В настоящее время я работаю в компании, которая имеет два DNS-сервера (ns1 и ns2), открытых для Интернета в DMZ, и размещает две зоны: company.org и company.net. В обеих зонах есть серверы в DMZ и во внутренней локальной сети, а на DNS-сервере включена рекурсия.
Я думал сделать так: перенастроить все серверы в DMZ, чтобы они имели FQDN server.company.org, а во внутренней LAN server.company.net. И затем иметь DNS-сервер в DMZ только с зоной company.org и еще один DNS-сервер во внутренней LAN, размещающий только зону company.net.
Разумно ли это, или есть лучшее решение? Если использовать это, то какой рекурсию DNS-сервера нужно включить и отключить? И что насчет пересылки?
Большое спасибо.
решение1
Вы не сформулировали четко свои цели, поэтому дать конкретную рекомендацию сложно.
Однако для удобства управления и безопасности использование одного домена для публичных сервисов и другого для внутренних сервисов выгодно, хотя и не является технически необходимым.
Например, вы можете разместить все публичные сервисы на одном домене. Затем используйте поставщика услуг DNS или вашего регистратора для управления записями DNS для этого домена. Это позволит вам прекратить работу DNS-сервера в вашей DMZ.
Внутри вы можете проверить, какие DNS-сервисы предоставляет ваше сетевое оборудование, если таковые имеются. Некоторые сетевые устройства могут позволять вам управлять DNS непосредственно на вашем устройстве.
Если нет, то рассмотрите небольшую систему VPS, выделенную для внутреннего DNS. Вы можете опубликовать собственные записи для внутренних ресурсов, а затем настроить систему для обработки рекурсии и кэширования DNS. Таким образом, IP-адреса и домены для внутренних ресурсов не будут публично обнаруживаться.
На вашем внутреннем сервере вы можете использовать прямую, кэширующую настройку DNS, которая использует такие сервисы, как OpenDNS или DNS от Google для рекурсии. Эти общедоступные службы DNS включают некоторые функции безопасности, которые не реализованы в вашей собственной рекурсии DNS. Это часто простой и недорогой способ добавить дополнительную безопасность в небольшую офисную или филиальную сеть.