我目前在一家公司工作,該公司在 DMZ 上有兩個向 Internet 開放的 DNS 伺服器(ns1 和 ns2),並且託管兩個區域:company.org 和 company.net。在這兩個區域中,DMZ 和內部 LAN 中都有伺服器,並且在 DNS 伺服器上啟用了遞歸。
我正在考慮這樣做:重新配置 DMZ 上的所有伺服器,使其具有 server.company.org 和內部 LAN server.company.net 上的 FQDN。然後,在 DMZ 上擁有一個僅包含 company.org 區域的 DNS 伺服器,並在內部 LAN 上擁有另一個僅託管 company.net 區域的 DNS 伺服器。
這是明智的,還是有更好的解決方案?如果使用此功能,必須啟用和停用哪個 DNS 伺服器遞歸?那麼轉發呢?
非常感謝。
答案1
您還沒有明確說明您的目標,因此很難提供具體的建議。
然而,為了便於管理和安全,使用一個網域用於面向公眾的服務,另一個網域用於內部服務是有益的,但在技術上沒有要求。
例如,您可以將所有面向公眾的服務放置在一個網域中。然後使用 DNS 服務提供者或您的註冊商來管理該網域的 DNS 記錄。這樣做將允許您停止在 DMZ 中執行 DNS 伺服器。
在內部,您可能需要檢查您的網路設備提供的 DNS 服務(如果有)。某些網路設備可能允許您直接在設備中管理 DNS。
如果沒有,請考慮專用於內部 DNS 的小型 VPS 系統。您可以發布自己的內部資產記錄,然後配置系統來處理遞歸和 DNS 快取。這樣,內部資產的 IP 和領域就不會被公開發現。
在內部伺服器上,您可以使用轉送、快取 DNS 設定,該設定使用 OpenDNS 或 Google DNS 等服務進行遞迴。這些公共 DNS 服務包含一些您自己的 DNS 遞歸所沒有的安全功能。這通常是為小型辦公室或分支機構網路添加額外安全性的簡單且廉價的方法。