建立安全可靠的DNS系统研究.pdfVIP

第26卷 增 刊 计 算 机 工 程 2000年10月 Vol.26 SupplementaryIssue ComputerEngineering October2000 2000年CERNET第七届学术会议论文集 ·网络信息服务系统 · 文童编号:1000-3428(2000)增刊-0864-05 文献标识码:A 建立安全可靠的DNS系统 孙永兴，邵庆东，李 斌，高东怀 (第四军医大学网络中心，西安 ”0032) 摘 要:DNS是!要的网络应用程序。借肋于断版的BIND8.2，可以建立更灵活、更可那、更安全的校园网域名服务体系. 本文介绍了DNS校园网使用中的主要功能和实现方法。 关键词:IONS阳 、 。tj城，字签名:l90区刚 中圈分类号:邑 P393 SetupSecuringandCredibleDNSSystem SunYongiing,ShanQingdong,LiBin,GaoDonghuai (NetworkCenteroftheFourthMilitaryMedicalUniversiyt,XPan710032) [Abstract]DNSisanimportantnetworkapplicationsoftware.BythenewBIND83,wecould“加pmoreflexible, morereliableandmoresecuringDNSsystemincompusnetwork.ThepaperintroducedthemainfunctionsofDNSin compusnetworkanditsimplementation. [Keywords)DNS;DNSspoof;Digitalsignature;Campusnetwork 域名解析是Internet中使用最多.也是最成功的分布式系统。如果DNS服务器配2不好或不合理， 一方面会给使用带来问题，另一方面会造成安全汤洞，其结果势必影响到网络的正常应用。城名服务器 的建立，无论在什么样规模的网络环境中都是举足轻重的。校园网也不例外。 1概述 规模小一些的校园网一般只有中心设置DNS服务器，只有学校级的域名，供全校使用;规模大一 些的，建立了校内的分布式DNS服务，在校级域名下管理自己的子域名。不管叨种形式，DNS实质上 起到两种作用:将Internet规范的主机域名解释成正确的IP地址，也称正解;将主机的rip地址 反解析成已规定的主机名，也称反解。两者的重要性是一样的。经常有人误认为只要正解对就能正常工 作。实际上很多情况下出现的问题 (如连接速度慢)都与反解有关。在校园网中应当严格规范正反 作者简介:孙永兴，男.讲师，主攻网络和系统管理 定稿 日期:2000-08-01 -864- 解析，并确保不管是校内还是校外，上下层次的正反解都畅通。 DNS的使用始终是以Berkeley的BIND(BerkeleyInternetNameDomain)程序为主流。它是一个客 户/服务器系统。客户方面称为转换程序 (resolver)，负责产生域名查询并发送给服务器;服务器方 面是一个守护程序named。负责回答转换程序提出的查询。Unix系统安装后BIND程序就存在 (版本可 能较旧)。只要配置部分文件就可以运行resolver和named, DNS在校园网中应当说提供三种服务:一是众多的校内用户对Internet的访问.需要DNS来完成外 部域名转换;二是校内用户之间的访问，需要通过DNS确定内部主机;三是从Interne舫 问校园网时， DNS对外提供内部名字服务。前者要求DNS提供递归解析，而后两者只要求反映内部名字数据库的情况， 并不需要对外开放递归解析功能。前两者只要求对内开放用户查询，而后者对外开放的是其他域名服务 器的查询，并不是外界的用户查询。为了增强服务的可靠性，通常设里主/从域名服务器，并为了保证 主/从内容的一致性，经常需要将主服务器的数据内容传递到从服务器上。从服务器可以设在校内或是 校外 (可靠性更好