文本内容:
确保Winxx域上的DNS平安DNS效劳器电脑资料确保WindowsServerxx域上的域名解析系统domainnamesystem,简称DNS平安,是非常基本的一个要求,在WindowsServerxx上安装DNS时,不要修改“活动目录集成DNS”的默认设置微软在2000中开始提供这种设定对DNS效劳器和客户端或其他效劳器之间的数据传输进行加密也是至关重要的DNS使用TCP/UDP的53端口;通过在你的平安界线上不同的点对这个端口进行过滤,你可以确保DNS效劳器只接受认证过的连接另外,这也是一个部署IPSec的好时机,来对DNS客户端和效劳器之间的数据传输进行加密开启IPSec可以确保所有客户端和效劳器之间的通讯得到确认和加密这意味着你的客户端仅仅和认证过的效劳器通讯,并有助于阻止请求欺骗或损害配置完毕DNS效劳器之后,继续监视连接,就像你留意企业中其他高价值目标一样DNS效劳器需要可用的带宽以效劳客户的请求如果你看到某个源机器上朝着DNS效劳器发出了大量的网络通讯,你可能是遭受了“拒绝效劳攻击”denial-of-service,简称DoS直接从源头切断连接,或者断掉效劳器的网络连接,直到你调查清楚问题之后再说,使用默认的设置动态平安更新,只有认证过的客户端才可以并更新效劳器上的入口信息这可以阻止攻击者修改你的DNS入口信息,从而误导客户到精心伪造的网站上以窃取财务资料等重要信息你同样可以使用配额以阻止客户端对DNS的洪水攻击客户端通常只能10个记录通过限制单个客户可的目标数目,你可以阻止一个客户端对它自己的DNS效劳器进行DoS攻击注意:确定你对DHCP效劳器,域控制器,以及多宿主效劳器multi-homed使用了不同的定额这些效劳器依据他们提供的功能不同,可能需要上百个目标或用户DNS效劳器将对一个授权区域内的任何查询请求作出响应要想对外部世界隐藏你的内部网络架构,通常需要设置一个分隔的姓名空间,这一般意味着一台DNS效劳器负责你的内部DNS架构,另一台DNS效劳器那么负责外部以及Inter的DNS架构通过阻止外部用户访问内部DNS效劳器,你可以防止内部非开放资源的泄露不管你是运行一个Windows网络,或者是UNIX和Windows的混合体,DNS的平安都应该是你网络的核心采取措施以保护DNS免受外部和内部的攻击关键字DNS效劳器。