DNS服务器【fú wù qì】🌩是(Domain Name System或者Domain Name Service)域名系【yù míng xì】统或者域名服【yù míng fú】🕵务【wù】,域名系【yù míng xì】统为【tǒng wéi】📕Internet上的主🕔机分配域名地【yù míng dì】址🏮和【hé】IP地址🎵。用户使【yòng hù shǐ】用域名🧕地址🎵，该系统【gāi xì tǒng】😫就会自动把域名地【yù míng dì】址🏮转为😞IP地址🎵。域名服【yù míng fú】🕵务【wù】是运行域名系【yù míng xì】统的Internet工具。执行域名服【yù míng fú】🕵务的服【wù de fú】务【wù】器🌩称之为😞DNS服务器【fú wù qì】🌩，通过【tōng guò】🚣DNS服务器【fú wù qì】🌩来应答域名服【yù míng fú】🕵务【wù】的查👶询【xún】。

DNS软件是🍵黑客热衷攻击🌘的目标【de mù biāo】，它可能带来安全问题【quán wèn tí】。下面是【xià miàn shì】保护【bǎo hù】⚡DNS服务器💦的几种方法。

步骤/方法

禁用区域传输【yù chuán shū】🛤
　　区域传输【yù chuán shū】🛤发生在主【zhǔ】💅DNS服务器【fú wù qì】🛎和从【hé cóng】DNS服务器【fú wù qì】🛎之间。主【zhǔ】DNS服务器【fú wù qì】🛎授权特定域名【dìng yù míng】，并且带🤞有可改写的【de】🈂DNS区域文件【jiàn】，在需要的【de】🈂时候可【shí hòu kě】以对该文件【jiàn】✒进行更新【xīn】🧖。从【cóng】DNS服务器【fú wù qì】🛎从【cóng】主【zhǔ】力DNS服务器【fú wù qì】🛎接收这🎾些区域【xiē qū yù】文件【jiàn】的【de】🈂只读拷贝。从【cóng】DNS服务器【fú wù qì】🛎被用于提高来🍗自内部或者互💟联网DNS查询响🍤应性能【yīng xìng néng】。
　　然而，区域传输【yù chuán shū】🛤并不仅【bìng bú jǐn】仅针对【jǐn zhēn duì】从【cóng】DNS服务器【fú wù qì】🛎。任何一个能够【gè néng gòu】发出DNS查询请⏹求的【qiú de】🈂人都可能🎺引起DNS服务器【fú wù qì】🛎配置改【pèi zhì gǎi】🔈变，允许区域传输【yù chuán shū】🛤倾倒自【qīng dǎo zì】己的【de】区🤚域数据库文件【kù wén jiàn】。恶意用【è yì yòng】🎈户可以使用这😤些信息来侦察【lái zhēn chá】你组织内部的【de】🥗命名计划，并攻击😢关键服务架构。你可以【nǐ kě yǐ】配置你【pèi zhì nǐ】的【de】🈂DNS服务器【fú wù qì】🛎，禁止区域传输【yù chuán shū】🛤请求【qǐng qiú】🥟，或者仅允许针对组织❔内特定【nèi tè dìng】服务器【fú wù qì】🛎进行区🈶域传输【yù chuán shū】🛤，以此来🚉进行安全防范。

使🚇DNS只用安全【ān quán】连接
　　很多📐DNS服务器💰接受动🔩态更新【gèng xīn】🔗。动态更【dòng tài gèng】🌸新特性【xīn tè xìng】🚻使这些😑DNS服务器💰能记录使用【shǐ yòng】🔱DHCP的【de】主机的【de】主机名和【míng hé】IP地址【dì zhǐ】。DDNS能够极【néng gòu jí】大地减
　　轻DNS管理员【guǎn lǐ yuán】的【de】管理费用【fèi yòng】🎨，否则管👬理员必须手工配置这🥁些主机的【de】DNS资源记录。
　　然而，如果未检测的【de】DDNS更新【gèng xīn】🔗，可能会带来【lái】很严重的【de】🐕安全【ān quán】问➕题✨。一个恶👐意😍用户可以配🔘置主机成为台【chéng wéi tái】🍮文件服【wén jiàn fú】务器💰、Web服务器💰或者数【huò zhě shù】据库服【jù kù fú】务器💰动态更【dòng tài gèng】🌸新的【xīn de】DNS主机记【zhǔ jī jì】😰录，如果有人想连接到这些服务器💰就一定会被转移到其他的机【tā de jī】器上👋。
　　你可以减少恶【jiǎn shǎo è】意😍DNS升级的【shēng jí de】🙍风险，通过要求安全【ān quán】🏝连接到DNS服务器💰执行动【zhí háng dòng】态升级。这很容易做到【yì zuò dào】，你只要配置你【pèi zhì nǐ】🌴的【de】DNS服务器💰使用【shǐ yòng】🔱活动目【huó dòng mù】录📓综合区(ActiveDirectoryIntegratedZones)并要求【bìng yào qiú】安全【ān quán】🏝动态升级就可【jí jiù kě】以🏷实现。这样一【zhè yàng yī】🐈来【lái】，所有的【de】❕域成员【yù chéng yuán】都能够【dōu néng gòu】安全【ān quán】地、动态更【dòng tài gèng】🌸新他们的【de】DNS信息。

使用防❕火墙来【huǒ qiáng lái】👎控制📐DNS访问🍕
　　防火墙可以用来控制【lái kòng zhì】📐谁可以连接到你的【nǐ de】DNS服务器【fú wù qì】⛩上【shàng】。对于那些【xiē】仅仅🅾响应内🏷部用户【bù yòng hù】🗒查询请求的♓DNS服务器【fú wù qì】⛩，应该设【yīng gāi shè】置【zhì】防火🍂墙的配🕙置【zhì】🔜，阻止外部主机连接这【lián jiē zhè】些【xiē】DNS服务器【fú wù qì】⛩。对于用💨做只缓存转🏙发器的【fā qì de】DNS服务器【fú wù qì】⛩，应该设【yīng gāi shè】置【zhì】防火🍂墙的配🕙置【zhì】🔜，仅仅允【jǐn jǐn yǔn】许那些【xiē】使用只缓存转🏙发器的【fā qì de】DNS服务器【fú wù qì】⛩发来的查询请求。防火墙策略设置【zhì】的重🍏要一点【yào yī diǎn】是阻止【shì zǔ zhǐ】🍤内部用⌛户使用DNS协议连接外部【jiē wài bù】DNS服务器【fú wù qì】⛩。

在DNS注册表【zhù cè biǎo】中【zhōng】🛄建立访问【fǎng wèn】控⛩制
　　在基于Windows的DNS服务器【fú wù qì】中【zhōng】🛄，你应该🖲在DNS服务器【fú wù qì】相关的🆒注册表【zhù cè biǎo】中【zhōng】🛄设置【shè zhì】🏌访问【fǎng wèn】控⛩制，这样只有那些需要访问【fǎng wèn】🍡的帐户才能够【cái néng gòu】阅读或修改🐃这些注【zhè xiē zhù】册表设置【shè zhì】🏌。
　　HKLMCurrentControlSetServicesDNS键应该🕊仅仅允许管理员和系统帐户【tǒng zhàng hù】👧访问【fǎng wèn】🍡，这些帐【zhè xiē zhàng】🐉户应该拥有完📰全控制权限🎉。

在【zài】DNS文件系【wén jiàn xì】👝统入口【tǒng rù kǒu】😟设置访😑问控制【wèn kòng zhì】🧦
　　在基于【zài jī yú】Windows的DNS服务器中，你应该😊在【zài】DNS服务器相关的文件系【wén jiàn xì】👝统入口【tǒng rù kǒu】😟设置访😑问控制【wèn kòng zhì】🧦，这样只有需要【yǒu xū yào】访问的帐户【hù】才🥄能够阅【néng gòu yuè】🛵读或修🐽改这些文件【wén jiàn】。
　　%system_directory%DNS文件【wén jiàn】夹及子文件【wén jiàn】夹应该仅仅👜允许系【yǔn xǔ xì】统帐户【hù】🕗访问，系统帐【xì tǒng zhàng】户【hù】🕗应该拥有完全控制权限【xiàn】🍆。