[网络安全] NDS部署与安全

一、NDS服务器

（域名系统Domain Name System）

二、域名组成：

? ?1.域名组成概述

? ? ? 如“www.baidu.com” 是个域名，严格意义来讲"baidu.com"为域名(全球唯一),? www为主机名.

? ? ? “主机名.域名”称为完全限定域名（FQDN）。一个域名可以有多个主机,域名全球唯一.

如: 购买了,baidu.com域名.

可以有 www.baidu.com? ?mail.baidu.com(即:一个域名可以有多个主机)

? ?"baidu.com"为域名(全球唯一)? ? ?www为主机名

? ?2.域名层次:

? ? 根:? . (一个点,常常在域名中不书写)

? ? ?顶级域名: gov(政府)? edu(教育) com(商业)? cn(中国)? org(非盈利组织) net(互联网)........

? ? 一级域名: cctv? ?ibm? ?huawei? ?.......

? ?二级域名: mail? ?www? .....

? ?三级域名: .....

? ?...

? 如:www.baidu.com. (完整域名)?

.? ? ? ? ?根域

com? ?顶级域

baidu? 一级域

www? 主机名

域名等级: 从右往左, 右边等级最大.

三.、监听端口?

? TCP : 53

? UDP: 53

四、DNS解析种类

?1.按查询方式:

? 1).递归查询:

? ? ?性质:客户机与本机DNS服务器之间(所问即所答) (转发器过程)

? ? ?方式:先查看本地缓存---->本地DNS---->根DNS,找到结果---->根下一级NDS,逐步到客户机

? 2).迭代查询:

? ? ?性质:本地DNS服务器与根等其他DNS服务器的解析过程(所问非所答)

? ? ?方式:先查看本地缓存---->本地DNS,它找到具有服务能力的NDS服务器,然后把NDS服务器IP给客户机---->客户机收到地址后,自己再访问

(访问过一次后,本地DNS服务器就有缓存了,减少查询时间)

2.按查询方式:

? 1).正向解析:已知域名,解析IP地址

? 2).反向解析:已知IP地址,解析域名

五、部署DNS服务器

? ?1.安装DNS软件

? ?2.创建DNS服务器

右击"正向区域"---->新建区域---->主要区域----->填写区域名称----->?创建新文件,文件名为: 一个后缀为.dns的文件.---->选择不允许动态更新--->完成

会生成2条记录:

1.起始授权机构(SOA):本服务器的权威服务器

2.名称服务器(NS) :目前负责解析本域名的DNS服务器

(当你想让你创建的DNS服务器,能够找到对应的主机,需要创建主机记录(A记录))

? ?3.创建主机记录(A记录)

填写名称:? 如www, mail

完全合格域名:? (系统会自动补充完整域名) 如: www.baidu.com

IP地址 : 填写主机所对应的IP地址

六、工作流程

1. DNS服务器的工作流程:? DNS高速缓存>?负责区域解析文件>转发器>根

2. ?客户机请求解析顺序:? DNS缓存>本地hosts文件>本地NDS服务器

七、小实验：

? ?1.更换DNS服务器

• DHCP服务器中修改,让所有主机都获得 更换后的DNS服务器地址
• 在本地主机修改,手动到TCP/IP服务中去配 固定DNS服务器地址

? ? 2.反向查找:

• 右击反向查找区域---->新建主机记录----->主要区域---->输入网络ID(即网络号),和反向查找区域名称.
• 再右击反向查找中的主机记录,创建资源记录(PTR指针)---->输入主机ID号(即主机号),再选择对应的正向查找中的主机记录
• (这样就可以通过 解析DNS名称获得IP地址)

? ?3.备份(辅助)区域:

右击区域---->选择"区域复制"---->勾选"允许区域复制",点"允许到下列服务器,"

输入需要复制的服务器地址,点击"添加",点击"确认"----->选择"辅助区域"----> 输入主服务器(即:权威服务器),从主服务器复制区域到本区域.--->完成

(可以从主服务器复制 区域,需要的区域)

比如公司有两台 DNS服务器,你配置好一台后,可以直接先备份一个区域.

然后再在新的DNS服务器上, 创建区域时,选择"辅助区域"

? ?4.设置转发器

• 右击区域,选择"转发器"---->输入转发器DNS服务器的IP--->点击完成
• (当在本地NDS服务器不能解析时,转向转发器中的DNS服务器)

? ?5.实现虚拟机上网:

• 切换到真实机网卡:

虚拟机VM中,有vmnet0-19的虚拟交换机,但vmnet0 是真实虚拟交换机,会直接连接真实机的虚拟机,

所有更换为vmnet0,

• 点击虚拟网络编辑器

• ?点击 "更改设置"

• 选择 vmnet0,然后修改真实机的网卡,

(但是真实机也分 无线或者有线2种交换机?,所以需要确认是 有线还是 无线交换机,可以通过虚拟机设置修改,如下:)

• 配置完成后,进入 虚拟机,把IP,DNS都换为自动获取,并且清空DNS本地缓存

6、设置别名：

当客户输入“a”，可以直接访问“app”，就是设置别名了(给已有的域名取别名)

• ?过程: 右击区域---新建别名----输入别名,设置对应的主机

七、所需命令

cmd命令:?

nslookup +域名/ IP? (查看域名详细信息)

ipconfig /flushdns? ? ?(刷新本地DNS缓存)

ipconfig /displaydns? ? (查看本地DNS缓存)

八、练习:

1. 主要DNS服务器:员工要指向DNS,清空DNS缓存,练习nslookup手工解析
2. 辅助DNS服务器:成功更新区域解析记录,做备份
3. 反向解析:给本地取名字.使解析加快
4. 将 主机与服务器能上网,部署服务器为DSN服务器,是主机指向服务器,主机其他保持不变
5. 转发器/根: