当使用“响应策略区域”(RPZ)实施 DNS 黑名单时,您最终可能会破坏 DNSSEC。
当您是客户端和每个 DNS 服务器的管理员时,是否有办法解决此问题?
目前的情况是,我们的内部 Windows 和 Linux 客户端会联系转发 Windows 和“绑定”DNS 服务器的内层,然后再将请求转发到“外部”解析“绑定”DNS 服务器。 所讨论的 RPZ 过滤器安装在后者上。
要求是外部 DNS 服务器必须继续进行 DNSSEC 验证。
在不破坏 DNSSEC 的情况下使用 RPZ 黑名单实现“绑定”DNS