BIND 8+ 域名服务器安全增强 zt

ns（或特定的zone区域）节中增加： 

recursion no; 
fetch-glue no; 


4、要增加出站查询请求的ID值的随机性，在options节中增加： 

use-id-pool yes; 

　　则服务器将跟踪其出站查询ID值以避免出现重复，并增加随机性。注意这将会 
使服务器多占用超过128KB内存。（缺省值为no） 


5、要限制对DNS服务器进行域名查询的主机，在options（或特定的zone区域）节 
   中增加： 

allow-query { <address_match_list> }; 

address_match_list是允许进行域名查询的主机IP列表，如"1.2.3.4; 5.6.7/24;"。 


6、要限制对DNS服务器进行域名递归查询的主机，在options（或特定的zone区域） 
   节中增加： 

allow-recursion { <address_match_list> }; 

    address_match_list是允许进行域名递归查询的主机IP列表，如 
"1.2.3.4; 5.6.7/24;"。  免费网页模版下载http://www.it55.com


7、要指定允许哪些主机向本DNS服务器提交动态DNS更新，在options（或特定的 
   zone区域）节中增加： 

allow-update { <address_match_list> }; 

    address_match_list是允许向本DNS服务器提交动态DNS更新的主机IP列表，如 
"1.2.3.4; 5.6.7/24;"。 
    缺省时为拒绝所有主机的提交。 


8、要限制对DNS服务器进行区域记录传输的主机，在options（或特定的zone区域） 
   节中增加： 

allow-transfer { <address_match_list> }; 

    address_match_list是允许进行区域记录传输的主机IP列表，如"1.2.3.4; 
5.6.7/24;"。 


9、要指定不接受哪些服务器的区域记录传输请求，在options（或特定的zone区域 
   ）节中增加： 

blackhole { <address_match_list> }; 

    address_match_list是不接受区域记录传输请求的主机IP列表，如"1.2.3.4;  免费设计素材下载http://www.it55.com
5.6.7/24;"。 


10、在options节中还有一些资源限制选项，不同用户可根据实际情况灵活设置， 
    但一定要注意不当的设置会损失DNS服务的性能。 

coresize <size_spec> ;        // core dump的最大值。缺省为default。 

datasize <size_spec> ;        // 服务器所使用的最大数据段内存。缺省为 
default。 

files <size_spec> ;        // 服务器能同时打开的最大文件数。缺省为 
                        // unlimited（不限制）。 
                        // （注意，并非所有操作系统都支持这一选项。）  IT资讯之家 http://www.it55.com

max-ixfr-log-size <size_spec> ;        // （目前版本暂不使用。）限制增量区域 
记 
                         &nbs

（编辑：IT资讯之家 www.it55.com）