應對 DNS 服務器安全隱患有什么原則

應對DNS服務器面臨的安全隱患有兩個最有效的原則：

• 選擇安全沒有缺陷的DNS版本：這個還不是最安全的，你無法保證選擇一個安全且沒有缺陷的DNS版本，這個只能解決一時的問題很難解決長久的問題。這個方法屬于治標不治本。

• 保持DNS服務器配置正確、可靠：這個辦法相對于第一個辦法更可靠，如果配合上經常更新那基本很安全。這個需要管理要有很高的安全意識和經常關注服務器版本的更新和及時下載安裝。

預防DNS欺騙攻擊的方法有以下這些：

• 使用較新的DNS軟件，因為其中有些可以支持控制訪問方式記錄DNS信息，域名解析服務器只對那些合法的請求做出響應。內部的請求可以不受限制地訪問區域信息，外部的請求僅能訪問那些公開的信息。

• 直接用IP訪問重要的服務，這樣至少可以避開DNS欺騙攻擊，但需要記住自己要訪問的IP地址。

• 正確配置區域傳輸。即只允許相互信任的DNS服務器之間才允許傳輸解析數據。

• 配合使用防火墻。使用防火墻可使得DNS服務器位于防火墻的保護之內，只開放相應的服務端口和協議。

• 保護DNS服務器所存儲的信息。部分注冊信息的登錄方式仍然采用一些比較過時的方法，如采用電子郵件的方式就可以升級DNS注冊信息，這些過時的方法需要添加安全措施，如采用加密的口令，或者采用安全的瀏覽器平臺工具來提供管理域代碼記錄的方式。

• 系統管理員也可以采用分離DNS的方式，內部的系統與外部系統分別訪問不同的DNS系統，外部的計算機僅能訪問公共的記錄。

回答所涉及的環境：聯想（Lenovo）天逸510S、Windows 10。