DNS安全是网络安全的核心,DNS之所以重要原因有二:一是,互联网绝大多数应用的实际寻址方式,域名技术的再发展、以及基于域名技术的多种应用,丰富了互联网应用和协议;二是,域名是互联网上的身份标识,是不可重复的唯一标识资源,互联网的全球化使得域名成为标识一国主权的国家战略资源。
DNS安全加固建议
提升DNS系统防护能力。在目前的网络攻击中,最让运维人员头疼的就是各种针对DNS的攻击。所有DNS攻击都需要基于DNS协议来完成,信息化建设在DNS系统防护需采用多维度的DNS协议防护平台,通过多层次、预先集成的防护策略,提高DNS服务器的性能,确保不会成为网络中的瓶颈。
加强对DNS系统的实时监控。DNS服务是一项实时性要求非常高的服务,准确全面的监控系统是整个DNS服务的运营基础。DNS安全监控需要一整套的监控体系,包括网络流量监控、服务器内核监控模块、解析监控、服务器集群监控等等。
及时加固DNS及操作系统漏洞补丁。DNS域名系统已采用通用系统平台及开源软件如BIND应及时进行漏洞补丁更新,对DNS底层承载系统进行加固,在非必要的情况下关闭除53端口的一切非DNS系统服务端口。并关注软件商发布的最新安全漏洞,升级软件系统。以下漏洞为开源ISCBIND存在的高危漏洞,攻击者可以利用相关漏洞进行攻击渗透,权限提升、非法数据窃取等操作。
确保域名解析服务的独立性。运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供,限制递归服务的服务范围。
进行DNS访问控制策略设计,保障安全隔离。网络层的访问控制被证明是最有效的(攻击者很难绕过去)。网络层访问控制属于基础架构安全,这是最有效最重要的,整个安全防护的基础。访问控制策略部署原则要做到明细允许,默认拒绝。
回答所涉及的环境:联想天逸510S、Windows 10。
原文链接:https://www.wangan.com/wenda/8666
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/22293
