저는 현재 DMZ에서 인터넷에 열려 있는 두 개의 DNS 서버(ns1 및 ns2)가 있고 company.org와 company.net이라는 두 영역을 호스팅하는 회사에서 근무하고 있습니다. 두 영역 모두 DMZ와 내부 LAN에 서버가 있으며 DNS 서버에서 재귀가 활성화됩니다.
나는 이것을 할 생각이었습니다. DMZ의 모든 서버가 server.company.org의 FQDN과 내부 LAN server.company.net을 갖도록 재구성했습니다. 그런 다음 company.org 영역만 있는 DMZ에 DNS 서버를 두고 company.net 영역만 호스팅하는 내부 LAN에 또 다른 DNS 서버를 둡니다.
이것이 현명한가요, 아니면 더 나은 해결책이 있습니까? 이를 사용하는 경우 어떤 DNS 서버 재귀를 활성화하고 비활성화해야 합니까? 전달은 어떻습니까?
매우 감사합니다.
답변1
목표를 명확하게 밝히지 않으셨기 때문에 구체적인 추천을 드리기가 어렵습니다.
그러나 관리 및 보안의 용이성을 위해 한 도메인은 공용 서비스에 사용하고 다른 도메인은 내부 서비스에 사용하는 것이 기술적으로 필요하지는 않지만 유익합니다.
예를 들어 모든 공용 서비스를 하나의 도메인에 배치할 수 있습니다. 그런 다음 DNS 서비스 공급자나 등록 대행자를 통해 이 도메인에 대한 DNS 레코드를 관리하세요. 그렇게 하면 DMZ에서 DNS 서버 실행을 중지할 수 있습니다.
내부적으로 네트워크 장비가 제공하는 DNS 서비스가 무엇인지 확인할 수 있습니다. 일부 네트워크 장치에서는 장치에서 직접 DNS를 관리할 수 있습니다.
그렇지 않다면 내부 DNS 전용 소규모 VPS 시스템을 고려해보세요. 내부 자산에 대한 자체 기록을 게시한 다음 재귀 및 DNS 캐싱을 처리하도록 시스템을 구성할 수 있습니다. 이렇게 하면 내부 자산의 IP와 도메인을 공개적으로 검색할 수 없습니다.
내부 서버에서는 재귀를 위해 OpenDNS 또는 Google의 DNS와 같은 서비스를 사용하는 전달 캐싱 DNS 설정을 사용할 수 있습니다. 이러한 공용 DNS 서비스에는 자체 DNS 재귀를 수행할 때 제공되지 않는 일부 보안 기능이 포함되어 있습니다. 이는 소규모 사무실이나 지점 네트워크에 추가 보안을 추가하는 쉽고 저렴한 방법인 경우가 많습니다.