zonă "249.249.192.in addr.arpa" Setările relativ simplă opțiune: două tipuri, interne și externe. Pentru tipul intern, care se referă doar la rețeaua internă, recurențe este activată. Aspectul se referă la toate celelalte și recursie este oprit. Zona movie.edu și 249.249.192.in addr.arpa cal iDEN în ambele tipuri. Cu specii pot face mult mai mult, de exemplu, pentru a identifica diferite versiuni ale zonelor pentru speciile autohtone și străine, dar am amâna astfel de opțiuni până la secțiunea următoare. DNS si Internet Firewall-uri În dezvoltarea firewall-urile de Internet DNS nu sunt luați în considerare au fost. Dovada flexibilității DNS și punerea sa în aplicare pachetul BIND este faptul că DNS poate fi configurat pentru a lucra cu ramie brandmaue și chiar prin ele. Cu toate acestea, configurarea BIND de a lucra într-un mediu protejat - problema nu este atât de complicat, dar este nevoie de înaltă calitate, plin ponima Nia DNS și unele funcții mai puțin cunoscute ale BIND. descriere Capitolul 11. Securitatea Configurarea durează o bună parte a acestui capitol, așa că hai să începem cu un scurt ghid pe ea. În primul rând ne uităm la cele două familii majore de firewall-uri Neta Inter - filtre de pachete de aplicații și gateway-uri. Caracteristici ale fiecărei familii afectează configurarea BIND pentru a lucra cu un firewall. Apoi vom descrie cele două cele mai frecvent utilizate în conjuncție cu firewall-uri, structura DNS - repetoare si vnut Rennie servere DNS rădăcină, examinează punctele forte și punctele slabe ale acestora. Acesta va fi prezentat o soluție care combină avantajele în interiorul lor servere root și repetoare - zona de releu. Și în final, vom lua în considerare divizarea spațiului de nume și configurația bastion gazdă, care este inima firewall. Înainte de a începe configurarea BIND pentru a lucra cu un firewall, necesare pentru a înțelege ce un firewall. Potențial brandma Ware influențează alegerea arhitecturii DNS și definirea metodei înfăptuirilor sale de. Dacă nu știți răspunsurile la întrebările adresate în această Sec, pentru a primi organizația dvs. un om care știe, și-l întreb. Opțiunea mai corect este de a coopera cu istrator admin în procesul de dezvoltare a arhitecturii DNS firewall pentru cât de mult îi ajută să se asigure că structura creată va fi efectiv coexiste cu un firewall. Rețineți că informațiile date despre firewall-uri de internet nu sunt complete. În câteva paragrafe, vom descrie tipurile două NAI mai multe comune de firewall-uri, folosind un minim de granularitate, care este necesară pentru a arăta diferențele în potența ale și impactul asupra serverelor DNS. ghid complet cu privire la acest subiect este conținută în cartea lui E. Zwicky, S. Cooper și B. Chapman «Clădire Internet Firewalls» (O'Reilly). 1Tipuri de software firewall
Fig. 11.1. filtre de pachete funcționează la straturile de rețea și de transport ale stivei
Cea mai importantă caracteristică a filtrelor de pachete este faptul că acestea pot fi de obicei configurat pentru a trece în mod selectiv traficul DNS intre site-uri de internet și site-uri intranet. Cu alte cuvinte, accesul la serverele DNS de pe Internet, puteți restricționa un set arbitrar de noduri interne de rețea. Unele dintre aceste firewall-uri oferă chiar și o oportunitate de a rezolva rețeaua internă DNS ser credințe pentru a face cereri către serverele de DNS externe (dar nu și invers). Toate firewall-uri de internet, care se bazează pe martie rutizatorov, folosind filtrarea de pachete. Utilizate pe scară largă de filtrare de pachete firewall comercial - FireWall 1 de la Checkpoint, PIX de la Cisco și NetScreen de la Juniper.
Stealth BIND 8/9 de partajare și pachete de firewall-uri de filtrare
Servere BIND 4 trimite întotdeauna cereri prin intermediul portului sursă 53, un standard pentru portul serverului DNS și portul de destinație 53. Pe de altă parte, clienții trimite de obicei DNS interogări Th Res portul sursa, cu un număr mare (mai mare de 1023) și un scop urlând portul 53. deși serverul DNS ar trebui să își trimită cererile prin portul țintă DNS al nodului de la distanță, există puține motive pentru a se referă încă cereri prin intermediul portului sursa DNS. Și cine ar putea vatra mama, serverele DNS BIND 8 și 9 în mod implicit nu trimit pentru a cere prin intermediul sursei numărul portului 53. În schimb, acestea sunt latră prin porturi baze spatiale cere cu un număr mare, cum ar fi clienții DNS.
Capitolul 11. Securitatea
Ea poate servi ca o sursă de probleme atunci când se utilizează pachete de filtrare firewall, care a stabilit pe cale de a lasa mesaje trimise la un server DNS la altul, dar nu și mesajele trimise de către DNS client la server, poskol ku, în astfel de cazuri, firewall-ul se așteaptă ca mesajul de server DNS este trimis prin intermediul portului sursă număr de 53 și un scop urlând portul 53.
Există două soluții la această problemă:
• Reconfigurarea firewall-ul, permițând serverul DNS și să accepte bazele stelare lat de cereri prin intermediul altor decât portul 53 porturi (presupunând că lumina verde pentru pachetele externe, posta Payuschie prin porturi mai mari de server DNS, nu pune în pericol firewall-ul propriu-zis).
• Refaceți BIND comportamentul anterior, folosind sursa de interogare de bază de rețetă.
Mediatorii care lucrează la nivel de aplicare, mai multe niveluri mai mari în modelul de referință OSI decât filtrele de pachete (Fig. 11.2). În sens ka com ei „înțeleg“ protocolul de aplicare, cum ar fi Obra Zom ca un server pentru o aplicație specifică. De exemplu, printre FTP nick poate activa sau dezactiva anumite FTP operare, de exemplu RETR (get comanda) sau STOR (pus comanda).