书签 分享 收藏 举报 版权申诉 / 30

类型《网络系统安全运行与维护》课件项目三 任务四 加强Windows系统DNS服务的安全防御.pptx

  • 文档编号:1259825
  • 上传时间:2024-04-15
  • 格式:PPTX
  • 页数:30
  • 大小:816.25KB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    网络系统安全运行与维护 网络系统安全运行与维护课件项目三 任务四 加强Windows系统DNS服务的安全防御 网络 系统安全 运行 维护 课件 项目 任务 加强 Windows 系统 DNS 服务
    资源描述:

    1、项目三项目三 Windows服务器系统安全运行与维护服务器系统安全运行与维护项目主要内容:项目主要内容:任务一 提高Windows系统活动目录服务的安全任务二 加强Windows系统DHCP服务的安全防御任务三 加强Windows系统IIS服务的安全防御任务四 加强Windows系统DNS服务的安全防御任务提出任务提出 目前,用户访问网络是必须经过DNS服务的。DNS服务器为Web站点的访问提供域名解析,DNS服务器作为对外的域名解析中心,关系到用户的安全性和所解析域名的可靠性,对于用户访问网络至关重要。而黑客却会对DNS服务器进行攻击,对用户进行DNS欺骗和信息劫持等,导致DNS服务器无法正

    2、常解析,用户遭受损失,网络访问安全性遭受破坏,因此必须保障DNS服务器的安全。1.安装和配置安装和配置DNS服务器服务器 在Windows Server 2008 R2系统中安装DNS服务,配置解析区域,使得DNS服务器能够提供域名解析服务。2.安全管理安全管理DNS服务器服务器 通过在DNS服务器上配置辅助DNS服务、进行区域复制和子域委派措施,对DNS服务器进行安全管理,对DNS服务器进行安全加固,从而可以平稳高效的运行。任务分析任务分析1.安装和配置安装和配置DNS服务器服务器DNS(Domain Name System,域名系统)是一种按域层次结构进行组织的计算机及网络服务命名系统。D

    3、NS应用于TCP/IP网络中,通过易记忆和识别的名称来定位计算机的网络服务。当用户在应用程序中输入域名名称时,DNS 服务可以将该名称解析为对应的信息(如IP地址)。在DNS系统中,常见的资源记录类型有:主机记录(主机记录(A记录)记录):用于名称解析的重要记录,它将特定的主机名映射到对应主机的IP地址上。别名记录(别名记录(CNAME记录)记录):用于将某个别名指向到某个A记录上,这样就不需要再为某个新名字另外创建一条新的A记录。IPv6IPv6主机记录(主机记录(AAAA记录)记录):与A记录对应,用于将特定的主机名映射到一个主机的IPv6地址。MXMX记录记录:邮件交换记录。服务位置记录

    4、(服务位置记录(SRV记录)记录):用于定义提供特定服务的服务器的位置,如主机名、端口等。NAPTRNAPTR记录记录:提供了正则表达式方式去映射一个域名。NAPTR记录非常著名的一个应用是用于ENUM查询。DNS协议采用分层系统创建数据库以提供名称解析,按照层次将域名服务器分为根DNS服务器、顶级域服务器、本地DNS服务器。在进行解析查询时,采用两种方式:递归和迭代。DNS客户端设置使用的DNS服务器一般都是递归服务器,它负责全权处理客户端的DNS查询请求,直到返回最终结果。而DNS服务器之间一般采用迭代查询方式。通过在Windows Server 2008 R2系统中安装DNS服务,配置正

    5、向和反向解析区域,使得DNS服务器能够在IP地址和域名直接提供解析服务。2.安全管理安全管理DNS服务器服务器 客户端会向DNS服务器查询指定的DNS域名,而当DNS服务器遭受攻击和破坏,对客户端进行DNS欺骗等非法解析时,客户端所获得的解析后的IP地址和域名就会存在错误,使得所发送的消息传送给不法分子,自身信息遭到泄露。而DNS服务器也随时会有瘫痪、无法提供解析服务的可能。要让DNS服务器安全、稳定地运行,必须针对DNS服务器进行安全策略配置。DNS的安全策略主要包括区域复制和转发器的配置等。任务实施任务实施1.安装和配置安装和配置DNS服务器服务器操作步骤如下:步骤1:实验准备阶段,根据项

    6、目一中任务一知识点,在VMware Workstation中部署三台Windows Server 2008 R2虚拟机Server1、Server2、Server3,并将三台虚拟机实现网络连通。Server1、Server2、Server3的IP地址规划如表所示。设备名称设备名称设备角色设备角色操作系统操作系统IP地址地址Server1主DNS服务器Windows Server 2008 R2192.168.159.3/24Server2辅助DNS服务器Windows Server 2008 R2192.168.159.4/24Server3子域DNS服务器Windows Server 200

    7、8 R2192.168.159.5/24 步骤2:在Server1、Server2、Server3上安装DNS服务 依次选择“开始”-“管理工具”-“服务器管理器”-“角色”-“添加角色”,进入添加角色向导,单击“下一步”按钮,在服务器角色选项中选择“DNS服务器”,然后依次单击“下一步”按钮即可完成安装。步骤3:配置DNS服务第1步:在Server1上创建正向解析区域 选择“开始”“管理工具”“DNS”,打开DNS服务器管理器窗口,如图1所示。图1 右击“正向查找区域”节点,在弹出的快捷菜单选择“新建区域”命令,打开“新建区域向导”对话框,选中“主要区域”单选项,如图2所示。单击“下一步”按

    8、钮,在Active Directory区域传送作用域对话框选择复制区域数据方式为“至此域中域控制器上运行的所有DNS服务器”,如图3所示。图2图3 单击“下一步”按钮,输入区域名称“”,如图4所示。单击“下一步”按钮,指定DNS区域允许接受动态更新类型为“只允许安全的动态更新”,如图5所示。单击“下一步”“完成”按钮,完成正向区域的建立,在DNS管理器窗口正向查找区域节点下会增加“”节点。图4图5第2 2步:在Server1Server1上建立反向查找区域 在DNS管理器窗口,右击“反向查找区域”节点,在弹出的快捷菜单中选择“新建区域”命令,打开“新建区域向导”对话框,选中“主要区域”单选项,

    9、同图2所示。同第1步中,选择复制区域数据范围。单击“下一步”按钮,选择为IPv4地址创建反向查找区域,如图6所示。图6 单击“下一步”按钮,打开“反向查找区域名称”对话框,输入网络 ID,如图7所示。同第1步中,选择允许接受动态更新类型。单击“下一步”按钮,完成配置。在反向查找区域中就会查看到此区域。图7第3步:在Server1上添加主机记录 在DNS服务管理器窗口,右击“”节点,在弹出的快捷菜单中选择“新建主机”命令,打开“新建主机”对话框,输入名称和IP地址,如图8所示。点击“添加主机”按钮,提示成功地创建了主机记录,如图9所示。图8图9 依次按照上面的操作,在Server1上建立FTP和

    10、DHCP的主机记录,添加结果如图10所示。图10第4步:在Server1上建立反向查找区域指针 在DNS管理器窗口,选择“反向查找区域”“159.168.192.in-addr.arpa”,右键单击,在弹出的快捷菜单中选择“新建指针(PTR)”,打开“新建资源记录”窗口,如图11所示。图11 在“新建资源记录”窗口中,点击“浏览”按钮,逐步找到域中的记录,选择“www”记录,如图12所示。点击“确定”按钮,完成指针建立,如图13所示。图12图13 依次按照上面的操作,在Server1上建立FTP和DHCP的主机记录,添加结果如图14所示。图14第5步:测试DNS查找解析 在Server1的命令

    11、提示符窗口中,分别输入DNS查找命令“nslookup ”进行正向解析,解析成功,如图15所示。在Server1的命令提示符窗口中,分别输入DNS查找命令“nslookup 192.168.159.3”进行反向解析,解析成功,如图16所示。图15图16 依次在命令提示符窗口中,对FTP和DHCP的记录进行解析,均能够成功解析。在Server2上测试DNS正向和反向解析,均能够成功解析,如图17所示,证明DNS服务器配置成功。图172.安全管理安全管理DNS服务器服务器步骤4:配置辅助DNS服务第1步:在Server2上创建正向辅助区域打开DNS管理器窗口,右击“正向查找区域”节点,在弹出的快捷

    12、菜单中选择“新建区域”命令,打开“新建区域向导”对话框。单击“下一步”按钮,选中“辅助区域”,如图18所示图18 单击“下一步”按钮,打开“区域名称”对话框,输入区域名称,如图19所示。单击“下一步”按钮,打开“主DNS服务器”对话框,输入主DNS服务器的IP地址,如图20所示。单击“下一步”按钮,接着单击“完成”按钮,完成区域添加。图19图20第2步:在Server2上创建反向辅助区域 右击“反向查找区域”节点,在弹出的快捷菜单中选择“新建区域”命令,打开“区域类型”对话框,选中“辅助区域”。单击“下一步”按钮,选择“IPv4反向查找区域”,如图21所示。单击“下一步”按钮,打开“反向查找区

    13、域名称”对话框,输入网络ID,如图22所示,单击“下一步”按钮,完成配置。图21图22 单击“下一步”按钮,打开“主DNS服务器”对话框,输入主DNS服务器的IP地址,如图23所示。单击“下一步”按钮,接着单击“完成”按钮,完成配置。图23第3步:在Server1上配置区域复制 在Server1上,右击DNS正向查找区域中的节点,在弹出的快捷菜单中选择“属性”命令,打开“属性”对话框,单击“区域传送”选项卡,选中“允许区域传送”复选框和“只允许到下列服务器”单选项,添加辅助DNS 服务器的IP地址,如图24所示。依次点击“应用”“确定”,完成设置。图24 在Server1上,右击DNS反向查找

    14、区域中的“159.168.192.in-addr.arpa”节点,在弹出的快捷菜单中选择“属性”命令,打开“159.168.192.in-addr.arpa属性”对话框,单击“区域传送”选项卡,选中“允许区域复制”复选框和“只允许到下列服务 器”单选项,添加辅助DNS服务器的IP地址,如图25所示。依次点击“应用”“确定”,完成设置。图25 Server2上,在辅助DNS服务器的DNS服务管理窗口,点击“刷新”,主服务器上所有区域的数据已被自动复制到辅助服务器上,如图26所示。图26步骤5 子域的委派随着网络规模的不断增大,当在其他城市建立了分支机构后,分支机构构建了所属的资源服务器。网络主D

    15、NS服务器管理员要将子域SubDC的管理权限下放到分支机构即子域的DNS服务器上,让分支机构的DNS服务器管理员可以维护该子域的数据库,并负责响应针对该子域的名称解析请求。第1步:在Server3上创建子域创建正向区域、反向区域、新建主机server3、建立反向查找区域指针的具体步骤参考步骤3。创建完成后的结果如图27所示。图27第2步:在Server1上实现子域委派 在Server1的正向查找区域,为子域SubDC新建主机记录,名称为SubDC,如图28所示。打开DNS服务管理器窗口,右击“”节点,在弹出的快捷菜单中选择“新建委派”命令,打开“新建委派向导”对话框,输入委派域名即Server

    16、3上的域“ser3”,如图29所示。图28图29 单击“下一步”按钮,打开“名称服务器”对话框,添加委派的DNS 服务名称和IP地址,即Server3上中新建主机server3的名称和对应IP地址,如图30所示。单击“确定”“完成”按钮,完成子域委派,如图31所示。图30图31 测试委派结果。在Server1的命令提示符中输入 nslookup ,结果能够正常解析,如图32所示。通过委派,委派服务器(主DNS服务器)无须进行任何针对该子域的管理工作,也无须保存该子域的数据库,只需保留到达被委派服务器的指向,即当DNS客户端请求解析该子域的名称时,委派服务器(主DNS服务器)虽然无法响应该请求,但它可以明确指出应由受委派服务器来响应需求。图32课堂小结:1.安装和配置DNS服务器2.安全管理DNS服务器

    展开阅读全文
    提示  兔兜文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:《网络系统安全运行与维护》课件项目三 任务四 加强Windows系统DNS服务的安全防御.pptx
    链接地址:https://www.tudouwenku.com/doc/1259825.html

    若发现您的权益受到侵害,请立即联系客服,我们会尽快为您处理!

    copyright@2008-2024 兔兜文库 版权所有

    鲁公网安备37072502000182号  ICP备案号:鲁ICP备2021021588号-1  百度保障

    兔兜文库
    收起
    展开