當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

使用防火墻時(shí)DNS的使用方法

http://m.yibo1263.com　2008/4/21 12:09:13 　來(lái)源:金山軟件　編輯:張佳奇

　　一些機(jī)構(gòu)想隱藏DNS名，不讓外界知道。許多專(zhuān)家認(rèn)為隱藏DNS名沒(méi)有什么價(jià)值，但是，如果站點(diǎn)或企業(yè)的政策強(qiáng)制要求隱藏域名，它也不失為一種已知可行的辦法。你可能必須隱藏域名的另一條理由是你的內(nèi)部網(wǎng)絡(luò)上是否有非標(biāo)準(zhǔn)的尋址方案。不要自欺欺人的認(rèn)為，如果隱藏了你的DNS名，在攻擊者打入你的防火墻時(shí)，會(huì)給攻擊者增加困難。有關(guān)你的網(wǎng)絡(luò)的信息可以很容易地從網(wǎng)絡(luò)層獲得。假如你有興趣證實(shí)這點(diǎn)的話(huà)，不妨在LAN上“ping”一下子網(wǎng)廣播地址，然后再執(zhí)行“arp -a”。還需要說(shuō)明的是，隱藏DNS中的域名不能解決從郵件頭、新聞文章等中“泄露”主機(jī)名的問(wèn)題。

　　這種方法是許多方法中的一個(gè)，它對(duì)于希望向Internet隱瞞自己的主機(jī)名的機(jī)構(gòu)很有用。這種辦法的成功取決于這樣一個(gè)事實(shí):即一臺(tái)機(jī)器上的DNS客戶(hù)機(jī)不必與在同一臺(tái)機(jī)器上的DNS服務(wù)器對(duì)話(huà)。換句話(huà)說(shuō)，正是由于在一臺(tái)機(jī)器上有一個(gè)DNS服務(wù)器，因此，將這部機(jī)器的DNS客戶(hù)機(jī)活動(dòng)重定向到另一臺(tái)機(jī)器上的DNS服務(wù)器沒(méi)有任何不妥（并且經(jīng)常有好處）。

　　首先，你在可以與外部世界通信的橋頭堡主機(jī)上建立DNS服務(wù)器。你建立這臺(tái)服務(wù)器使它宣布對(duì)你的域名具有訪(fǎng)問(wèn)的權(quán)力。事實(shí)上，這臺(tái)服務(wù)器所了解的就是你想讓外部世界所了解的:你網(wǎng)關(guān)的名稱(chēng)和地址、你的通配符MX記錄等等。這臺(tái)服務(wù)器就是“公共”服務(wù)器。

　　然后，在內(nèi)部機(jī)器上建立一臺(tái)DNS服務(wù)器。這臺(tái)服務(wù)器也宣布對(duì)你的域名具有權(quán)力;與公共服務(wù)器不同，這臺(tái)服務(wù)器“講的是真話(huà)”。它是你的“正�！钡拿⻊�(wù)器，你可以在這臺(tái)服務(wù)器中放入你所有的“正�！盌NS名。你再設(shè)置這臺(tái)服務(wù)器，使它可以將它不能解決的查詢(xún)轉(zhuǎn)發(fā)到公共服務(wù)器（例如，使用Unix機(jī)上的/etc/ named.boot中的“轉(zhuǎn)發(fā)器”行——forwarder line）。

　　最后，設(shè)置你所有的DNS客戶(hù)機(jī)（例如，Unix機(jī)上的/etc/resolv.conf文件）使用內(nèi)部服務(wù)器，這些DNS客戶(hù)機(jī)包括公共服務(wù)器所在機(jī)器上的DNS客戶(hù)機(jī)。這是關(guān)鍵。

　　詢(xún)問(wèn)有關(guān)一臺(tái)內(nèi)部主機(jī)信息的內(nèi)部客戶(hù)機(jī)向內(nèi)部服務(wù)器提出問(wèn)題，并得到回答;詢(xún)問(wèn)有關(guān)一部外部主機(jī)信息的內(nèi)部客戶(hù)機(jī)向內(nèi)部服務(wù)器查詢(xún)，內(nèi)部客戶(hù)機(jī)再向公共服務(wù)器進(jìn)行查詢(xún)，公共服務(wù)器再向Internet查詢(xún)，然后將得到的答案再一步一步傳回來(lái)。公共服務(wù)器上的客戶(hù)機(jī)也以相同的方式工作。但是，一臺(tái)詢(xún)問(wèn)關(guān)于一臺(tái)內(nèi)部主機(jī)信息的外部客戶(hù)機(jī)，只能從公共服務(wù)器上得到“限制性”的答案。

　　這種方式假定在這兩臺(tái)服務(wù)器之間有一個(gè)包過(guò)濾防火墻，這個(gè)防火墻允許服務(wù)器相互傳遞DNS，但除此之外，限制其它主機(jī)之間的DNS。

　　這種方式中的另一項(xiàng)有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR記錄。這將引起對(duì)任何非公共主機(jī)的“地址到名稱(chēng)”（address-to-name）的查找返回像“unknown.YOUR.DOMAIN”這樣的信息，而非返回一個(gè)錯(cuò)誤。這就滿(mǎn)足了像ftp.uu.net匿名FTP站點(diǎn)的要求。這類(lèi)站點(diǎn)要求得到與它們通信的計(jì)算機(jī)的名字。當(dāng)與進(jìn)行DNS交叉檢查的站點(diǎn)通信時(shí)，這種方法就不靈了。在交叉檢查中，主機(jī)名要與它的地址匹配，地址也要與主機(jī)名匹配。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·邊界路由器加防火墻保證企業(yè)安全

·選擇硬件防火墻注意緊抓四要素

·思科防火墻PIX ASA精華配置總結(jié)

·路由器與防火墻安全性大對(duì)比

·企業(yè)選購(gòu)指南：國(guó)內(nèi)防火墻大比拼

·網(wǎng)絡(luò)防火墻選購(gòu)十要素

·強(qiáng)悍注冊(cè)表防火墻練就百毒不侵之軀

·穿越防火墻讓遠(yuǎn)程桌面自由連接

·排除代理防火墻連接故障的技巧

·防火墻基于策略路由的配置技巧

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费