备份DNS服务器的建设部署方案

备份DNS服务器建设部署方案（初稿）目录一现网络环境环境分析与备份DNS服务器建设分析二建设风险分析及解决方案三建设方案四建设成本五建设实施方案一、网络环境环境分析与备份DNS建设分析1.现有网络环境分析：现在大部分公司的域服务器与其他内网服务器对DNS服务器依赖性极强，一旦出现异常，将导致整个网络出现异常，无法正常工作。所以现建议公司投入一个备份DNS服务器。2.备份DNS建设分析：DNS备份服务器指在现有主DNS服务器异常时及时启用，解决DNS异常造成的损失，大大的减小由于DNS服务器出现问题时的风险。做好备份DNS服务器以便在主服务器出现故障时及时启用，减少那些不必要的损失。二、建设风险分析及解决方案ＤＮＳ服务主要完成域名与ＩＰ地址间的转换及有关电子邮件的路由信息。ＤＮＳ使用超高速缓存将收到的有关映射信息存放在高速缓存中，以后有相同的请求就直接使用缓存中的信息，大大提高了解析的速度。由于本地存在高速缓存，所以，一旦高速缓存的信息被修改，就会产生错误的解析结果，这是ＤＮＳ潜在的安全问题之一，此外还许多其它方面的安全隐患。ＤＮＳ的安全隐患有以下几个方面：缓冲区溢出漏洞允许远程控制计算机域名欺骗（ＤＮＳＳｐｏｏｆｉｎｇ）利用区传输造成ＤＮＳ信息泄密ＤｏＳ（ＤｅｎｉａｌｏｆＳｅｒｖｉｃｅ）拒绝服务攻击［３］无访问控制的递规查询反向查询缓冲区超时（ＩｎｖｅｒｓｅＱｕｅｒｙＢｕｆｆｅｒＯｖｅｒｒｕｎ）版本所衍生的安全问题动态更新和递规查询ＤＮＳ欺骗（ＤＮＳＳｐｏｏｆｉｎｇ）：主要有以下三种形式。①击者在自己的主机上安装网络侦听器，劫持域名查询请求，然后假冒ＤＮＳ的响应，返回一个错误解析地址，使发出该域名查询请求的客户机得到一个错误的解析地址；②攻击者通过污染ＤＮＳ的缓冲区（ＤＮＳＣａｃｈｅＰｏｉｓｏｎｉｎｇ）将ＤＮＳ高速缓存内的信息修改。由于ＤＮＳ的解析过程是先从本地的缓存中查找要求解析的域名的ＩＰ地址，当本地的缓存内的信息被修改后，就会将一个被篡改后的ＩＰ地址发送给请求者，使请求者得到一个错误的解析地址。③攻击者侵入操作系统，获得管理员权限，直接修改ＤＮＳ数据文件。针对域名服务器的拒绝服务（ＤｏＳ）攻击：这种攻击主要有二种，一种是利用ＤＮＳ软件本身的漏洞（如：ＵＮＩＸ下使用ＢＩＮＤ，存在ＺＸＦＲＢＵＧ、ＳＲＶＢＵＧ、ＳＶＧＤＩＶＥＢＵＧ等）进行攻击；另一种是用户端泛滥，攻击者仿造源地址，产生一个查询请求，使域名服务器忙于应付大量的无效回应，而无法处理正常的用户请求。利用区传输造成ＤＮＳ信息泄密：名字服务器通常含有域名空间中某一部分的完整信息，这一部分称为区。区的内容是从文件或其它名字服务器中加载过来的。在加载的过程中，黑客可以劫获传输的内容，造成整个区域的信息泄露，同时在加载的过程中，也会增加服务器的负载。一旦ＤＮＳ系统被攻击成功，入侵者就会删除日志文件，销毁自己可能暴露的蛛丝马迹，然后在ＤＮＳ系统中安装程序，通过运行它获得管理员权限，同时开始向外进行扫描，在几分钟内就可发现大量的存在相同漏洞的服务器，并可对之重复上述攻击，如此反复，后果不堪设想。及时更新版本和补丁：早期版本的ＢＩＮＤ都有漏洞，应及时更新到最新版本并打好相关版本的补丁，使ＤＮＳ因版本低所带来的风险降至最低。防止单点故障：为每个域提供多台域名服务器，不要将所有的域名服务器放在同一个子网中，将所有的域名服务器分别放在不同的路由器后面；所有的域名服务器不要使用同一条线路，避免因线路问题使所有的ＤＮＳ瘫痪；及时备份域名服务器，尽量将多个域名服务器运行在不同的操作系统上。限制区域传输：区传输会暴露整个区域的信息并加重服务器负载，所以应该严格限制区传输，防止黑客列举区中的信息，了解网络中的主机数目、机器型号和用途。专用ＤＮＳ服务器：在ＤＮＳ服务器上不要提供其它服务，如ＷＷＷ、ＥＭＡＩＬ等。对外只开放ＵＤＰ５３和ＴＣＰ５３端口，配置防火墙，对访问ＤＮＳ的流量进行过滤，只允许访问５３端口的流量经过，减轻ＤＮＳ的负载，降低风险。对外提供的服务越多，端口开放的也就越多，危险性就越大。限制动态更新和递规查询：动态更新，使得经过授权的升级者也能够删除和增加区的记录，所以要限制动态更新。ＤＮＳ应有选择地限制一些ＩＰ的查询请求，限制对权威资源的查询，尽量不使用递规，递归查询易使查询在多台域名解析服务器之间无限制地循环下去。不以超级用户身份运行ＤＮＳ服务：ＢＩＮＤ监听５３端口不需要根用户权限，应该创建一个单独的小权限的用户来运行ｉｎ．ｎａｍｅｄ，这样即使遭受攻击，黑客也只能在该用户目录下，由于权限小，所以对系统构成的威胁相对就小。使用Ｔｓｉｎｇ数字签名来验证ＤＮＳ信息：使用Ｔｓｉｎｇ时需要域名服务器之间的时间同步，首先在主域名服务器上产生密钥，然后以ＳＳＨ方式传递给辅助域名服务，设定辅助ＤＮＳ以密钥签署送往主ＤＮＳ的区传送请求，反之亦然。ＤＮＳ域名服务器放置于ＤＭＺ区：ＤＭＺ（ＤｅｍｉｌｉｔａｒｉｚｅｄＺｏｎｅ）非军事区，ＤＭＺ是放置公共信息的最佳位置。用户、潜在用户和外部访问三、建设方案1、需购买一台专用服务器2、配置备份DNS服务器【IP:192.168.1.200】3、专用服务器也可配置其他备份服务器，减小现有网络负荷。4、专用服务器可随公司需求持续升级5、系统具备电信级的高可用性，系统设备及链路均具有一定的冗余度，不会应单台设备或单条链路故障而引起服务质量下降，同时系统具有容灾备份机制，能够不间断的对外提供服务。6、系统部署有完备的安全防护策略和一定的安全防护手段，能够实现安全风险的隔离可控。7、系统具备平滑升级，扩容的能力，在保护已有投资的基础上易于实现容量及功能的灵活扩展。设备要求1、可用性高：系统平均无故障时间10000小时；设计时必须按所有设备的寿命在正常使用下不少于10年，所有设备（包括电源设备）在给定的性能指标下运行，连续4000小时内不需要人工调整和维护。2、要求主要部件冗余配置，为避免单点故障，采用双电源、双风扇、双网卡、系统镜像盘保护数据。3、主机系统的主要部件必须实现热插拔、热更换，包括热插拔的PCII/O卡；热插拔内置硬盘驱动器；热更换冗余风扇。四、建设成本联想Systemx3650M4(7915I51)专用服务器一台价格：2.65W产品重要参数：产品类别：机架式产品结构：2UCPU型号：XeonE5-2650内存类型：ECCDDR3内存容量：8GB五、建设实施方案DNS注册表信息备份①打开注册表编辑器,在左侧列表中逐个点开HKEY-LOCAL-MACHINE\System\CurrentControlset\Servioes\DNS,备份此键值下所有的数据。②点击DNS项目→单击文件菜单→导出→显示导出注册表文件对话框,制定备份文件的存放路径和文件名。提示:服务器在备份的时候,其实已经将绝大多数的数据备份好了,其中也包括DNS信息,不过为了减少备份和还原DNS数据的工作量和复杂性,对DNS数据进行单独备份还是有必要的。备份DNSServer服务信息①同上,打开注册表编辑器,在左侧列表中逐个点开HKEY-LOCAL-MACHINE\Software\Microsoft\WindowsNT\Current\DNSServer,备份此键值下所有的数据。②点击DNS项目→单击文件菜单→导出→显示导出注册表文件对话框,制定备份文件的存放路径和文件名。DNS数据文件备份由于DNS注册表信息的备份只是部分注册表的信息,其中不包含域名解析时所使用的域名数据信息,所以还要对这部分内容单独备份。进入DNS服务器的资源管理器,打开C:\Windows\system32\dns目录,把.dns后缀的所有文件复制出来即可。DNS数据还原当DNS服务器出现故障时,可以把备份好的两部分数据进行还原。①直接运行备份的两个注册表文件,把它们全都导入到注册表中即可。②然后把备份好的.dns后缀所有文件替换覆盖到C:\Windows\system32\dns目录下所有的同名文件。这样就完成DNS服务器的备份了。（注：为避免公司正常工作，建议员工下班或双休日节假日进行DNS等服务器备份工作）