我们在 DMZ 中运行一个邮件网关,它是我们内部邮件服务器的中继,用于存放所有邮件。我们遇到了需要使用 DMZ 中的 DNS 来解析内部服务(如内部邮件服务器等)的名称的情况。
我们是否应该允许从 DMZ 到 LAN 的 DNS 查询?如果某些 DMZ 服务器受到攻击,这将导致严重违规。另一方面,不允许 DNS 查询会使我们的灵活性大大降低。
我遇到了裂脑 DNS 的概念,我认为这可以解决问题,但我不太明白如何在 Windows AD 集成环境中实现它。
答案1
hosts
使用您想要通过 DNS 解析的服务器来 完成邮件网关服务器上的文件。
答案2
因此,经过一段时间的讨论,我们最终决定使用 DMZ 中的内部服务器。从长远来看,这似乎更容易管理,也更灵活,而且考虑到必须做出的妥协;例如,无论如何都要允许从 DMZ 到 LAN 的通信,这似乎不再那么糟糕了。
感谢大家的帮助!
答案3
这种情况就是为什么您应该尽量避免在 AD 集成域所处的安全区域之外创建依赖关系的原因。如果没有该标记,您就只能将查询转发到该安全区域,这会让安全人员感到烦躁。
如果你想避免这个问题,你需要启动额外的权威 DNS 基础设施,分离来自 AD 集成域,并且不与 DC 位于同一安全区域。为此创建一个新的内部路由域。应允许来自其他安全区域的 DNS 递归器使用这些服务器的数据,从而使此新 DNS 命名空间在整个公司内可用。(或至少在您需要的任何地方)