企業開源域名服務安全防護策略及實戰(3)_網絡知識

企業開源域名服務安全防護策略及實戰(3)

發表于：2013-07-14來源：IBM作者：李洋點擊數：標簽：域名

表 1.named.conf 主配文件配置語句說明配置語句說明 zone 定義一個區 options 定義全局配置選項 include 將其他文件包含到本配置文件中使用 controls 定義 rndc

　　表 1.named.conf 主配文件配置語句說明

配置語句	說明
zone	定義一個區
options	定義全局配置選項
include	將其他文件包含到本配置文件中使用
controls	定義 rndc 命令使用的控制通道
acl	定義基于 IP 地址的訪問控制
Key	定義授權的安全密鑰

　　根據在實際應用中的廣泛程度和重要性，下面我們著重對 option 語句和 zone 聲明的使用進行介紹。

　　使用 option 語句

　　option 語句的使用語法為：

 option { 
配置子句 1；
配置子句 2；
 };

　　在上述語法中，其配置子句常用的主要有如下兩類：

　　directory：該子句后接目錄路徑，主要用于定義服務器區配置文件的工作目錄，如 /home 等，在 Red Hat Enterprise Linux 5 系統中的默認路徑為 /var/named;

　　forwarders：該子句后接 IP 地址，定義轉發器;

　　使用 zone 聲明

　　區聲明是主配置文件中非常常用而且是最重要的部分，它一般要說明域名、服務器類型以及域信息源三個重要部分。它的語法為：

 zone “zone_name” IN { 
 type 子句；
 file  子句；
其他子句；
 };

　　那么，圍繞上述三個重要部分，區聲明語句有如下兩類子句：

　　type：其主要有如下三種，master(說明一個區為主域名服務器)、slave(說明一個區為輔助域名服務器)和 hint(說明一個區為啟動時初始化高速緩存的域名服務器)。

　　file：后接文件路徑，主要說明一個區的域信息源的路徑。

　　DNS 服務器配置實例

　　為了方便讀者對 DNS 服務器配置文件的使用有個詳細的了解，本節將針對一個實際的配置文件例子來進行講解。該配置文件如下所示。我們虛構了一個域 feixiang.com 來舉例說明主服務器的配置，下面是定義 feixiang.com 域的主服務器的 named.conf 文件：

 // generated by named-bootconf.pl 

 options { 
 directory "/var/named"; 
 /* 
 * If there is a firewall between you and nameservers you want 
 * to talk to, you might need to uncomment the query-source 
 * directive below. Previous versions of BIND always asked 
 * questions using port 53, but BIND 8.1 uses an unprivileged 
 * port by default. 
 */ 
 // query-source address * port 53; 
 }; 


 // a caching only nameserver config 
 // 
 zone "." { 
 type hint; 
 file "named.ca"; 
 }; 
 zone "feixiang.com"{ 
 type master; 
 file "feixiang.com"; 
 }; 

 zone "0.0.127.in-addr.arpa" { 
 type master; 
 file "named.local"; 
 }; 

 zone "198.25.in-addr.arpa"{ 
 type master; 
 file "named.rev"; 
 };

　　上例中第一個 master 告訴我們這是 feixiang.com 域的主服務器。該域的數據是從 named.hosts 文件中加載的。在我們這個例子中，我們將文件名 named.hosts 作為區文件名。第三個 master 語句指向能將 IP 地址 198.25.0.0 映射為主機名的文件。它假定本地服務器是反向域 198.25.in-addr.arpa 的主服務器，該域的數據從文件 named.rev 中加載。

　　除了定義上述的主文件外，還需要定義如下的區文件(/var/named/feixiang.com)：

 $TTL86400 
 $ORIGIN feixiang.com. 
 @1D IN SOA@ root ( 
 42; serial (d. adams) 
 3H; refresh 
 15M; retry 
 1W; expiry 
 1D ); minimum 

 @ IN NS@ 
 @ IN A127.0.0.1 
 www IN A198.25.25.80 
 ftp IN A198.25.25.68 
 web IN CNAMEwww

　　回頁首

　　實戰二：安全使用 DNS 服務器的高級技巧

　　配置輔助域名服務器做到冗余備份

　　輔助服務器可從主服務器中復制一整套域信息。區文件是從主服務器中復制出來的，并作為本地磁盤文件存儲在輔助服務器中。這種復制稱為“區文件復制”。在輔助域名服務器中有一個所有域信息的完整拷貝，可以有權威地回答對該域的查詢。因此，輔助域名服務器也稱作權威性服務器。配置輔助域名服務器不需要生成本地區文件，因為可以從主服務器中下載該區文件。

　　輔助服務器的配置與主服務器的配置不同，它使用 slave 語句代替 master 語句。slave 語句指向用作域信息源的遠程服務器，以替代本地磁盤文件。下面的 named.conf 文件可以配置 feixiang.com 域的輔助服務器：

原文轉自：http://www.ibm.com/developerworks/cn/linux/1306_liyang_securedns/

軟件測試之網絡管理--PING命令詳解

軟件測試 > 測試開發技術 > 軟件測試環境搭建 > 網絡知識 >