BIND域名解析软件安全配置规范参考

B I N D域名解析

软件安全配置规范

S p e c i f i c a t i o n f o r B I N D S o f t w a r e

C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e

版本号：1.0.0

╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施

目录

1概述 (1)

1.1适用范围 (1)

1.2内部适用性说明 (1)

1.3外部引用说明 (2)

1.4术语和定义 (2)

1.5符号和缩略语 (2)

2BIND域名解析软件安全配置要求 (3)

2.1记录安全事件到文件 (3)

2.2隐藏BIND版本信息 (4)

2.3禁止DNS域名递归查询 (4)

2.4增加查询ID的随机性 (5)

2.5限制域名查询 (5)

2.6限制域名递归查询 (6)

2.7指定动态DNS更新主机 (6)

2.8指定动态DNS更新主机 (7)

2.9指定不接受区域请求 (7)

2.10指定不接受区域请求 (8)

2.11定义ACL地址名 (9)

2.12控制管理接口 (10)

2.13防止DNS欺骗 (10)

2.14设置重试查询次数 (11)

2.15防止污染高速缓存（Cache） (12)

前言

本标准起草单位：

本标准解释单位：

本标准主要起草人：

1概述

1.1 适用范围

本规范适用于互联网使用BIND软件进行域名解析的DNS系统。本规范明确了BIND 域名解析软件安全配置方面的基本要求。

BIND：全称是Berkeley Internet Name Domain（伯克利因特网名字系统）。官方网址：https://www.doczj.com/doc/a31138390.html,/。它主要有3个版本：BIND 4，BIND 8，BIND9。BIND没有5，6，7这几个版本，一下就跳到8了，在BIND8以后的版本里融合了许多提高效率，稳定性和安全性的技术。

BIND安全选项非常多，应针对BIND服务软件进行安全配置，充分利用BIND自身已经实现的保护功能加强BIND安全性，从而能抵御目前已知的BIND安全漏洞，并尽可能使潜在的安全漏洞对DNS服务造成最小的影响。

BIND安全配置可完成针对限制域传输、限制查询、防止DNS欺骗、设置重试查询次数、修改BIND的版本信息等Bind系统安全配置。本规范基于BIND9.x.x以上的版本提供了安全配置操作方法。

1.2 内部适用性说明

本规范是在《设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项

设备配置要求的基础上，提出的BIND域名解析软件安全配置规范。本规范新增的安全

配置要求，如下：

安全要求-设备-通用-BIND-配置-1

安全要求-设备-通用-BIND-配置-2

安全要求-设备-通用-BIND-配置-3

安全要求-设备-通用-BIND-配置-4

安全要求-设备-通用-BIND-配置-5

安全要求-设备-通用-BIND-配置-6

安全要求-设备-通用-BIND-配置-7

安全要求-设备-通用-BIND-配置-8

安全要求-设备-通用-BIND-配置-9

安全要求-设备-通用-BIND-配置-10

安全要求-设备-通用-BIND-配置-11

安全要求-设备-通用-BIND-配置-12

安全要求-设备-通用-BIND-配置-13

安全要求-设备-通用-BIND-配置-14

安全要求-设备-通用-BIND-配置-15

1.3 外部引用说明

《设备通用安全功能和配置规范》

1.4 术语和定义

1、域名系统DNS（Domain Name System）是域名解析服务的意思，它在互联网的作用是：把域名

转换成为网络可以识别的ip地址。

2、名字服务器和区：存储关于域名空间信息的程序叫做名字服务器（name server）。名字服务器通

常含有域名空间中某一部分的完整信息，这一部分成为区（zone），区的内容是从文件或其他名字服务器中加载而来的。

3、递归或递归解析（recursive resolution）：名字服务器在收到递归查询时所采用的解析过程。

4、反复（iteration）或反复解析（iteration resolution）：名字服务器在收到反复查询时所使用的解析

过程。

5、DNS通知（DNS NOTIFY）：允许一个区（zone）的主名字服务器在序列号增加的时候通知该区

（zone）的辅名字服务器。

1.5 符号和缩略语

2BIND域名解析软件安全配置要求

本规范所指的BIND为域名解析软件。本规范提出的安全配置要求，在未特别说明的情况下，均适用于BIND9.x.x以上版本的域名解析软件。

本规范只基于BIND9.x.x域名解析软件自身提供的安全特性进行描述，不包括承载BIND软件的操作系统的安全性以及外部网络设备、安全设备所提供的域名解析安全配置。

2.1记录安全事件到文件

编号：安全要求-设备-通用-BIND-配置-1

2.2隐藏BIND版本信息

编号：安全要求-设备-通用-配置-2

2.3禁止DNS域名递归查询编号：安全要求-设备-通用-配置-3

2.4增加查询ID的随机性

编号：安全要求-设备-通用-BIND-配置-4

2.5限制域名查询

编号：安全要求-设备-通用-BIND-配置-5

2.6限制域名递归查询

编号：安全要求-设备-通用-BIND-配置-6

2.7指定动态DNS更新主机

编号：安全要求-设备-通用-BIND-配置-7

2.8指定动态DNS更新主机

编号：安全要求-设备-通用-BIND-配置-8

2.9指定不接受区域请求

编号：安全要求-设备-通用-BIND-配置-9

2.10指定不接受区域请求

编号：安全要求-设备-通用-BIND-配置-10

2.11定义ACL地址名

编号：安全要求-设备-通用-BIND-配置-11

2.12控制管理接口

编号：安全要求-设备-通用-BIND-配置-12

2.13防止DNS欺骗

编号：安全要求-设备-通用-BIND-配置-13

2.14设置重试查询次数

编号：安全要求-设备-通用-BIND-配置-14

2.15防止污染高速缓存（Cache）编号：安全要求-设备-通用-BIND-配置-15