分割組織的 DNS 服務是常用的最佳實踐,其中該服務的某些方面託管在內部網路或互聯網上,而其他方面則託管在至少一個 DMZ 子網路上。
使用拓撲圖作為說明,解釋此最佳實踐及其相對於單主機 DNS 服務的優勢。 (最好的答案是將 DNS 服務分割到 3 個獨立的主機上。)
答案1
這措辭就像一項任務。我將跳過拓撲圖並描述典型的分割服務(可以在一台伺服器上運行)。您應該至少有兩台 Internet DNS 伺服器,但只有一台是主伺服器。像這樣的程式bind可以提供拆分服務,但有些程式需要兩個單獨的伺服器來運作。
您的外部(網際網路)伺服器/服務:
- 不應為其他網域提供快取 DNS 服務;
- 應僅向您的網域的 DNS 從屬提供區域傳輸;
- 必須提供您想要公開的網域的資料;和
- 應僅提供您想要公開的網域的資料。
您的內部(內部網路)伺服器/服務:
- 應該為您的內部伺服器提供快取 DNS 服務;
- 必須提供到內部伺服器的 DNS 轉送;
- 可以向任何內部伺服器提供區域傳輸;和
- 必須為您希望使用內部可存取的 IP 位址在內部可見的所有網域提供 DNS 項目。
對於公開發布的網域,外部存取和內部存取使用不同的 IP 位址是很常見的。