基本上,正如标题所说,我希望能够通过 Windows Server 2008 R2 上的 DNS 设置来锁定互联网 - 最好是锁定所有内容,然后只拥有某些 IP 地址/域名的“白名单” - 这可能吗?
这可以通过路由器来完成,但我认为由于我们网络上的用户数量(50+),它在工作量方面遇到了困难,所以任何帮助让服务器而不是路由器来完成跑腿工作的帮助都会很有帮助,谢谢。
答案1
通过防火墙:
- 通过远程桌面连接登录您的服务器。
- 开始->管理工具>高级安全Windows防火墙。
- 在防火墙窗口的左侧单击入站规则选项。
- 在屏幕右侧单击“新规则”。
- 单击自定义单选按钮,然后单击下一步。
- 确保选择了“所有程序”单选按钮,然后单击“下一步”。
- 在协议和端口选项上保留所有默认设置,然后单击下一步。
- 在范围屏幕上,您将看到两个框,顶部框用于本地 IP 地址,底部框用于远程 IP 地址。在这种情况下,我们试图阻止外部(远程)IP 访问服务器上的任何内容,因此我们只需将 IP 地址添加到此部分,因为它不是本地 IP 地址。
- 单击远程部分中显示“这些 IP 地址”的单选按钮,如下所示:
- 单击添加按钮。
- 在下一个窗口中,我们将向规则添加单个 IP 地址,如果愿意,您也可以在此时添加整个范围。
- 点击确定,点击下一步。
- 确保在下一个屏幕上选择“阻止连接”无线电,然后单击“下一步”。
- 保留下一个屏幕上的所有选项,这样无论他们尝试使用什么连接,都会确保阻止 IP。单击下一步。
- 在下一个屏幕上为规则命名,以便将来删除或编辑时可以记住。单击完成即可。
通过 DNS(看起来更麻烦)(很抱歉打发你走,但每个内容都太多了,我无法复制答案) http://blogs.technet.com/b/isablog/archive/2008/02/19/windows-server-2008-dns-block-feature.aspx
答案2
这个答案根本就不是答案,甚至没有解决问题。上面提供的答案是如何编写规则,通过阻止防火墙中的 IP 来阻止对服务器或工作站的所有访问,而根本没有解决 DNS 名称问题,因此没有解决实际问题。
我的研究使我发现,如果您运行的是 2016 DNS,则可以使用 DNS 查询策略执行此操作,但不能使用任何以前的版本。
人们想要这样做的主要原因是 BS 伪造的 UDP 数据包会攻击世界各地的 MS DNS 服务器,因此响应速率限制也会有所帮助,但同样只在 2016 年可用(尽管 Bind 已经拥有它很多年了)
还有查询阻止列表,但这可能只适用于递归查找,并且对权威 DNS 服务器上的 NXDomains 的虚假请求不起作用,因为我编写了这些阻止,但查询仍然会出现。
我发现对抗这种情况的最佳方法是 #1 确保递归被禁用,#2 返回 NXDomain 响应,确保您的点区域 (.) 没有记录,包括名称服务器记录。这将返回最小的响应数据包,并且攻击的放大部分基本被抵消。