為什么 DNS 安全很重要

DNS安全是網絡安全的核心，DNS之所以重要原因有二：一是，互聯網絕大多數應用的實際尋址方式，域名技術的再發展、以及基于域名技術的多種應用，豐富了互聯網應用和協議；二是，域名是互聯網上的身份標識，是不可重復的唯一標識資源，互聯網的全球化使得域名成為標識一國主權的國家戰略資源。

DNS安全加固建議

提升DNS系統防護能力。在目前的網絡攻擊中，最讓運維人員頭疼的就是各種針對DNS的攻擊。所有DNS攻擊都需要基于DNS協議來完成，信息化建設在DNS系統防護需采用多維度的DNS協議防護平臺，通過多層次、預先集成的防護策略，提高DNS服務器的性能，確保不會成為網絡中的瓶頸。

加強對DNS系統的實時監控。DNS服務是一項實時性要求非常高的服務，準確全面的監控系統是整個DNS服務的運營基礎。DNS安全監控需要一整套的監控體系，包括網絡流量監控、服務器內核監控模塊、解析監控、服務器集群監控等等。

及時加固DNS及操作系統漏洞補丁。DNS域名系統已采用通用系統平臺及開源軟件如BIND應及時進行漏洞補丁更新，對DNS底層承載系統進行加固，在非必要的情況下關閉除53端口的一切非DNS系統服務端口。并關注軟件商發布的最新安全漏洞，升級軟件系統。以下漏洞為開源ISCBIND存在的高危漏洞，攻擊者可以利用相關漏洞進行攻擊滲透，權限提升、非法數據竊取等操作。

確保域名解析服務的獨立性。運行域名解析服務的服務器上不能同時開啟其他端口的服務。權威域名解析服務和遞歸域名解析服務需要在不同的服務器上獨立提供，限制遞歸服務的服務范圍。

進行DNS訪問控制策略設計，保障安全隔離。網絡層的訪問控制被證明是最有效的（攻擊者很難繞過去）。網絡層訪問控制屬于基礎架構安全，這是最有效最重要的，整個安全防護的基礎。訪問控制策略部署原則要做到明細允許，默認拒絕。

回答所涉及的環境：聯想天逸510S、Windows 10。