孫莉娜SUN Li-na

（遼寧機(jī)電職業(yè)技術(shù)學(xué)院，丹東 118009）

（Liaoning Jidian Polytechnic，Dandong 118009，China）

0 引言

互聯(lián)網(wǎng)上的計(jì)算機(jī)用32bit 的IP 地址作為自己的唯一標(biāo)識，但是訪問某個(gè)網(wǎng)站時(shí)，一般在地址欄中輸入的是名稱，而不是IP 地址，如www.hao123.com，這樣就可以瀏覽相應(yīng)的網(wǎng)站，為什么不用輸入IP 地址也能找到相應(yīng)的計(jì)算機(jī)呢？這就是域名系統(tǒng)DNS（Domain Name System）的作用。用戶通過32 位的IP 地址瀏覽互聯(lián)網(wǎng)非常不方便，記住有意義的名稱比較容易。當(dāng)輸入名稱的時(shí)候，DNS 將名稱轉(zhuǎn)換為對應(yīng)的IP 地址，找到計(jì)算機(jī)，再把網(wǎng)頁傳回給瀏覽器，就看到了網(wǎng)頁內(nèi)容。

DNS 是一個(gè)分布式數(shù)據(jù)庫，命名系統(tǒng)采用層次的邏輯結(jié)構(gòu)，如同一棵倒置的樹，這個(gè)邏輯的樹形結(jié)構(gòu)稱為域名空間，由于DNS 劃分了域名空間，所以各機(jī)構(gòu)可以使用自己的域名空間創(chuàng)建DNS 信息。

1 域和域名

DNS 樹的每個(gè)節(jié)點(diǎn)代表一個(gè)域，通過這些節(jié)點(diǎn)，對整個(gè)域名空間進(jìn)行劃分，成為一個(gè)層次結(jié)構(gòu)。域名空間的每個(gè)域的名字通過域名進(jìn)行表示。域名通常由一個(gè)完全正式域名（FQDN）標(biāo)識。FQDN 能準(zhǔn)確表示出其相對于DNS 域樹根的位置，也就是節(jié)點(diǎn)到DNS 樹根的完整表述方式，從節(jié)點(diǎn)到樹根采用反向書寫，并將每個(gè)節(jié)點(diǎn)用“.”分隔，對于DNS 域163 來說，其完全正式域名（FQDN）163.com。

一個(gè)DNS 域可以包括主機(jī)和其他域（子域），每個(gè)機(jī)構(gòu)都擁有名稱空間的某一部分的授權(quán)，負(fù)責(zé)該部分名稱空間的管理和劃分，并用它來命名DNS 域和計(jì)算機(jī)。例如，163 為com 域的子域，其表示方法為163.com，而www 為163 域中的Web 主機(jī)，可以使用www.163.com 表示。

2 Internet 域名空間

DNS 根域下面是頂級域，也由Internet 域名注冊授權(quán)機(jī)構(gòu)管理。共有3 種類型的頂級域。

①組織域：采用3 個(gè)字符的代號，表示DNS 域中所包含的組織的主要功能或活動。比如com 為商業(yè)機(jī)構(gòu)組織，edu 為教育機(jī)構(gòu)組織，gov 為政府機(jī)構(gòu)組織，mil 為軍事機(jī)構(gòu)組織，net 為網(wǎng)絡(luò)機(jī)構(gòu)組織，org 為非營利機(jī)構(gòu)組織，int為國際機(jī)構(gòu)組織。

②地址域：采用兩個(gè)字符的國家或地區(qū)代號。如cn 為中國，kr 為韓國，us 為美國。

③反向域：這是個(gè)特殊域，名字為in-addr.arpa，用于將IP 地址映射到名字（反向查詢）。

3 區(qū)（Zone）

區(qū)是DNS 名稱空間的一個(gè)連續(xù)部分，其包含了一組存儲在DNS 服務(wù)器上的資源記錄。每個(gè)區(qū)都位于一個(gè)特殊的域節(jié)點(diǎn)，但區(qū)并不是域。DNS 域是名稱空間的一個(gè)分支，而區(qū)一般是存儲在文件中的DNS 名稱空間的某一部分，可以包括多個(gè)域。一個(gè)域可以再分成幾部分，每個(gè)部分或區(qū)可以由一臺DNS 服務(wù)器控制。使用區(qū)的概念，DNS 服務(wù)器回答關(guān)于自己區(qū)中主機(jī)的查詢，以及哪個(gè)區(qū)的授權(quán)服務(wù)器。

4 RHEL5 配置DNS 服務(wù)器的方法

探討RHEL5 配置DNS 服務(wù)器的方法，首先引入任務(wù)：作為網(wǎng)絡(luò)管理員，假設(shè)公司要以Linux 網(wǎng)絡(luò)操作系統(tǒng)為平臺，建設(shè)DNS 服務(wù)器、郵件服務(wù)器、Web 服務(wù)器和FTP 服務(wù)器，規(guī)劃服務(wù)器地址和域名，使員工能夠使用域名訪問Web 服務(wù)器和FTP 服務(wù)器。

接下來分析如何完成該項(xiàng)任務(wù)：設(shè)定公司域名為chenzw.edu；公司員工使用域名ftp.chenzw.edu 訪問公司FTP 站點(diǎn)；使用域名www.chenzw.edu 訪問公司網(wǎng)站（這里www 采用別名方式定義，是ftp 主機(jī)的另一個(gè)名字）；使用域名mail.chenzw.edu 訪問郵件服務(wù)器；公司網(wǎng)絡(luò)中只存在一臺DNS 服務(wù)器，需要提供反解析的服務(wù)；IP 地址192.168.40.2 為主要DNS，使用域名dns.chenzw.edu 訪問域名服務(wù)器。

以下將分步驟實(shí)施該項(xiàng)任務(wù)：

步驟一：網(wǎng)絡(luò)參數(shù)配置，關(guān)閉防火墻。設(shè)置服務(wù)器的IP 地址為192.168.40.2，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)地址為192.168.40.1，并關(guān)閉防火墻。

步驟二：安裝DNS 服務(wù)器。在RHEL5 中，系統(tǒng)自帶了DNS 服務(wù)器程序BIND，Linux 使用這個(gè)軟件包來提供域名服務(wù)。通過以下命令來檢查系統(tǒng)是否己經(jīng)安裝了BIND：

步驟三：編輯主配置文件named.conf。RHEL5 中使用chroot 技術(shù)增強(qiáng)BIND 服務(wù)器的安全性。chroot 的作用是改變程序運(yùn)行時(shí)所引用的根目錄位置，即將某個(gè)特定目錄作為程序的虛擬根目錄，讓程序只在這個(gè)虛擬根目錄下具有權(quán)限，一旦離開該目錄就不再具有任何權(quán)限。安裝bindchroot 軟件包之后，就自動將/var/name/chroot 作為bind 程序的虛擬根目錄。而主配文件就在/var/name/chroot/etc 下，如果沒有，需要做以下操作：

步驟四：復(fù)制根域名服務(wù)器指向文件模板（這里默認(rèn)為之前已經(jīng)做好本機(jī)localhost 的正向和反向域名解析工作）。

復(fù)制正向解析的模板文件localhost.zone 到/var/named/目錄下，并把文件命名為chenzw.edu.zone。

復(fù)制反向解析的模板文件/var/named/0.0.127.in-addr.arpa.zone 到/var/named/目錄下，并把文件命名為40.168.192.in-addr.arpa.zone。

步驟五：配置根域名服務(wù)器指向文件。

先配置正向解析的區(qū)域文件

步驟六：配置linux 中的客戶端，啟動DNS 服務(wù)器的服務(wù)。

修改客戶端文件/etc/resolv.conf，其中更改如下內(nèi)容：

步驟七：DNS 服務(wù)器的調(diào)試。

方法1：使用命令進(jìn)行測試，如nslookup、host、ping 等命令。

方法2：直接在瀏覽器中輸入域名地址，能夠訪問說明配置成功，能夠正常解析，否則配置失敗。

[1]李曉東,毛偉,閻保平.域名服務(wù)體系安全問題研究[J].計(jì)算機(jī)工程與應(yīng)用,2007(34).

[2]李曉東.公共互聯(lián)網(wǎng)域名體系安全綜述[J].信息網(wǎng)絡(luò)安全,2007(05).

[3]王嘉侖.域名系統(tǒng)及其工作原理[J].廣州市公安管理干部學(xué)院學(xué)報(bào),2005(02).