允许所有内部名称服务进行解析,并禁用(外部)递归

允许所有内部名称服务进行解析,并禁用(外部)递归

我们的 DNS 基础设施分为几个名称服务器、中央服务器(Bind)和辅助服务器(如 AD)。

禁用递归会有效地禁用委派和转发(至少在 Bind 中)。

有什么选择?

  1. 成为 AD 区域的从属?当然,我们可以设置中央实例不具有权威性的区域传输。

  2. 使用除 Bind 之外的其他名称服务器软件?本质上,我希望指定一些区域/域,以便它能够委派/递归。例如能够指定“目标” ACL 和相关操作。

  3. 成为根区域。问题在于存在例外:某些客户端仍然需要递归,尽管仅适用于某些域/区域。

目标——如果您想知道的话——是安全。如果发生内部感染,许多 C&C 服务器都通过 DNS 进行访问,而 DNS 大多未经过滤。

相关内容