《网络系统安全运行与维护教案》-网络系统安全运行与维护26

郑州铁路职业技术学院教案首页序号：26授课班级信息安全22A1信息安全22A2授课日期5.136.12出勤情况课程名称网络系统安全运行与维护教学类型理实结合复习旧课引入新课复习旧课：安装DNS软件配置DNS服务引入新课：Linux系统DNS服务安装与配置（二）教学目标要求学生通过该能力模块的学习,能够熟练掌握主从DNS服务的安装与配置能力。讲授要点教学设计讲授要点：3、配置主从DNS服务4、配置DNS子域5、配置DNS服务高级选项教学设计：回顾上节内容DNS软件的安装和配置引入本节内容主从DNS服务的配置任务实施分3个实验步骤，完成Linux操作系统的配置课堂总结重点难点解决方法重点：配置主从DNS服务配置DNS子域配置DNS服务高级选项难点： 配置DNS服务解决方法：演示+上机操作课后作业完成本节实验，并上交实验课后总结郑州铁路职业技术学院教师教案第26-PAGE1页Linux系统DNS服务安装与配置（二）教学过程步骤主要内容教学组织复习复习DNS服务的安装和配置教师带动学生复习5分钟任务引入在完成DNS服务的安装和配置后，我们接下来要进行的就是配置主从DNS服务器，使DNS服务器运行起来。教师讲授5分钟知识讲授DNS原理当DNS客户端需要为某个应用程序查询名字时，它将联系自己的DNS服务器来解析此名字。DNS客户发送的解析请求包含以下三种信息：需要查询的域名。如果原应用程序提交的不是一个完整的FQDN，则DNS客户端加上域名后缀以构成一个完整的FQDN；指定的查询类型。指定查询的资源记录的类型，如A记录或者MX记录等等；指定的DNS域名类型。对于DNS客户端服务，这个类型总是指定为Internet[IN]类别。DNS客户端完整的DNS解析过程如下：1、检查自己的本地DNS名字缓存当DNS客户端需要解析某个FQDN时，先检查自己的本地DNS名字缓存。本地的DNS名字缓存由两部分构成：Hosts文件中的主机名到IP地址映射定义；前一次DNS查询得到的结果，并且此结果还处于有效期；如果DNS客户端从本地缓存中获得相应结果，则DNS解析完成。2、联系自己的DNS服务器如果DNS客户端没有在自己的本地缓存中找到对应的记录，则联系自己的DNS服务器，你必须预先配置DNS客户端所使用的DNS服务器。当DNS服务器接收到DNS客户端的解析请求后，它先检查自己是否能够权威的答复此解析请求，即它是否管理此请求记录所对应的DNS区域；如果DNS服务器管理对应的DNS区域，则DNS服务器对此DNS区域具有权威。此时，如果本地区域中的相应资源记录匹配客户的解析请求，则DNS服务器权威的使用此资源记录答复客户的解析请求（权威答复）；如果没有相应的资源记录，则DNS服务器权威的答复客户无对应的资源记录（否定答复）。如果没有区域匹配DNS客户端发起的解析请求，则DNS服务器检查自己的本地缓存。如果具有对应的匹配结果，无论是正向答复还是否定答复，DNS服务器非权威的答复客户的解析请求。此时，DNS解析完成。如果DNS服务器在自己的本地缓存中还是没有找到匹配的结果，此时，根据配置的不同，DNS服务器执行请求查询的方式也不同：默认情况下，DNS服务器使用递归方式来解析名字。递归方式的含义就是DNS服务器作为DNS客户端向其他DNS服务器查询此解析请求，直到获得解析结果，在此过程中，原DNS客户端则等待DNS服务器的回复。如果你禁止DNS服务器使用递归方式，则DNS服务器工作在迭代方式，即向原DNS客户端返回一个参考答复，其中包含有利于客户端解析请求的信息（例如根提示信息等），而不再进行其他操作；原DNS客户端根据DNS服务器返回的参考信息再决定处理方式。但是在实际网络环境中，禁用DNS服务器的递归查询往往会让DNS服务器对无法进行本地解析的客户端请求返回一个服务器失败的参考答复，此时，客户端则会认为解析失败。递归方式和迭代方式的不同之处就是当DNS服务器没有在本地完成客户端的请求解析时，由谁扮演DNS客户端的角色向其他DNS服务器发起解析请求。通常情况下应使用递归方式，这样有利于网络管理和安全性控制，只是递归方式比迭代方式更消耗DNS服务器的性能，不过在通常的情况下，这点性能的消耗无关紧要。根提示信息是Internet命名空间中的根DNS服务器的IP地址。为了正常的执行递归解析，DNS服务器必须知道从哪儿开始搜索DNS域名，而根提示信息则用于实现这一需求。全世界范围内的根DNS服务器总共有13个，它们的名字和IP地址信息保存在%systemroot%system32dnscache.dns文件中，每次DNS服务器启动时从cache.dns文件中读取。一般情况下，不需要对此文件进行修改；如果你的DNS服务器是在内部网络中部署并且不需要使用Internet的根DNS服务器，则可以根据需要进行修改，将其指向到某个内部根域DNS服务器。例如，当某个DNS客户端请求解析域名[url][/url]并且DNS服务器工作在递归模式下时，完整的解析过程如下：DNS客户端检查自己的本地名字缓存，没有找到对应的记录；DNS客户端联系自己的DNS服务器NameServer1，查询域名[url][/url]；3.NameServer1检查自己的权威区域和本地缓存，没有找到对应值。于是，联系根提示中的某个根域服务器，查询域名[url][/url]；4.根域服务器也不知道[url][/url]的对应值，于是，向NameServer1返回一个参考答复，告诉NameServer1.org顶级域的权威DNS服务器；5.NameServer1联系.org顶级域的权威DNS服务器，查询域名[url][/url]；6.org顶级域服务器也不知道[url][/url]的对应值，于是，向NameServer1返回一个参考答复，告诉NameServer1W域的权威DNS服务器；7.NameServer1联系W域的权威DNS服务器，查询域名[url][/url]；8.W域的权威DNS服务器知道对应值，并且返回给NameServer1；9.NameServer1向原DNS客户端返回[url][/url]的结果，此时，解析完成。

DNS服务器全攻略之一：基础介绍（2006-01-1608:15）查询响应类型DNS服务器对于客户请求的答复具有多种类型，常见的有以下四种：权威答复：权威答复是返回给客户的正向答复，并且设置了DNS消息中的权威位。此答复代表从具有权威的DNS服务器处发出；正向答复：正向答复包含了匹配客户端解析请求的资源记录；参考答复：参考答复只在DNS服务器工作在迭代模式下使用，包含了其他有助于客户端解析请求的信息。例如，当DNS服务器不能为客户端发起的解析请求找到某个匹配值时，则向DNS客户端发送参考回复，告诉它有助于解析请求的信息；否定答复：否定答复指出权威服务器在解析客户端的请求时可能遇到了以下两种情况之一：权威DNS服务器报告客户端查询的名字不存在；权威DNS服务器报告存在对应的名字但是不存在指定类型的资源记录。无论正向答复还是否定答复，DNS客户端都将结果保存在自己的本地缓存中。理解缓存的工作方式DNS客户端和DNS服务器都会缓存获得的解析结果，这样可以提高DNS服务性能和减少DNS相关的网络流量。DNS客户端缓存当DNS客户端服务启动时，会读取Hosts文件中的所有主机名和IP地址的映射，并且保存在缓存中。Hosts存放在%systemroot%system32driversetc目录，当你修改Hosts文件后，DNS客户端会立即读取Hosts文件并且对本地缓存进行更新。另外，DNS客户端会缓存过去的查询结果，当DNS客户端服务停止时，将清空本地缓存。DNS服务器缓存DNS服务器像DNS客户端一样缓存名字解析结果，并且可以使用缓存中的信息来答复其他客户端的请求。你可以在DNS服务器管理控制台或者使用DNSCMD命令行工具手动清空缓存，另外当DNS服务器停止时，同样会清空DNS服务器缓存。资源记录的生存时间（TTL）指定了资源记录可以缓存的时间的长短，而无论是DNS客户端缓存还是DNS服务器缓存；默认情况下，TTL是3600秒（1小时）。需要注意的是，由于缓存的作用，DNS服务器上对于资源记录的修改可能不能立即生效。并且对于Internet域名来说，资源记录的修改可能会需要超过24小时的时间才能在所有DNS服务器上完成更新。动态更新当DNS客户端计算机上产生某个事件触发更新时，DNS客户端计算机上的DHCP客户端服务将会为本地计算机中使用的所有网络连接在相应的DNS服务器中对自己的A记录进行更新，从而可以确保DNS域名记录和IP地址记录的对应关系。而DNS服务器需要配置为允许动态更新，才能让DNS客户端计算机成功完成更新。当DNS客户端计算机上产生以下事件时，会触发DHCP客户端服务的动态更新行为：添加、删除或修改了本地计算机任何网络连接TCP/IP属性中的IP地址；本地计算机的任何网络连接向DHCP服务器获取IP地址租约或者续约；DNS客户端上运行了Ipconfig/registerdns命令；DNS客户端计算机启动；此DNS区域中的一台成员服务器提升为域控制器；对于标准主要区域，你可以选择不允许动态更新和允许非安全和安全动态更新。但是允许非安全和安全动态更新具有安全隐患，因为DNS服务器不会对进行动态更新的客户端计算机进行验证，所以任何客户端计算机都可以对任何A记录进行动态更新，而不管它是否是此A记录的拥有者。通常情况下，你不应该使用此选项。对于活动目录集成区域，除了上述的两个选项外，你还可以使用安全动态更新。当使用此方式时，在客户端计算机更新自己的记录时，DNS服务器将要求客户端计算机进行身份验证来确保只有对应资源记录的拥有者才能更新此记录。只有Windows2000及以后版本操作系统的客户端计算机才能执行动态更新，低版本的Windows系统（NT4、9x/ME）不支持动态更新。不过，你可以通过DHCP服务器为这些低版本客户端计算机代理进行动态更新。当DHCP服务器在代理低版本客户端计算机注册A记录时，会将自己设置为此A记录的所有者。而在安全动态更新方式中，只有资源记录的所有这才能修改此记录，这样在其他DHCP服务器为此低版本客户端计算机代理注册时会出现拒绝访问的问题。因此，你需要将此DHCP服务器加入到DnsUpdateProxy安全组中，这样当DHCP服务器更新A记录时，不会记录下此A记录的所有者信息，从而允许其他DHCP服务器来修改此A记录。教师讲授，演示DNS的原理，及主从DNS服务的配置过程35分钟任务实施第一步配置主从DNS服务配置主服务器[root@lab1~]#vi/etc/resolv.confsearchnameserver1nameserver0配置从服务器[root@lab2~]#vi/etc/resolv.confsearchnameserver1nameserver0[root@lab2~]#vi/etc/named.confzone""IN{typeslave;file"slaves/.hosts";masters{1;};};zone"123.168.192."IN{typeslave;file"slaves/192.168.123.rev";masters{1;};};[root@lab2~]#chmodg+w/var/named/chroot/var/named/[root@lab2~]#servicenamedrestart[root@lab2~]#ll/var/named/chroot/var/named/slaves/总用量8-rw1namednamed4112月1521:54192.168.123.rev-rw1namednamed3952月1521:54.hosts第二步配置DNS子域修改父域服务器正向解析文件[root@lab1~]#vi/var/named/chroot/var/named/.hosts$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX10.wwwINA0ftpINA1mailINA5bj INNS www.bjwww.bj INA53修改子域服务器主配置文件[root@lab3~]#vi/etc/named.confzone""IN{typemaster;file"/var/named/.hosts";allow-update{none;};};[root@lab3~]#servicenamedrestart第三步配置DNS高级选项1、配置DNS转发器[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";forwardfirst;forwarders{0;};/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault.*///query-sourceaddress*port53;};2、配置缓存cache-only服务器[root@lab2~]#vi/etc/named.conf////named.confforRedHatcaching-nameserver//options{directory"/var/named";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";forwardonly;forwarders{0;1;};/**Ifthereisafirewallbetweenyouandnameserversyouwant*totalkto,youmightneedtouncommentthequery-source*directivebelow.PreviousversionsofBINDalwaysasked*questionsusingport53,butBIND8.1usesanunprivileged*portbydefault.*///query-sourceaddress*port53;};3、配置WEB服务负载均衡[root@lab1~]#vi/var/named/chroot/var/named/.hosts$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX10.wwwINA0ftpINA1mailINA5wwwINA