全度也是不一樣的：

• 信任區域（Trust）：Trust的安全等級是85，一般都是內網口，比如公司內部的局域網，如果有很多個口，那就每個都設置于Trust，這樣局域網內不但相互之間可以互相訪問，同時也可以訪問比這個信任等級低的其它端口，如果UNTrust和DMZ城區。

• 非信任區域（UNTrust）：UNTrust的安全等級是5，一般都是連外網的端口，比如你外網接入是電信或移動等，那么這個端口的定義就是Trust口，這就說明外網是不可以訪問內網的了。這就加強了內網的安全性。

• 非軍事化區域（DMZ）：DMZ的安全等級是50，DMZ是非軍事化區域的意思，是不安全的區域，為了安全，防火墻可以讓內網主動發起對外網的訪問，而阻止外網主動發起對內網的防問。這樣，對于需要被外網訪問到的服務器如WEB，FTP等，則由于上述原因而不能被外網訪問。所以需要這樣一個區域，將WEB，FTP等和其他內網服務器分開，使其可以被外網主動訪問，但又不會把所有內網暴露給外網。這個區域就是DMZ。外網訪問DMZ還是會受到一定限制。

審計日志是審計人員以人為單位按時間順序反映其每日實施審計全過程的書面記錄，主要包括：

• 被審計單位。指按照審計方案要求對其實施審計的單位。

• 審計項目名稱。指按照審計通知書指定的審計項目或者審計事項的名稱。

• 審計人員。審計日志由審計人員親自編制并署名，不得遺漏、虛構、隱匿、毀棄，不經本人同意其他人員無權修改。審計人員對審計日志的真實性、完整性負責。

• 實施審計的日期。指審計人員具體對審計事項實施審計檢查的日期。

• 頁次。指審計人員必須編寫審計日志的頁碼編號。

• 審計內容。審計日志應當以審計實施方案為主線，記錄審計實施方案反映的實施過程。它包括以下幾個方面內容：

  • 一是審計人員按照審計實施方案所分工的事項或者臨時交辦的審計事項名稱。

  • 二是審計人員實施審計所采取的步驟和方法（如抽樣法、復核法、核對法等）。

  • 三是審計查閱的資料名稱和數量。

  • 四是審計人員的專業判斷和查證結果。

  • 五是其他需要記錄的情況。

• 避免IP地址被盜取

  在用戶使用網絡進行傳輸信息過程中，網絡黑客就會通過盜取對方的IP地址來獲取用戶的信息。我們要防止信息泄露就要加強對IP地址的防護。

  第一種防護措施可以通過加強對交換機的控制來實現，在網絡上，信息傳輸的有效途徑是交換機，所以對交換機的嚴格控制能夠防止網絡IP地址被盜取；

  第二種防護措施是加強對路由器的隔離控制，對路由器的APP表定位進行檢查和監測，獲得MAC和IP相對應的關系的同時也要對比他們前后關系的變化，通過判斷前后關系是否發生變化來確定訪問是非法與否，如果是非法的就要采取一定措施來阻止非法訪問，從而保證傳輸信息安全。

• 改善與計算機關聯的外部環境

  所謂計算機關聯的外部環境是指的由于斷電、雷擊等外部環境的影響而導致計算機不能正常工作，要做到防患于未然，安裝避雷針等設備來確保計算機能夠不受自然因素的影響，保證計算機的正常使用，另外，還要定期對計算機線路進行檢查和維修。還有一種情況是避免靜電對計算機網絡的危害，因此可以將計算機接地的同時還要安裝防靜電地板。改善了計算機外部環境才能確保計算機處于安全狀態下的正常使用。

• 計算機病毒的有效防范

  之所以網絡通信安全出現危險，很大程度上是因為計算機病毒的攻擊，因此，選擇功能完善、有針對性地軟件就顯得格外重要。確保網絡通信安全具有十分重要的意義，不僅要針對各類病毒進行查殺同時也要強調殺毒方式能與互聯網的有效結合。

企業實施局域網安全解決方案的目的如下：

• 將安全策略、硬件及軟件等方法結合起來，構成一個統一的防御系統，有效阻止非法用戶進入網絡，減少網絡的安全風險。

• 定期進行漏洞掃描，審計跟蹤，及時發現問題，解決問題。

• 通過入侵檢測等方式實現實時安全監控，提供快速響應故障的手段，同時具備很好的安全取證措施。

• 使網絡管理員能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態，最大限度地減少損失。

• 在工作站、服務器上安裝相應的防病毒軟件，由中央控制臺統一控制和管理，實現全網統一防病毒。

局域網絡系統安全方案設計原則如下：

• 綜合性原則：應用系統工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專業措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等）。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡，包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網絡安全體系結構。

• 需求、風險與代價的權衡原則：對于任何網絡，絕對安全很難實現的，也不一定是必要的。通常情況下，需要對網絡進行實際的研究（包括任務、性能、結構、可靠性、可維護性等），并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系統的安全策略。

• 一致性原則：一致性原則主要是指網絡安全問題應與整個網絡的工作周期（或生命周期）同時存在，制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統設計（包括初步或詳細設計）及實施計劃、網絡驗證、驗收、運行等，都要有安全的內容及措施，實際上，在網絡建設的開始就考慮網絡安全對策，比在網絡建設好后再考慮安全措施，不但容易，且花費也小得多。

• 易操作性原則：安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統的正常運行。

• 分步實施原則：由于網絡系統及其應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網絡系統及信息安全的基本需求，亦可節省費用開支。

• 多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，可以達到當一層保護被攻破時，其他層保護仍可保護信息的安全的目的。

• 可評價性原則：如何預先評價一個安全設計并驗證其網絡的安全性，這需要通過國家有關網絡信息安全測評認證機構的評估來實現。