DNS 服務安全措施有哪些

DNS服務安全措施有以下這些：

• 使用DNS轉發器：DNS轉發器是為其他DNS服務器完成DNS查詢的DNS服務器。使用DNS轉發器的主要目的是減輕DNS服務器處理的壓力，把查詢請求從DNS服務器轉給轉發器，從DNS轉發器潛在的更大的DNS高速緩存中受益。

• 使用只緩沖DNS服務器：只緩沖DNS服務器是針對未授權域名的。它被用作遞歸查詢或者使用轉發器。當只緩沖DNS服務器收到一個反饋時，它把結果保存在高速緩存中，然后把結果發送給向它提出DNS查詢請求的系統。隨著時間推移，只緩沖DNS服務器可以收集大量的D NS反饋，這能極大地縮短它提供DNS響應的時間。在管理控制下，把只緩沖DNS服務器作為轉發器使用，可以提高組織安全性。

• 使用DNS廣告者：DNS廣告者（DNS Advertisers）是一臺負責解析域中查詢的DNS服務器。例如，如果主機對于domain.com和corp.com是公開可用的資源，則公共DNS服務器就應該為domain.com和corp.com配置DNS區文件。

• 使用DNS解析者：DNS解析者是一臺可以完成遞歸查詢的DNS服務器，它能夠解析為授權的域名。例如，可能在內部網絡上有一臺可授權內部網絡域名internalcorp.com的DNS服務器。當網絡中的客戶機使用這臺DNS服務器去解析techrepublic.com時，這臺DNS服務器通過向其他DNS服務器查詢來執行遞歸以獲得答案。

• 保護DNS不受緩存污染：DNS緩存污染已經成了日益普遍的問題。絕大部分DNS服務器都能夠將DNS查詢結果在答復給發出請求的主機之前，就保存在高速緩存中。DNS高速緩存能夠極大地提高組織內部的DNS查詢性能。但如果DNS服務器的高速緩存中被大量假的DNS信息“污染”了，用戶就有可能被送到惡意站點，而不是其原先想要訪問的網站。

• 使DNS只用安全連接：可以減少惡意DNS升級的風險，通過要求安全連接到DNS服務器執行動態升級。這很容易做到，只要配置DNS服務器使用活動目錄綜合區（Active Directory Integrated Zones）并要求安全動態升級就可以實現。這樣，所有的域成員都能夠安全地、動態更新其DNS信息。

• 禁用區域傳輸：區域傳輸發生在主DNS服務器和從DNS服務器之間。主DNS服務器授權特定域名，并且帶有可改寫的DNS區域文件，在需要的時候可以對該文件進行更新，從DNS服務器從主DNS服務器接收這些區域文件的只讀副本。從DNS服務器被用于提高來自內部或者互聯網DNS查詢響應性能。

• 使用防火墻來控制DNS訪問：防火墻可以用來控制哪個用戶可以連接到DNS服務器上。對于那些僅僅響應內部用戶查詢請求的DNS服務器，應該設置防火墻的配置，阻止外部主機連接這些DNS服務器。對于用作只緩存轉發器的DNS服務器，應該設置防火墻的配置，僅僅允許那些使用只緩存轉發器的DNS服務器發來的查詢請求。防火墻策略設置的重要原因是它阻止內部用戶使用DNS協議連接外部DNS服務器。

• 在DNS注冊表中建立訪問控制：在基于Windows的DNS服務器中，應該在DNS服務器相關的注冊表中設置訪問控制，這樣只有那些需要訪問的賬戶才能夠閱讀或修改這些注冊表設置。HKLM_CurrentControlSet_Services_DNS鍵應該僅僅允許管理員和系統賬戶訪問，這些賬戶應該擁有完全控制權限。

• 在DNS文件系統入口設置訪問控制：在基于Windows的DNS服務器中，應該在DNS服務器相關的文件系統入口設置訪問控制，這樣只有需要訪問的賬戶才能夠閱讀或修改這些文件。

回答所涉及的環境：聯想天逸510S、Windows 10。