DNS軟件是黑客熱衷攻擊的目標(biāo)，它可能帶來安全問題，在網(wǎng)絡(luò)安全防護(hù)中，DNS的安全保護(hù)就顯得尤為重要。

1.使用DNS解析者

DNS解析者是一臺(tái)可以完成遞歸查詢的DNS服務(wù)器，它能夠解析為授權(quán)的域名。例如，你可能在內(nèi)部網(wǎng)絡(luò)上有一臺(tái)DNS服務(wù)器，授權(quán)內(nèi)部網(wǎng)絡(luò)域名 internalcorp.com的DNS服務(wù)器。當(dāng)網(wǎng)絡(luò)中的客戶機(jī)使用這臺(tái)DNS服務(wù)器去解析techrepublic.com時(shí)，這臺(tái)DNS服務(wù)器通過向其他DNS服務(wù)器查詢來執(zhí)行遞歸 以獲得答案。

DNS服務(wù)器和DNS解析者之間的區(qū)別是DNS解析者是僅僅針對(duì)解析互聯(lián)網(wǎng)主機(jī)名。DNS解析者可以是未授權(quán)DNS域名的只緩存DNS服務(wù)器。你可以讓DNS 解析者僅對(duì)內(nèi)部用戶使用，你也可以讓它僅為外部用戶服務(wù)，這樣你就不用在沒有辦法控制的外部設(shè)立DNS服務(wù)器了，從而提高了安全性。當(dāng)然，你也可以讓DNS解析者同時(shí)被內(nèi)、外部用戶使用。

2.使用DNS轉(zhuǎn)發(fā)器

DNS轉(zhuǎn)發(fā)器是為其他DNS服務(wù)器完成DNS查詢的DNS服務(wù)器。使用DNS轉(zhuǎn)發(fā)器的主要目的是減輕DNS處理的壓力，把查詢請(qǐng)求從DNS服務(wù)器轉(zhuǎn)給轉(zhuǎn)發(fā)器， 從DNS轉(zhuǎn)發(fā)器潛在地更大DNS高速緩存中受益。

使用DNS轉(zhuǎn)發(fā)器的另一個(gè)好處是它阻止了DNS服務(wù)器轉(zhuǎn)發(fā)來自互聯(lián)網(wǎng)DNS服務(wù)器的查詢請(qǐng)求。如果你的DNS服務(wù)器保存了你內(nèi)部的域DNS資源記錄的話， 這一點(diǎn)就非常重要。不讓內(nèi)部DNS服務(wù)器進(jìn)行遞歸查詢并直接聯(lián)系DNS服務(wù)器，而是讓它使用轉(zhuǎn)發(fā)器來處理未授權(quán)的請(qǐng)求。

3.使用只緩沖DNS服務(wù)器

只緩沖DNS服務(wù)器是針對(duì)為授權(quán)域名的。它被用做遞歸查詢或者使用轉(zhuǎn)發(fā)器。當(dāng)只緩沖DNS服務(wù)器收到一個(gè)反饋，它把結(jié)果保存在高速緩存中，然后把 結(jié)果發(fā)送給向它提出DNS查詢請(qǐng)求的系統(tǒng)。隨著時(shí)間推移，只緩沖DNS服務(wù)器可以收集大量的DNS反饋，這能極大地縮短它提供DNS響應(yīng)的時(shí)間。

把只緩沖DNS服務(wù)器作為轉(zhuǎn)發(fā)器使用，在你的管理控制下，可以提高組織安全性。內(nèi)部DNS服務(wù)器可以把只緩沖DNS服務(wù)器當(dāng)作自己的轉(zhuǎn)發(fā)器，只緩沖 DNS服務(wù)器代替你的內(nèi)部DNS服務(wù)器完成遞歸查詢。使用你自己的只緩沖DNS服務(wù)器作為轉(zhuǎn)發(fā)器能夠提高安全性，因?yàn)槟悴恍枰蕾嚹愕腎SP的DNS服務(wù) 器作為轉(zhuǎn)發(fā)器，在你不能確認(rèn)ISP的DNS服務(wù)器安全性的情況下，更是如此。

4.使用DNS廣告者

DNS廣告者是一臺(tái)負(fù)責(zé)解析域中查詢的DNS服務(wù)器。例如，如果你的主機(jī)對(duì)于domain.com 和corp.com是公開可用的資源，你的公共DNS服務(wù)器就應(yīng)該為 domain.com 和corp.com配置DNS區(qū)文件。

除DNS區(qū)文件宿主的其他DNS服務(wù)器之外的DNS廣告者設(shè)置，是DNS廣告者只回答其授權(quán)的域名的查詢。這種DNS服務(wù)器不會(huì)對(duì)其他DNS服務(wù)器進(jìn)行遞歸查詢。這讓用戶不能使用你的公共DNS服務(wù)器來解析其他域名。通過減少與運(yùn)行一個(gè)公開DNS解析者相關(guān)的風(fēng)險(xiǎn)，包括緩存中毒，增加了安全。