100、构建 DNS 基础设施：安全考量与设计架构

构建 DNS 基础设施：安全考量与设计架构

1. DNS 安全概述

DNS 安全是一个至关重要的问题，主要涉及以下三个方面：
- DNS 客户端查询
- DNS 动态更新
- 外部 DNS 名称解析

2. DNS 查询与安全

客户端在进行 DNS 查询时，通常会信任权威 DNS 名称服务器提供的信息。在大多数环境中，这种信任机制运行良好。用户或管理员会在计算机的 TCP/IP 配置中指定初始的 DNS 名称服务器，以便将 DNS 查询转发给它们。

然而，在一些对安全要求较高的环境中，管理员可能会担心 DNS 客户端从 DNS 名称服务器获取到无效信息。此时，管理员可以考虑使用 DNS 安全（DNSSEC）协议。DNSSEC 特别适用于那些拥有多个分支机构，并且通过公共互联网使用区域传输来传输 DNS 信息的公司。

DNSSEC 提供了对 DNS 信息的身份验证功能。通过使用 DNSSEC，你可以对区域文件进行数字签名，以便对其进行身份验证。这些数字签名可以作为资源记录从托管已签名区域的 DNS 服务器发送给 DNS 客户端。客户端随后可以验证从 DNS 服务器发送的 DNS 信息是否真实。

当使用 Windows Server 2012 的 DNS 服务器时，还会有一些额外的好处。Active Directory 集成区域支持在 DNSSEC 签名区域中进行动态更新。DNS 服务器支持通过 Active Directory 自动分发信任锚点，并支持自动进行信任锚点的滚动更新。此外，DNS 服务器还支持使用更新后的 DNSSEC 标准（包括 NSEC3 和 RSA/SHA - 2）来验证记