拆分组织的 DNS 服务是一种常用的最佳实践,其中该服务的某些方面托管在内部网络或互联网络上,而其他方面托管在至少一个 DMZ 子网上。
使用拓扑图作为说明,解释此最佳实践及其相对于单主机 DNS 服务的优势。(最佳答案是将 DNS 服务划分到 3 个独立主机上。)
答案1
这听起来像是一项作业。我将跳过拓扑图并描述典型的拆分服务(可以在一台服务器上运行)。您的 Internet DNS 至少应该有两台服务器,但只有一台服务器是主服务器。诸如bind可以提供拆分服务的程序,但有些程序需要运行两台单独的服务器。
您的外部(互联网)服务器/服务:
- 不应为其他域提供缓存 DNS 服务;
- 应该只向您的域的 DNS 从属服务器提供区域传输;
- 必须提供您想要公开的域的数据;并且
- 应该仅为您想要公开的域提供数据。
您的内部(内联网)服务器/服务:
- 应该为您的内部服务器提供缓存 DNS 服务;
- 必须向内部服务器提供DNS转发;
- 可以向任何内部服务器提供区域传输;并且
- 必须使用内部可访问的 IP 地址为所有您希望内部可见的域提供 DNS 条目。
对于公开发布的域,通常使用不同的 IP 地址来用于外部访问和内部访问。