我目前在一家公司工作,该公司在 DMZ 上有两个向互联网开放的 DNS 服务器(ns1 和 ns2),并且它托管两个区域:company.org 和 company.net。这两个区域中都有位于 DMZ 和内部 LAN 中的服务器,DNS 服务器上启用了递归。
我考虑这样做:重新配置 DMZ 上的所有服务器,使其 FQDN 为 server.company.org,内部 LAN 上的 FQDN 为 server.company.net。然后,在 DMZ 上设置一个仅包含 company.org 区域的 DNS 服务器,在内部 LAN 上设置另一个仅包含 company.net 区域的 DNS 服务器。
这是明智的做法吗,或者有更好的解决方案?如果使用这种方法,必须启用和禁用哪个 DNS 服务器递归?那么转发呢?
非常感谢。
答案1
您没有明确表述您的目标,因此很难提供具体的建议。
但是,为了便于管理和安全,使用一个域用于面向公众的服务,使用另一个域用于内部服务是有益的,尽管技术上不是必需的。
例如,您可以将所有面向公众的服务放在一个域上。然后使用 DNS 服务提供商或您的注册商来管理此域的 DNS 记录。这样做可以让您停止在 DMZ 中运行 DNS 服务器。
在内部,您可能需要检查您的网络设备是否提供 DNS 服务。某些网络设备可能允许您直接在设备中管理 DNS。
如果没有,那么请考虑一个专用于内部 DNS 的小型 VPS 系统。您可以发布自己的内部资产记录,然后配置系统以处理递归和 DNS 缓存。这样,内部资产的 IP 和域就不会被公开发现。
在您的内部服务器上,您可以使用正向缓存 DNS 设置,该设置使用 OpenDNS 或 Google 的 DNS 等服务进行递归。这些公共 DNS 服务包含一些安全功能,而您自己的 DNS 递归则不具备这些功能。这通常是为小型办公室或分支网络增加额外安全性的一种简单且廉价的方法。