备份DNS服务器的建设部署方案.docx
- 文档编号:9834720
- 上传时间:2023-02-06
- 格式:DOCX
- 页数:6
- 大小:18.28KB
备份DNS服务器的建设部署方案.docx
《备份DNS服务器的建设部署方案.docx》由会员分享,可在线阅读,更多相关《备份DNS服务器的建设部署方案.docx(6页珍藏版)》请在冰豆网上搜索。
备份DNS服务器的建设部署方案
备份DNS服务器建设部署方案
(初稿)
一
现网络环境环境分析与备份DNS服务器建设分析
二
建设风险分析及解决方案
三
建设方案
四
建设成本
五
建设实施方案
一、网络环境环境分析与备份DNS建设分析
1.现有网络环境分析:
现在大部分公司的域服务器与其他内网服务器对DNS服务器依赖性极强,一旦出现异常,将导致整个网络出现异常,无法正常工作。
所以现建议公司投入一个备份DNS服务器。
2.备份DNS建设分析:
DNS备份服务器指在现有主DNS服务器异常时及时启用,解决DNS异常造成的损失,大大的减小由于DNS服务器出现问题时的风险。
做好备份DNS服务器以便在主服务器出现故障时及时启用,减少那些不必要的损失。
二、建设风险分析及解决方案
DNS服务主要完成域名与IP地址间的转换及有关电子邮件的路由信息。
DNS使用超高速缓存将收到的有关映射信息存放在高速缓存中,以后有相同的请求就直接使用缓存中的信息,大大提高了解析的速度。
由于本地存在高速缓存,所以,一旦高速缓存的信息被修改,就会产生错误的解析结果,这是DNS潜在的安全问题之一,此外还许多其它方面的安全隐患。
DNS的安全隐患有以下几个方面:
缓冲区溢出漏洞允许远程控制计算机域名欺骗(DNSSpoofing)利用区传输造成DNS信息泄密DoS(DenialofService)拒绝服务攻击[3]无访问控制的递规查询反向查询缓冲区超时(InverseQueryBufferOverrun)版本所衍生的安全问题动态更新和递规查询DNS欺骗(DNSSpoofing):
主要有以下三种形式。
1击者在自己的主机上安装网络侦听器,劫持域名查询请求,然后假冒DNS的响应,返回一个错误解析地址,使发出该域名查询请求的客户机得到一个错误的解析地址;
2攻击者通过污染DNS的缓冲区(DNSCachePoisoning)将DNS高速缓存内的信息修改。
由于DNS的解析过程是先从本地的缓存中查找要求解析的域名的IP地址,当本地的缓存内的信息被修改后,就会将一个被篡改后的IP地址发送给请求者,使请求者得到一个错误的解析地址。
3攻击者侵入操作系统,获得管理员权限,直接修改DNS数据文件。
针对域名服务器的拒绝服务(DoS)攻击:
这种攻击主要有二种,一种是利用DNS软件本身的漏洞(如:
UNIX下使用BIND,存在ZXFRBUG、SRVBUG、SVGDIVEBUG等)进行攻击;另一种是用户端泛滥,攻击者仿造源地址,产生一个查询请求,使域名服务器忙于应付大量的无效回应,而无法处理正常的用户请求。
利用区传输造成DNS信息泄密:
名字服务器通常含有域名空间中某一部分的完整信息,这一部分称为区。
区的内容是从文件或其它名字服务器中加载过来的。
在加载的过程中,黑客可以劫获传输的内容,造成整个区域的信息泄露,同时在加载的过程中,也会增加服务器的负载。
一旦DNS系统被攻击成功,入侵者就会删除日志文件,销毁自己可能暴露的蛛丝马迹,然后在DNS系统中安装程序,通过运行它获得管理员权限,同时开始向外进行扫描,在几分钟内就可发现大量的存在相同漏洞的服务器,并可对之重复上述攻击,如此反复,后果不堪设想。
及时更新版本和补丁:
早期版本的BIND都有漏洞,应及时更新到最新版本并打好相关版本的补丁,使DNS因版本低所带来的风险降至最低。
防止单点故障:
为每个域提供多台域名服务器,不要将所有的域名服务器放在同一个子网中,将所有的域名服务器分别放在不同的路由器后面;所有的域名服务器不要使用同一条线路,避免因线路问题使所有的DNS瘫痪;及时备份域名服务器,尽量将多个域名服务器运行在不同的操作系统上。
限制区域传输:
区传输会暴露整个区域的信息并加重服务器负载,所以应该严格限制区传输,防止黑客列举区中的信息,了解网络中的主机数目、机器型号和用途。
专用DNS服务器:
在DNS服务器上不要提供其它服务,如WWW、EMAIL等。
对外只开放UDP53和TCP53端口,配置防火墙,对访问DNS的流量进行过滤,只允许访问53端口的流量经过,减轻DNS的负载,降低风险。
对外提供的服务越多,端口开放的也就越多,危险性就越大。
限制动态更新和递规查询:
动态更新,使得经过授权的升级者也能够删除和增加区的记录,所以要限制动态更新。
DNS应有选择地限制一些IP的查询请求,限制对权威资源的查询,尽量不使用递规,递归查询易使查询在多台域名解析服务器之间无限制地循环下去。
不以超级用户身份运行DNS服务:
BIND监听53端口不需要根用户权限,应该创建一个单独的小权限的用户来运行in.named,这样即使遭受攻击,黑客也只能在该用户目录下,由于权限小,所以对系统构成的威胁相对就小。
使用Tsing数字签名来验证DNS信息:
使用Tsing时需要域名服务器之间的时间同步,首先在主域名服务器上产生密钥,然后以SSH方式传递给辅助域名服务,设定辅助DNS以密钥签署送往主DNS的区传送请求,反之亦然。
DNS域名服务器放置于DMZ区:
DMZ(DemilitarizedZone)非军事区,DMZ是放置公共信息的最佳位置。
用户、潜在用户和外部访问
三、建设方案
1、需购买一台专用服务器
2、配置备份DNS服务器【IP:
192.168.1.200】
3、专用服务器也可配置其他备份服务器,减小现有网络
负荷。
4、专用服务器可随公司需求持续升级
5、系统具备电信级的高可用性,系统设备及链路均具有一定的冗余度,不会应单台设备或单条链路故障而引起服务质量下降,同时系统具有容灾备份机制,能够不间断的对外提供服务。
6、系统部署有完备的安全防护策略和一定的安全防护手段,能够实现安全风险的隔离可控。
7、系统具备平滑升级,扩容的能力,在保护已有投资的基础上易于实现容量及功能的灵活扩展。
设备要求
1、可用性高:
系统平均无故障时间10000小时;设计时必须按所有设备的寿命在正常使用下不少于10年,所有设备(包括电源设备)在给定的性能指标下运行,连续4000小时内不需要人工调整和维护。
2、要求主要部件冗余配置,为避免单点故障,采用双电源、双风扇、双网卡、系统镜像盘保护数据。
3、主机系统的主要部件必须实现热插拔、热更换,包括热插拔的PCII/O卡;热插拔内置硬盘驱动器;热更换冗余风扇。
四、建设成本
联想Systemx3650M4(7915I51)专用服务器一台
价格:
2.65W
产品重要参数:
产品类别:
机架式
产品结构:
2U
CPU型号:
XeonE5-2650
内存类型:
ECCDDR3
内存容量:
8GB
五、建设实施方案
DNS注册表信息备份①打开注册表编辑器,在左侧列表中逐个点开"HKEY-LOCAL-MACHINE\System\CurrentControlset\Servioes\DNS",备份此键值下所有的数据。
②点击"DNS"项目→单击"文件"菜单→导出→显示"导出注册表文件"对话框,制定备份文件的存放路径和文件名。
提示:
服务器在备份的时候,其实已经将绝大多数的数据备份好了,其中也包括DNS信息,不过为了减少备份和还原DNS数据的工作量和复杂性,对DNS数据进行单独备份还是有必要的。
备份DNSServer服务信息①同上,打开注册表编辑器,在左侧列表中逐个点开"HKEY-LOCAL-MACHINE\Software\Microsoft\WindowsNT\Current\DNSServer",备份此键值下所有的数据。
②点击"DNS"项目→单击"文件"菜单→导出→显示"导出注册表文件"对话框,制定备份文件的存放路径和文件名。
DNS数据文件备份由于DNS注册表信息的备份只是部分注册表的信息,其中不包含域名解析时所使用的域名数据信息,所以还要对这部分内容单独备份。
进入DNS服务器的资源管理器,打开"C:
\Windows\system32\dns"目录,把".dns"后缀的所有文件复制出来即可。
DNS数据还原当DNS服务器出现故障时,可以把备份好的两部分数据进行还原。
①直接运行备份的两个注册表文件,把它们全都导入到注册表中即可。
②然后把备份好的".dns"后缀所有文件替换覆盖到"C:
\Windows\system32\dns"目录下所有的同名文件。
这样就完成DNS服务器的备份了。
(注:
为避免公司正常工作,建议员工下班或双休日节假日进行DNS等服务器备份工作)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 备份 DNS 服务器 建设 部署 方案