企業開源域名服務安全防護策略及實戰(4)

 // generated by named-bootconf.pl 

 options { 
 directory "/var/named"; 
 /* 
 * If there is a firewall between you and nameservers you want 
 * to talk to, you might need to uncomment the query-source 
 * directive below. Previous versions of BIND always asked 
 * questions using port 53, but BIND 8.1 uses an unprivileged 
 * port by default. 
 */ 
 // query-source address * port 53; 
 }; 

 // 
 // a caching only nameserver config 
 // 
 zone "." { 
 type hint; 
 file "named.ca"; 
 }; 

 zone "0.0.127.in-addr.arpa" { 
 type master; 
 file "named.local"; 
 }; 
 zone "feixiang.com"{ 
 type slave; 
 file "named.hosts"; 
 masters {25.198.10.3;}; 
 }; 
 zone "198.25.in-addr.arpa"{ 
 type slave; 
 file "named.rev"; 
 masters {25.198.10.3;}; 
 }; 
 cache . named.ca 
 secondary vbrew.com 25.198.10.3 named.hosts 
 secondary 198.25.in-addr.arpa 25.198.10.3 named.rev 
 primary 0.0.127.in-addr.arpa named.local 

　　第一個 slave 語句是使這個服務器成為 vbrew.com 的輔助服務器。它告訴 named 從 IP 地址為 25.198.10.3 的服務器中下載 feixiang.com 的信息，并將其數據保存在 /var/named/named.hosts 文件中。如果該文件不存在，named 就創造一個，并從遠程服務器中取得區數據，然后將這些數據寫入新創建的文件中。如果存在該文件，named 就要檢查遠程服務器，以了解該遠程服務器的數據是否不同于該文件中的數據，如果數據有變化，它就下載更新后的數據，用新數據覆蓋該文件的內容;如果數據沒有變化，named 就加載磁盤文件的內容，不必做麻煩的區轉移工作。將一個數據庫拷貝到本地磁盤文件中，就不必每次引導主機時都要轉移區文件;只有當數據修改時，才進行這種區文件的轉移工作。該配置文件中的下一行表示該本地服務器也是反向域 198.25.in-addr.arpa 的一個輔助服務器，而且該域的數據也從 25.198.10.3 中下載。該反向域的數據存儲在 named.rev 中。

　　配置高速緩存服務器提高 DNS 服務器性能

　　高速緩存服務器可運行域名服務器軟件，但是沒有域名數據庫軟件。它從某個遠程服務器取得每次域名服務器查詢的結果，一旦取得一個，就將它放在高速緩存中，以后查詢相同的信息時就用它予以回答。高速緩存服務器不是權威性服務器，因為它提供的所有信息都是間接信息。對于高速緩存服務器只需要配置一個高速緩存文件，但最常見的配置還包括一個回送文件，這或許是最常見的域名服務器配置。

　　配置高速緩存域名服務器是很簡單的。必須有 named.conf 和 named.ca 文件，通常也要用到 named.local 文件。下面是用于高速緩存服務器的 named.conf 文件的例子：

 // generated by named-bootconf.pl 
 options { 
 directory "/var/named"; 
 /* 
 * If there is a firewall between you and nameservers you want 
 * to talk to, you might need to uncomment the query-source 
 * directive below. Previous versions of BIND always asked 
 * questions using port 53, but BIND 8.1 uses an unprivileged 
 * port by default. 
 */ 
 // query-source address * port 53; 
 }; 

 // 
 // a caching only nameserver config 
 // 

 // 
 // a caching only nameserver config 
 // 
 zone "." { 
 type hint; 
 file "named.ca"; 
 }; 

 zone "0.0.127.in-addr.arpa" { 
 type master; 
 file "named.local"; 

　　directory 這一行告訴 named 到哪里去找尋文件。所有其后命名的文件都將是相對于此目錄的。該文件告訴 named 去維持一個域名服務器響應的高速緩存，并利用 named.ca 文件的內容去初始化該高速緩存。該高速緩存初始化文件的名字可以是任何名字，但一般使用 /var/named/named.ca。并不是在該文件中使用一個 hint 語句就能使它成為高速緩存配置，幾乎每一種服務器的配置都要用到 cache 語句，而是因為沒有 master 和 slave 語句才使它成為一個高速緩存配置。

　　但是，在我們這個例子中卻有一個 master 語句。事實上，幾乎在每一個高速緩存的配置文件中都有這一個語句，它將本地服務器定義為它自己的回送域的主服務器，并假定該域的信息存儲在 named.local 文件中。這個回送域是一個 in-addr.arpa 域(in-addr.arpa 域用于指定逆向解析，或 IP 地址到 DNS 名字解析)，它將地址 127.0.0.1 映射為名字 localhost。轉換自己的回送地址對于大多數人都是有意義的，因為大多數的 named.conf 文件都包含這一項。

　　在大多數高速緩存服務器的配置文件中，這種 directory、master 和 hint 語句是唯一使用的語句，但也可以增加其他的語句，forwarders 和 slave 等語句都可以使用。

　　配置 DNS 負載均衡防止服務器宕機

　　DNS 負載均衡技術是在 DNS 服務器中為同一個主機名配置多個 IP 地址，在應答 DNS 查詢時，DNS 服務器對每個查詢將以 DNS 文件中主機記錄的 IP 地址按順序返回不同的解析結果，將客戶端的訪問引導到不同的機器上去，使得不同的客戶端訪問不同的服務器，從而達到負載均衡的目的。

　　現假設有三臺服務器來應對 www.feixiang.com 的請求。在采用 Linux 系統上實現起來比較簡單，只需在該域區文件的數據記錄中添加類似下面的資源記錄即可：

 web_server1INA210.113.1.1 
 web_server2INA210.113.1.2 
 web_server3INA210.113.1.3 
 wwwINCNAMEweb_server1 
 wwwINCNAMEweb_server2 
 wwwINCNAMEweb_server3 

原文轉自：http://www.ibm.com/developerworks/cn/linux/1306_liyang_securedns/