如何设计一个安全的DNS架构

在今天的网络环境里，设计DNS (Domain Name System)架构时不再只是简单地考虑满足DNS查询量的要求了。企业需要一个集成的高度安全的DNS架构，安全已成为DNS架构设计中的基本要求。

DNS在今天的企业里不仅仅是一项IT技术，更成为企业核心业务的组成部分。DNS系统将网络域名转换为计算机之间可以沟通的IP地址。如果离开了DNS，物联网之间的沟通将不可能实现，企业基于互联网的业务基本瘫痪。

有几种办法来分类DNS服务器，本文相关的是主DNS服务器和从DNS服务器。主DNS服务器可以被定义为拥有最原始DNS区记录的服务器，而从DNS服务器可以接受从主DNS服务器的DNS区拷贝。有多种原因需要使用从DNS服务器，比如性能或隐藏主服务器等。

你的客户需要使用你的DNS系统访问你的网站。如果没有一个好的DNS架构，你的企业将从互联网上消失。电商公司将无法销售它们的产品和服务。即使是一个经营砖和水泥的普通公司依然需要DNS服务器来推销他们的产品。简而言之，没有了DNS协议就没有了互联网。

当一个企业的产品和服务需求增长时，DNS服务器的负载也会加重。当一个企业的DNS服务器不管是因为合法流量的增长还是遭到DDoS攻击导致的流量增加，当性能达到DNS服务器的极限时，企业首先想到的是增加DNS服务的QPS能力(即每秒查询速度)。

解决这个性能问题的一个办法是为主DNS服务器增加一个更快的从DNS服务器。如果这两台服务器是通过集成方法使用相同的数据库和交互界面，就会工作得更加有效。但如果用两台完全分立的服务器，在备份，回复，报表和管理等基本功能上会导致互操作不一致的问题。为了保护投资，主从DNS服务器有一个统一的交互界面是一个很重要的考虑因素。

解决这个性能问题的另一个办法是在一台均衡负载器后面部署多台DNS服务器。如果所有的服务器都有统一的管理和配置策略，这个方法也会让DNS服务器工作得更好。

当设计一个DNS架构时，不仅仅是根据当前的需求量来设计，更要考虑未来的业务增长。另外重要的一点是，要考虑DNS易受攻击的特性所带来的安全威胁。我们下面将讨论这一点。

现在每天都会发生大量的DNS攻击且增长趋势明显。传统的DNS服务器有多个可以被利用的攻击界面和外部端口，比如80端口和25端口。黑客可以利用这些端口进入到操作系统攻击你的服务器。如果你的DNS服务器不支持分层设计的安全特权，任何用户都有可能获得进入到操作系统级别的账号特权，导致配置更改从而让你的服务器受到攻击。另外传统DNS服务器需要花费大量时间用在人工操作的流程上。

另外一个需要考虑的是保护DNS服务器免受外部攻击。企业的授权DNS服务器是可以从互联网上访问到达的，这就使得这些服务器容易受到外部攻击，比如：DNS洪水和放大，DNS劫持，DNS漏洞等。这些攻击会导致你的DNS服务器停止响应或危害到DNS服务的完整性。同样重要的是，要防止这些已经受到攻击的服务器把自身作为攻击工具去攻击其他的DNS服务器(DNS反射攻击)。DNS反射攻击可以破坏你公司的声誉，影响公司长远财务营收。

尽管你的授权DNS服务器是放在防火墙的后面，但这些针对DNS的攻击是不能被传统防火墙消除的。防火墙在保护应用层免受攻击方面是有先天缺陷的。即使是号称新一代防火墙(NextGen Firewall)也几乎没有覆盖到DNS协议的安全。这些防火墙方案通常是将安全策略扩展覆盖到大量协议上，但却牺牲了覆盖的深度和幅度。

负载均衡器提供了基本的功能来防范DNS Floods。但是黑客有一整套基于DNS的攻击手段攻击你的外部授权服务器，这是负载均衡器无法解决的。举个例子，负载均衡器无法识别恶意的DNS查询，当遇到DDoS攻击时，负载均衡器只能通过使用IP Anycast将负载扩展到多个设备上。仅仅增加负载均衡器已经被证明是低效和高成本的应对DNS攻击的手段。

无论你采用何种防护技术，最重要的是你需要领先攻击者一步。让你的DNS安全防护系统持保持最新的防护状态,跟上威胁的持续进化和攻击形式的不断改变。同样重要的是这些防护策略的更新必须是自动完成，无需手工干预。

通过DNS发生的数据泄露事故也在以令人震惊的速度发生着，现在每天新的恶意软件样本有超过十万种被归类。按照Cisco2014年的安全报告，100%的商业网络里都有恶意软件流向各个网站。

投资在下一代防火墙和入侵检测系统上，看起来可以阻止一些恶意软件和高级持续攻击进入到网络里，但事实并非如此。现在越来越流行将自己的个人设备(BYOD)带入到公司网络中，这让IT环境更加复杂，同时也新的通道让恶意软件进入网络并潜伏下来。

由于恶意软件的增长变得更加复杂和传统防护方法的失灵，导致在一个大型网络中发现恶意软件行为变得几乎不可能。Fast flux, Proxy C&C networks, anonymous TOR和其他的一些高级技术可以轻易地绕开防护的边界。在内部的网络里，一旦恶意软件利用DNS和外部的僵尸网络和命令控制服务器进行通讯，可能会导致企业的敏感数据泄露。

希望对你有帮助，祝你好运！

因为当你做好的DNS服务器之后，在DNS服务器当中有一个配置叫做根提示，当你的客户把请求发给你的DNS服务器的时候，其实它自己是不能解析的，那么就根据“根提示”，找到了互联网上的根DNS服务器，开始做查询，直至你所要访问的域名服务器。这个过程叫做迭代查询。

什么是迭代查询呢？举个例子：你现在要访问www.sina.com.cn，你把请求交给了你的DNS服务器（域服务器），假设你的域服务器无法解析，它将根提示把你的请求交给根域名服务器，当然，根域名服务器是无法直接告诉你结果的，但是它会告诉你cn域名服务器的地址，然后请求就交给了cn域名服务器，以此类推，最终你可以得到一个结果。

路由器配置主机名后，路由器对路由器的访问可以使用“telnet abc”，用名字取代IP地址。

路由器配置dns的作用有有一下几点：

第一：路由器上面配置dns服务器地址，终端的dns只要设置为路由器的ip地址或自动获取dns服务器地址。终端解析域名的时候就会发给路由器，那么由路由器在转发给预先配置的dns服务器地址。

第二：路由器使用。两地进行vpn访问,A地是adsl接入的，所以ip地址是动态的，例如使用花生壳之类的软件。B地在建立vpn连接时,可以指定A地的域名地址，那么B地路由器必须配置一个dns服务器地址，来解析这个域名地址。

---