Domain-Name-System

需要 DNS 外部解析器?

  • May 2, 2017

幾年前我發現了下面顯示的圖片,當我目前正在研究 DNS 和 BIND 時,我想了解並建構這裡顯示的設置。我確實了解(聚合)僅記憶體轉發器,並且自己進行(內部)解決而不是再一次將其轉發給您的 ISP 是有意義的。隱藏的 master 和 zone slave 的設置也很有意義,但我不明白為什麼你會在這些 zone slave 前面放置“external resolvers”。為什麼不讓外部客戶端直接向這些區域從站發送查詢?插入外部解析器的額外好處是什麼?

我嘗試在 Google 上搜尋這張圖片,希望能找到任何描述此設置的文件,但可惜的是,我什至在網路上都找不到這張圖片了。

企業 DNS 設計

外部解析器

擁有外部解析器的一種觀點是將外部伺服器放在 DMZ 中。通常,任何可訪問 Internet 的伺服器都應與其他伺服器分開。然後可以對允許進入的內容制定更嚴格的防火牆規則。這也降低了被入侵的風險。如果有人可以訪問外部伺服器,他們將不會直接在您的伺服器 LAN 上,也可能不在加入域的伺服器上。

另一個原因是,如果有人對您的公共 DNS 發起 DDOS 攻擊,它不會關閉您的內部業務客戶端、伺服器等。

主伺服器

這將是您公司域的主副本所在的位置。這些伺服器也可能是您編輯 DNS 記錄的地方。它們將受到更高安全性的保護,以確保您的記錄安全。

區域從站

這些將是所有其他伺服器訪問內部 DNS 區域的地方。他們會比大師賽有更多的活動。

內部解析器

這些將為您的內部使用者完成大部分工作。他們將接收來自下游轉發器的請求,並執行所有遞歸查找以解決所有查詢。

僅記憶體轉發器

這些伺服器將減少內部解析器的負載。他們將記憶體所有請求,以便在本地回答常見查詢,並且不需要內部解析器再次查找。如果解析器位於異地,它們還可以提高客戶端性能。

引用自:https://serverfault.com/questions/847601