艾銻知識 |保護DNS服務器的幾點方法小結
2020-02-26 23:45 作者:艾銻無限 瀏覽量:
疫情即將結束,如何提升企業工作效率
艾銻無限免費為企業提供IT服務
這幾天如果大家關注疫情數據的變化,可以看到湖北以外30個省區市新增確診病例12連降,這意味著疫情很快就會結束,大家再也不用在家辦公了,到不是在家工作不好,但人類發明工作不
簡簡單單只是為了實現結果的達成,還有一個非常重要的因素就是人與人之間的聯結,這是人類內在價值的需要,透過工作與人接觸,共同感受彼此的能量流動,從而達到自我價值的實現,這就像演員都渴望登上奧斯卡的舞臺,而實現自我角色的認可。
簡簡單單只是為了實現結果的達成,還有一個非常重要的因素就是人與人之間的聯結,這是人類內在價值的需要,透過工作與人接觸,共同感受彼此的能量流動,從而達到自我價值的實現,這就像演員都渴望登上奧斯卡的舞臺,而實現自我角色的認可。
在家辦公,必盡是家,松、散、無所謂的態度會隨時產生,我相信不是每個人都會這樣,但大部分人會如此,接下來即將回到公司,回到自己的工作崗位,難免會把在家的狀態帶入工作中,如果
每個人都這是這樣的狀態,很快會讓企業限入新的窘境,那就是沒有狀態,也不會有好的結果,狀態就是一切。團隊的勢氣決定企業整體的戰斗力,那如何調整陸陸續續回來的團隊成員呢?
艾銻無限對中小企業有三條建議:
第一,重新梳理整個企業的戰略,疫情的發生,是否給你企業帶來了變化?如果有那是什么?是否需要調整自己原有的戰略方向來應對疫情發生后的影響?
第二,重新明確每個人的目標和目的,目標就是回來的人要干什么?干到什么程度?什么時間可以看到這個結果的發生?目的就是為什么要這個目標?這個目標與自己的意義是什么?與企業的意義是什么?達成了會怎么樣?達不成會怎么樣?一定要讓員工想清晰這些問題,只有想清晰了才會改變自己對待接下來工作的態度。
第三,企業高管與員工建立一對一對話機制,因疫情的影響,每個人心理或多或少都會產生一些內在的變化,做為企業的高層管理人員,最好與企業內部員工一對一的進行溝通,去了解在這個過程中員工受到的影響和產生的變化,以便接下來擁有更好的狀態投入工作中。以上三點做為每一家企業的管理者都有必要重視起來,因為這關系著企業接下來的生、死、存、亡,當然這只是我們一家之言,可根據自身的情況做出相應的調整和改變。
那為什么我們會有這樣的思考,因為艾銻無限是一家企業互聯網”云”解決方案服務平臺,企業在初創時經歷了2003年的非典,后來又經歷了2008年的經濟危機以及2016年互聯網創業大潮,生生死死,幾經沉浮,最終發現上述三點是生死線中最重要的,所以愿意分享給大家,期望這次疫情大家不僅能渡過難關,更能看見大家在這個過程中強而有力的領導力,讓自己企業力挽狂瀾,在2020年有一個更好的未來。
在這次疫情后各個企業恢復的過程中,艾銻無限還能為大家做的就是免費為中小企業提供相應的IT服務,以下是艾銻無限可以提供服務的內容,如果大家有相應的需求,可以打下面的電話與我們的企業相關人員聯系,我們一定會盡全力幫助大家渡過難關。
第一,重新梳理整個企業的戰略,疫情的發生,是否給你企業帶來了變化?如果有那是什么?是否需要調整自己原有的戰略方向來應對疫情發生后的影響?
第二,重新明確每個人的目標和目的,目標就是回來的人要干什么?干到什么程度?什么時間可以看到這個結果的發生?目的就是為什么要這個目標?這個目標與自己的意義是什么?與企業的意義是什么?達成了會怎么樣?達不成會怎么樣?一定要讓員工想清晰這些問題,只有想清晰了才會改變自己對待接下來工作的態度。
第三,企業高管與員工建立一對一對話機制,因疫情的影響,每個人心理或多或少都會產生一些內在的變化,做為企業的高層管理人員,最好與企業內部員工一對一的進行溝通,去了解在這個過程中員工受到的影響和產生的變化,以便接下來擁有更好的狀態投入工作中。以上三點做為每一家企業的管理者都有必要重視起來,因為這關系著企業接下來的生、死、存、亡,當然這只是我們一家之言,可根據自身的情況做出相應的調整和改變。
那為什么我們會有這樣的思考,因為艾銻無限是一家企業互聯網”云”解決方案服務平臺,企業在初創時經歷了2003年的非典,后來又經歷了2008年的經濟危機以及2016年互聯網創業大潮,生生死死,幾經沉浮,最終發現上述三點是生死線中最重要的,所以愿意分享給大家,期望這次疫情大家不僅能渡過難關,更能看見大家在這個過程中強而有力的領導力,讓自己企業力挽狂瀾,在2020年有一個更好的未來。
在這次疫情后各個企業恢復的過程中,艾銻無限還能為大家做的就是免費為中小企業提供相應的IT服務,以下是艾銻無限可以提供服務的內容,如果大家有相應的需求,可以打下面的電話與我們的企業相關人員聯系,我們一定會盡全力幫助大家渡過難關。
歷經10幾年,艾銻無限服務了5000多家中小企業并保障了幾十萬臺設備的正常運轉,積累了豐富的企業IT緊急問題和特殊故障的解決方案,我們為您的企業提供的IT服務分為三大版塊:
第一版塊是保障性IT外包服務:如電腦設備運維,辦公設備運維,網絡設備運維,服務器運維等綜合性企業IT設備運維服務。
第二版塊是功能性互聯網外包服務:如網站開發外包,小程序開發外包,APP開發外包,電商平臺開發外包,業務系統的開發外包和后期的運維外包服務。
第三版塊是增值性云服務外包:如企業郵箱上云,企業網站上云,企業存儲上云,企業APP小程序上云,企業業務系統上云,阿里云產品等后續的云運維外包服務。
更多服務也可以登錄艾銻無限的官網: www.bjitwx.com 查看詳細說明。
每家企業都有著不同的人,每個人都有著不一樣的思考,所以企業不需要統一所有人的思維,企業只需要統一所有人的心,因為只要心在一起了,能量就會合一,能量合一企業將無所不能。
相信這次疫情帶給中國企業的不僅僅是災難,更有可能的是歷練,這些年中國的經濟發展非常快速,大部分中小企業的成長都是隨著國家政策及整個社會的大勢起來的,沒有經過挑戰和困難,所以存活周期也會很短,從2016年大眾創業,萬眾創新倡導下成立了上千萬家企業,但真正存活下來的就只有幾十萬家,這樣即不能給國家帶來更好的穩定持續的發展,也不能為社會創造更大的價值,反而讓更多的人投機取巧,心浮氣躁,沉不下來真正把一件事做好,做到極致。
所以這次疫情也會讓這些企業重新思考,問問自己,為什么要創造這家企業,想為這個國家和社會帶來的是什么?這家企業真正創造的是什么?如何做才能讓社會變得更好?等等.....
所以企業真正去思考,用心去創造價值的時候,也就是人們幸福快樂的時候,因為再也不用擔心假貨、次貨、買到不好的產品,所以疫情即是一場災難,又是成就我們中國的一次機會,讓我們全中國人覺醒。生命只有一次,做就做到最好。
你對世界微笑,世界絕不會對你哭,希望大家都能樂觀起來,讓自己、自己的家人、自己的企業、還有自己的國家都快樂起來,把焦點放在我們想要什么上,而不是不要的事情上,我相信,就在不久的將來,我們一定會看到一個富強、文明、健康的中國以及中國人。
萬物同體,能量合一,最后無論你是中小企業,還是大型國有企業,只要你選擇艾銻無限,我們就一定全力以赴幫助大家渡過難關,服務有限,信息無限,透過全體艾銻人的努力,為您收集最有效的IT技術信息,讓您企業更快速解決遇到的IT問題:
艾銻知識 |保護DNS服務器的幾點方法小結
1.使用DNS轉發器
DNS轉發器是為其他DNS服務器
完成DNS查詢的DNS服務器。使用DNS轉發器的主要目的是減輕DNS處理的壓力,把查詢請求從DNS服務器轉給轉發器, 從DNS轉發器潛在地更大DNS高速緩存中受益。
使用DNS轉發器的另一個好處是它阻止了DNS服務器轉發來自互聯網DNS服務器的查詢請求。如果你的DNS服務器保存了你內部的域DNS資源記錄的話, 這一點就非常重要。不讓內部DNS服務器進行遞歸查詢并直接聯系DNS服務器,而是讓它使用轉發器來處理未授權的請求。
2.使用只緩沖DNS服務器
只緩沖DNS服務器是針對為授權域名的。它被用做遞歸查詢或者使用轉發器。當只緩沖DNS服務器收到一個反饋,它把結果保存在高速緩存中,然后把 結果發送給向它提出DNS查詢請求的系統。隨著時間推移,只緩沖DNS服務器可以收集大量的DNS反饋,這能極大地縮短它提供DNS響應的時間。
把只緩沖DNS服務器作為轉發器使用,在你的管理控制下,可以提高組織安全性。內部DNS服務器可以把只緩沖DNS服務器當作自己的轉發器,只緩沖 DNS服務器代替你的內部DNS服務器完成遞歸查詢。使用你自己的只緩沖DNS服務器作為轉發器能夠提高安全性,因為你不需要依賴你的ISP的DNS服務 器作為轉發器,在你不能確認ISP的DNS服務器安全性的情況下,更是如此。
3.使用DNS廣告者(DNS advertisers)
DNS廣告者是一臺負責解析域中查詢的DNS服務器。例如,如果你的主機對于domain.com 和corp.com是公開可用的資源,你的公共DNS服務器就應該為 domain.com 和corp.com配置DNS區文件。
除DNS區文件宿主的其他DNS服務器之外的DNS廣告者設置,是DNS廣告者只回答其授權的域名的查詢。這種DNS服務器不會對其他DNS服務器進行遞歸 查詢。這讓用戶不能使用你的公共DNS服務器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險,包括緩存中毒,增加了安全。
4.使用DNS解析者
DNS解析者是一臺可以完成遞歸查詢的DNS服務器,它能夠解析為授權的域名。例如,你可能在內部網絡上有一臺DNS服務器,授權內部網絡域名 internalcorp.com的DNS服務器。當網絡中的客戶機使用這臺DNS服務器去解析techrepublic.com時,這臺DNS服務器通過向其他DNS服務器查詢來執行遞歸 以獲得答案。
DNS服務器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS服務器。你可以讓DNS 解析者僅對內部用戶使用,你也可以讓它僅為外部用戶服務,這樣你就不用在沒有辦法控制的外部設立DNS服務器了,從而提高了安全性。當然,你也 可以讓DNS解析者同時被內、外部用戶使用。
5.保護DNS不受緩存污染
DNS緩存污染已經成了日益普遍的問題。絕大部分DNS服務器都能夠將DNS查詢結果在答復給發出請求的主機之前,就保存在高速緩存中。DNS高速緩存 能夠極大地提高你組織內部的DNS查詢性能。問題是如果你的DNS服務器的高速緩存中被大量假的DNS信息“污染”了的話,用戶就有可能被送到惡意站點 而不是他們原先想要訪問的網站。
絕大部分DNS服務器都能夠通過配置阻止緩存污染。windowsServer 2003 DNS服務器默認的配置狀態就能夠防止緩存污染。如果你使用的是Windows 2000 DNS服務器,你可以配置它,打開DNS服務器的Properties對話框,然后點擊“高級”表。選擇“防止緩存污染”選項,然后重新啟動DNS服務器。
6.使DDNS只用安全連接
很多DNS服務器接受動態更新。動態更新特性使這些DNS服務器能記錄使用DHCP的主機的主機名和IP地址。DDNS能夠極大地減輕DNS管理員的管理費用 ,否則管理員必須手工配置這些主機的DNS資源記錄。
然而,如果未檢測的DDNS更新,可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為臺文件服務器、Web服務器或者數據庫服務器動態更新 的DNS主機記錄,如果有人想連接到這些服務器就一定會被轉移到其他的機器上。
你可以減少惡意DNS升級的風險,通過要求安全連接到DNS服務器執行動態升級。這很容易做到,你只要配置你的DNS服務器使用活動目錄綜合區 (Active Directory Integrated Zones)并要求安全動態升級就可以實現。這樣一來,所有的域成員都能夠安全地、動態更新他們的DNS信息。
7.禁用區域傳輸
區域傳輸發生在主DNS服務器和從DNS服務器之間。主DNS服務器授權特定域名,并且帶有可改寫的DNS區域文件,在需要的時候可以對該文件進行更新 。從DNS服務器從主力DNS服務器接收這些區域文件的只讀拷貝。從DNS服務器被用于提高來自內部或者互聯網DNS查詢響應性能。
然而,區域傳輸并不僅僅針對從DNS服務器。任何一個能夠發出DNS查詢請求的人都可能引起DNS服務器配置改變,允許區域傳輸傾倒自己的區域數據 庫文件。惡意用戶可以使用這些信息來偵察你組織內部的命名計劃,并攻擊關鍵服務架構。你可以配置你的DNS服務器,禁止區域傳輸請求,或者僅允 許針對組織內特定服務器進行區域傳輸,以此來進行安全防范。
8.使用防火墻來控制DNS訪問
防火墻可以用來控制誰可以連接到你的DNS服務器上。對于那些僅僅響應內部用戶查詢請求的DNS服務器,應該設置防火墻的配置,阻止外部主機連接 這些DNS服務器。對于用做只緩存轉發器的DNS服務器,應該設置防火墻的配置,僅僅允許那些使用只緩存轉發器的DNS服務器發來的查詢請求。防火墻策略設置的重要一點是阻止內部用戶使用DNS協議連接外部DNS服務器。
9.在DNS注冊表中建立訪問控制
在基于Windows的DNS服務器中,你應該在DNS服務器相關的注冊表中設置訪問控制,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些注冊表設置。
HKLM\CurrentControlSet\Services\DNS鍵應該僅僅允許管理員和系統帳戶訪問,這些帳戶應該擁有完全控制權限。
10.在DNS文件系統入口設置訪問控制
在基于Windows的DNS服務器中,你應該在DNS服務器相關的文件系統入口設置訪問控制,這樣只有需要訪問的帳戶才能夠閱讀或修改這些文件。
%system_directory%\DNS文件夾及子文件夾應該僅僅允許系統帳戶訪問,系統帳戶應該擁有完全控制權限。
DNS轉發器是為其他DNS服務器
完成DNS查詢的DNS服務器。使用DNS轉發器的主要目的是減輕DNS處理的壓力,把查詢請求從DNS服務器轉給轉發器, 從DNS轉發器潛在地更大DNS高速緩存中受益。
使用DNS轉發器的另一個好處是它阻止了DNS服務器轉發來自互聯網DNS服務器的查詢請求。如果你的DNS服務器保存了你內部的域DNS資源記錄的話, 這一點就非常重要。不讓內部DNS服務器進行遞歸查詢并直接聯系DNS服務器,而是讓它使用轉發器來處理未授權的請求。
2.使用只緩沖DNS服務器
只緩沖DNS服務器是針對為授權域名的。它被用做遞歸查詢或者使用轉發器。當只緩沖DNS服務器收到一個反饋,它把結果保存在高速緩存中,然后把 結果發送給向它提出DNS查詢請求的系統。隨著時間推移,只緩沖DNS服務器可以收集大量的DNS反饋,這能極大地縮短它提供DNS響應的時間。
把只緩沖DNS服務器作為轉發器使用,在你的管理控制下,可以提高組織安全性。內部DNS服務器可以把只緩沖DNS服務器當作自己的轉發器,只緩沖 DNS服務器代替你的內部DNS服務器完成遞歸查詢。使用你自己的只緩沖DNS服務器作為轉發器能夠提高安全性,因為你不需要依賴你的ISP的DNS服務 器作為轉發器,在你不能確認ISP的DNS服務器安全性的情況下,更是如此。
3.使用DNS廣告者(DNS advertisers)
DNS廣告者是一臺負責解析域中查詢的DNS服務器。例如,如果你的主機對于domain.com 和corp.com是公開可用的資源,你的公共DNS服務器就應該為 domain.com 和corp.com配置DNS區文件。
除DNS區文件宿主的其他DNS服務器之外的DNS廣告者設置,是DNS廣告者只回答其授權的域名的查詢。這種DNS服務器不會對其他DNS服務器進行遞歸 查詢。這讓用戶不能使用你的公共DNS服務器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險,包括緩存中毒,增加了安全。
4.使用DNS解析者
DNS解析者是一臺可以完成遞歸查詢的DNS服務器,它能夠解析為授權的域名。例如,你可能在內部網絡上有一臺DNS服務器,授權內部網絡域名 internalcorp.com的DNS服務器。當網絡中的客戶機使用這臺DNS服務器去解析techrepublic.com時,這臺DNS服務器通過向其他DNS服務器查詢來執行遞歸 以獲得答案。
DNS服務器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS服務器。你可以讓DNS 解析者僅對內部用戶使用,你也可以讓它僅為外部用戶服務,這樣你就不用在沒有辦法控制的外部設立DNS服務器了,從而提高了安全性。當然,你也 可以讓DNS解析者同時被內、外部用戶使用。
5.保護DNS不受緩存污染
DNS緩存污染已經成了日益普遍的問題。絕大部分DNS服務器都能夠將DNS查詢結果在答復給發出請求的主機之前,就保存在高速緩存中。DNS高速緩存 能夠極大地提高你組織內部的DNS查詢性能。問題是如果你的DNS服務器的高速緩存中被大量假的DNS信息“污染”了的話,用戶就有可能被送到惡意站點 而不是他們原先想要訪問的網站。
絕大部分DNS服務器都能夠通過配置阻止緩存污染。windowsServer 2003 DNS服務器默認的配置狀態就能夠防止緩存污染。如果你使用的是Windows 2000 DNS服務器,你可以配置它,打開DNS服務器的Properties對話框,然后點擊“高級”表。選擇“防止緩存污染”選項,然后重新啟動DNS服務器。
6.使DDNS只用安全連接
很多DNS服務器接受動態更新。動態更新特性使這些DNS服務器能記錄使用DHCP的主機的主機名和IP地址。DDNS能夠極大地減輕DNS管理員的管理費用 ,否則管理員必須手工配置這些主機的DNS資源記錄。
然而,如果未檢測的DDNS更新,可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為臺文件服務器、Web服務器或者數據庫服務器動態更新 的DNS主機記錄,如果有人想連接到這些服務器就一定會被轉移到其他的機器上。
你可以減少惡意DNS升級的風險,通過要求安全連接到DNS服務器執行動態升級。這很容易做到,你只要配置你的DNS服務器使用活動目錄綜合區 (Active Directory Integrated Zones)并要求安全動態升級就可以實現。這樣一來,所有的域成員都能夠安全地、動態更新他們的DNS信息。
7.禁用區域傳輸
區域傳輸發生在主DNS服務器和從DNS服務器之間。主DNS服務器授權特定域名,并且帶有可改寫的DNS區域文件,在需要的時候可以對該文件進行更新 。從DNS服務器從主力DNS服務器接收這些區域文件的只讀拷貝。從DNS服務器被用于提高來自內部或者互聯網DNS查詢響應性能。
然而,區域傳輸并不僅僅針對從DNS服務器。任何一個能夠發出DNS查詢請求的人都可能引起DNS服務器配置改變,允許區域傳輸傾倒自己的區域數據 庫文件。惡意用戶可以使用這些信息來偵察你組織內部的命名計劃,并攻擊關鍵服務架構。你可以配置你的DNS服務器,禁止區域傳輸請求,或者僅允 許針對組織內特定服務器進行區域傳輸,以此來進行安全防范。
8.使用防火墻來控制DNS訪問
防火墻可以用來控制誰可以連接到你的DNS服務器上。對于那些僅僅響應內部用戶查詢請求的DNS服務器,應該設置防火墻的配置,阻止外部主機連接 這些DNS服務器。對于用做只緩存轉發器的DNS服務器,應該設置防火墻的配置,僅僅允許那些使用只緩存轉發器的DNS服務器發來的查詢請求。防火墻策略設置的重要一點是阻止內部用戶使用DNS協議連接外部DNS服務器。
9.在DNS注冊表中建立訪問控制
在基于Windows的DNS服務器中,你應該在DNS服務器相關的注冊表中設置訪問控制,這樣只有那些需要訪問的帳戶才能夠閱讀或修改這些注冊表設置。
HKLM\CurrentControlSet\Services\DNS鍵應該僅僅允許管理員和系統帳戶訪問,這些帳戶應該擁有完全控制權限。
10.在DNS文件系統入口設置訪問控制
在基于Windows的DNS服務器中,你應該在DNS服務器相關的文件系統入口設置訪問控制,這樣只有需要訪問的帳戶才能夠閱讀或修改這些文件。
%system_directory%\DNS文件夾及子文件夾應該僅僅允許系統帳戶訪問,系統帳戶應該擁有完全控制權限。
相關文章
IT電腦維護外包
關閉