企业域名解析服务的部署及安全优化

1.dns的解析过程和主要功能

 域名系统（英文：Domain Name System，缩写：DNS）是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。DNS使用UDP端口53。当前，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。

顶级域名：.

次级：

.com     .net     .edu     .org     ...

.org下：

westos.org

westos.org下：

news.westos.org

bbs.westos.org

www.westos.org

解析域名：www.westos.org

首先查询--->/etc/hosts 本地解析文件

若查询不到--->/etc/resolv.conf 记录dns地址

------>从.根域名开始逐级询问，直到找到，反馈ip地址

实验环境：

准备两台主机，一台能连接外网，另一台作为测试主机，能与第一台建立通信

---

2.dns服务器的部署和启用

dnf install bind -y

#安装软件

#启用#

systemctl enable --now named

firewall-cmd --permanent --add-service=dns

firewall-cmd --reload

netstat -antlupe | grep named

在测试主机中

vim /etc/named.conf

#编辑主配置文件

systemctl restart named

#重启服务

再次测试：

vim /etc/named.conf

systemctl restart named

---

3.高速缓存dns

DNS高速缓存服务的出现是为了提高客户端访问的效率。 若网络中存在缓存机制，当客户端第一次访问目的主机时，会将目的主机的域名和ip缓存下来，当第二次访问该目的主机时，就不需要再次通过域名服务器来获得目的主机的域名和ip的对应关系，这极大的提高了访问目标主机时的响应时间。

搭建：

vim /etc/named.conf

systemctl restart named

---

4.dns的正向解析

vim /etc/named.conf

vim /etc/named.rfc1912.zones

#主配置文件的一部分

cp -p /var/named/named.localhost /var/named/westos.org.zone

#利用模板生成A记录文件

systemctl restart named

---

5.dns的数据类型分析 

CNAME

vim /var/named/westos.org.zone

dig www.westos.org

#查询正向解析

MX

vim /var/named/westos.org.zone

dig -t mx westos.org

#邮件解析记录查询

 dns反向解析

vim /etc/named.rfc1912.zones

cp -p /var/named/named.loopback /var/named/192.168.1.ptr

vim /192.168.1.ptr

---

6.dns的双向解析

设置两个不同网段ip

cp -p /var/named/westos.org.zone /var/named/westos.org.inter

vim /var/named/westos.org.inter

cp -p /etc/named.rfc1912.zones /etc/named.rfc1912.inters

vim /etc/named.rfc1912.inters

vim /etc/named.conf

#编辑主配置文件

systemctl restart named

---

7.辅助dns的设定及优化

serial

#域名版本序列号

refresh

#辅助dns刷新时间

retry

#辅助dns刷新失败后重试时间

expire

#辅助dns查询失败多久后停止对辅助域名的应答

minimum

#A记录最短有效期

为不影响实验，先恢复单向解析

在第二台主机：

vim /etc/named.conf

vim /etc/named.rfc1912.zones

systmectl restart named

vim /etc/resolv.conf

dig www.westos.org

但此时若主dns数据改变，辅助dns数据无法同步

同步：

在主dns中：

vim /etc/named.rfc1912.zones

systemctl restart named

vim /var/named/westos.org.zone

systemctl restart named

在辅助dns中测试：

---

8.dns的key更新实施

dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST westoskey

cp -p /etc/rndc.key /etc/westos.key

vim /etc/westos.key

vim /etc/named.conf

vim /etc/named.rfc1912.zones

systemctl restart named

将key传输给指定要授权的人：

scp Kwestoskey.+163+59513.* root@192.168.1.200:/mnt

nsupdate -k Kwestoskey.+163+59513.private

检查两台主机时间是否同步，不同步无法更新

删除：

update del hello.westos.org

send

---

9.动态域名解析

在测试主机中：

编辑网络配置：

dhcp 获得ip不固定

使用dhcpd服务将ip更新反馈给dns

dnf install dhcp-server -y

cp /usr/share/doc/dhcp-server/dhcpd.conf.example /etc/dhcp/dhcpd.conf

#利用模板生成配置文件

vim /etc/dhcp/dhcpd.conf

systemctl enable --now dhcpd

在测试主机中：

nmcli connnection reload

nmcli connection up ens160

关闭路由器dhcp服务

dig news.westos.org

设定成功