DNS服務(wù)器:使用防火墻時的應(yīng)用方法

一些機構(gòu)想隱藏DNS名，不讓外界知道。許多專家認為隱藏DNS名沒有什么價值，但是，如果站點或企業(yè)的政策強制要求隱藏域名注冊，它也不失為一種已知可行的辦法。你可能必須隱藏域名注冊的另一條理由是你的內(nèi)部網(wǎng)絡(luò)上是否有非標準的尋址方案。不要自欺欺人的認為，如果隱藏了你的DNS名，在攻擊者打入你的防火墻時，會給攻擊者增加困難。有關(guān)你的網(wǎng)絡(luò)的信息可以很容易地從網(wǎng)絡(luò)層獲得。假如你有興趣證實這點的話，不妨在LAN上“ping”一下子網(wǎng)廣播地址，然后再執(zhí)行“arp -a”。還需要說明的是，隱藏DNS中的域名注冊不能解決從郵件頭、新聞文章等中“泄露”億恩科技主機名的問題。

這種方法是許多方法中的一個，它對于希望向Internet隱瞞自己的億恩科技主機名的機構(gòu)很有用。這種辦法的成功取決于這樣一個事實：即一臺機器上的DNS客戶機不必與在同一臺機器上的DNS億恩科技服務(wù)器對話。換句話說，正是由于在一臺機器上有一個DNS億恩科技服務(wù)器，因此，將這部機器的DNS客戶機活動重定向到另一臺機器上的DNS億恩科技服務(wù)器沒有任何不妥(并且經(jīng)常有好處)。

首先，你在可以與外部世界通信的橋頭堡億恩科技主機上建立DNS億恩科技服務(wù)器。你建立這臺億恩科技服務(wù)器使它宣布對你的域名注冊具有訪問的權(quán)力。事實上，這臺億恩科技服務(wù)器所了解的就是你想讓外部世界所了解的：你網(wǎng)關(guān)的名稱和地址、你的通配符MX記錄等等。這臺億恩科技服務(wù)器就是“公共”億恩科技服務(wù)器。

然后，在內(nèi)部機器上建立一臺DNS億恩科技服務(wù)器。這臺億恩科技服務(wù)器也宣布對你的域名注冊具有權(quán)力;與公共億恩科技服務(wù)器不同，這臺億恩科技服務(wù)器“講的是真話”。它是你的“正常”的命名億恩科技服務(wù)器，你可以在這臺億恩科技服務(wù)器中放入你所有的“正常”DNS名。你再設(shè)置這臺億恩科技服務(wù)器，使它可以將它不能解決的查詢轉(zhuǎn)發(fā)到公共億恩科技服務(wù)器(例如，使用Unix機上的/etc/ named.boot中的“轉(zhuǎn)發(fā)器”行——forwarder line)。

最后，設(shè)置你所有的DNS客戶機(例如，Unix機上的/etc/resolv.conf文件)使用內(nèi)部億恩科技服務(wù)器，這些DNS客戶機包括公共億恩科技服務(wù)器所在機器上的DNS客戶機。這是關(guān)鍵。

詢問有關(guān)一臺內(nèi)部億恩科技主機信息的內(nèi)部客戶機向內(nèi)部億恩科技服務(wù)器提出問題，并得到回答;詢問有關(guān)一部外部億恩科技主機信息的內(nèi)部客戶機向內(nèi)部億恩科技服務(wù)器查詢，內(nèi)部客戶機再向公共億恩科技服務(wù)器進行查詢，公共億恩科技服務(wù)器再向Internet查詢，然后將得到的答案再一步一步傳回來。公共億恩科技服務(wù)器上的客戶機也以相同的方式工作。但是，一臺詢問關(guān)于一臺內(nèi)部億恩科技主機信息的外部客戶機，只能從公共億恩科技服務(wù)器上得到“限制性”的答案。

這種方式假定在這兩臺億恩科技服務(wù)器之間有一個包過濾防火墻，這個防火墻允許億恩科技服務(wù)器相互傳遞DNS，但除此之外，限制其它億恩科技主機之間的DNS.

這種方式中的另一項有用的技巧是利用你的IN-ADDR.AROA域名注冊中通配符PTR記錄。這將引起對任何非公共億恩科技主機的“地址到名稱”(address-to-name)的查找返回像“unknown.YOUR.DOMAIN”這樣的信息，而非返回一個錯誤。這就滿足了像匿名FTP站點的要求。這類站點要求得到與它們通信的計算機的名字。當(dāng)與進行DNS交叉檢查的站點通信時，這種方法就不靈了。在交叉檢查中，億恩科技主機名要與它的地址匹配，地址也要與億恩科技主機名匹配。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]