下载文档原格式
SNMPv协议的网络管理安全SNMPv3 协议的网络管理安全网络管理是确保网络系统运行良好的关键方面之一。
SNMP (Simple Network Management Protocol,简单网络管理协议)是一种用于管理和监控网络设备的协议,它提供了一种标准的方法来收集和组织网络设备的状态信息。
SNMPv3 是 SNMP 协议的第三个版本,与之前的版本相比,在网络管理安全方面有了重大改进。
一、SNMPv3 协议的介绍SNMPv3 协议是一种用于网络管理的标准协议,于 1998 年定义并发布。
与其他协议相比,SNMPv3 具有更高的安全性和扩展性。
1. 认证和授权SNMPv3 提供了认证和授权机制,确保只有经过授权的用户可以访问和管理网络设备。
它使用用户名和密码进行用户身份验证,并对访问操作进行授权。
这种机制可以防止未经授权的用户对网络设备造成破坏性的影响。
2. 数据加密SNMPv3 还支持对传输的数据进行加密,以防止数据被篡改或窃听。
它使用加密算法对 SNMP 消息进行加密,并确保数据的机密性和完整性。
这种加密机制可以防止黑客对网络管理过程进行干扰。
3. 消息完整性SNMPv3 协议通过添加消息完整性机制,防止消息在传输过程中被篡改。
它使用消息认证码(MAC)来验证接收到的 SNMP 消息的完整性。
这种机制可以防止恶意用户对消息进行篡改,从而保护网络设备的安全性。
二、SNMPv3 协议的网络管理安全性优势SNMPv3 协议在网络管理安全方面具有以下优势:1. 身份验证和访问控制SNMPv3 使用安全模型和安全上下文机制来验证用户身份并限制用户对网络设备的访问权限。
它提供了更精细的访问控制,只有经过授权的用户才能执行特定的操作。
这种机制可以避免未经授权的用户对网络设备进行非法访问。
2. 安全传输SNMPv3 支持数据的加密和解密,保护了 SNMP 消息在传输过程中的机密性。
它使用强大的加密算法,确保数据只能被授权用户解密。
SNMP的功能及使用
SNMP的全称是Simple Network Management Protocol,简单网络管
理协议。
是利用TCP/IP协议簇实现的网络管理协议,是Internet开放系
统互联网(OSI)结构的一部分,被认为是网络管理的标准协议。
SNMP以
应用软件的形式在网络的用户和网络管理员之间提供管理信息交流的服务。
目前,SNMP协议一般与网络管理系统结合使用,以实现网络管理系统的
集中管理。
SNMP有三个版本,SNMPv1(1993),SNMPv2(1996)和SNMPv3(2002)。
SNMPv3是最新的版本,其主要内容包括:安全性改进、错误
管理功能增强、性能优化等。
SNMPv3提供了用户认证、加密、安全模型
三大功能。
SNMP服务主要由三个组件实现:网络管理应用程序软件(NMS)、网
络设备(Agent)和管理模型(MIB)。
1、NMS:网络管理应用程序软件是SNMP管理的核心部件,它的主要
功能是:监控和维护网络上的服务;收集、存储、分析数据;配置和管理
网络设备;报告和处理网络中出现的故障等。
2、Agent:网络管理Agent是SNMP管理的重要组成部分,它是一个
软件模块,存放在网络设备里,主要用来监控网络的运行状况,向NMS汇
报网络的状况,并接受NMS的指令,来配置或管理网络设备,同时可以完
成一些特定的网络操作。
SNMP安全配置建议与最佳实践SNMP(Simple Network Management Protocol)是一种常用于网络管理的协议,它可以用于监控和管理网络上的设备。
然而,由于SNMP的安全性问题,恶意攻击者可能利用其漏洞来获取网络的敏感信息甚至控制网络设备。
因此,为了保障网络的安全,下面是一些建议与最佳实践,旨在配置SNMP的安全性。
1. 使用版本3SNMP有三个主要版本,分别是SNMPv1、SNMPv2c和SNMPv3。
然而,SNMPv1和SNMPv2c使用了较弱的社区字符串(community string)来进行身份验证,容易受到攻击。
相比之下,SNMPv3引入了更强大的安全机制,如消息完整性验证、消息机密性和用户身份验证等,因此在配置SNMP时应尽量使用SNMPv3来提高安全性。
2. 强化用户身份验证在配置SNMPv3时,需要创建用户并为其配置相应的安全参数。
为了实现强化的用户身份验证,应该遵循以下几点:- 选择强密码:确保选择足够复杂和难以猜测的密码,建议包含大小写字母、数字和特殊字符。
- 定期更换密码:定期更换用户的密码,以减少密码泄露的风险。
- 启用安全通信:使用安全协议(如SHA(Secure Hash Algorithm)或MD5(Message Digest Algorithm 5))对传输的消息进行完整性验证和加密,以防止信息窃听和篡改。
3. 限制访问权限为了确保只有授权用户可以访问SNMP设备,应该限制SNMP的访问权限。
以下是一些限制访问权限的建议:- IP地址过滤:通过配置访问控制列表(ACL)或网络访问控制(NAC)设备,只允许特定IP地址或IP地址范围的设备访问SNMP。
- SNMP组配置:将用户分组,为每个组配置特定的读写权限,只允许特定组的用户访问和管理设备。
- 授权访问:根据用户的职责和需要,分配相应的权限,控制用户能够访问和配置的设备和数据。
4. 监控和审计SNMP活动监控和审计SNMP活动可以帮助及时发现异常行为并采取相应的措施。
SNMP协议发展及v3版本安全机制介绍一SNMP协议1 什么是SNMP协议SNMP(Simple Network Management Protocol)简单网络管理协议是用来管理网络上的节点,(包括工作站,路由器,交换机,集线器和其他的外围设备)。
SNMP 在OSI模型中是一个应用层协议,使用UDP封装进行传输。
网络管理者可以使用SNMP进行检索、修改信息,寻找、诊断故障,管理网络性能,发现和解决网络问题,规划网络的增长。
它采用轮询和中断机制,提供最基本的功能集。
SNMP在TCP/IP协议族中的地位如下图:2 SNMP网络架构SNMP网络架构由三部分组成:NMS、Agent和MIB。
NMS、Agent和MIB之间的关系如下图所示。
网络管理系统2.1 NMS(Network Management Station)NMS的角色是网络中的管理者,是一个利用SNMP协议对网络设备进行管理和监视的系统。
NMS可以向Agent发出请求,查询或修改一个或多个具体的参数值。
同时,NMS可以接收Agent主动发送的Trap信息,以获知被管理设备当前的状态。
2.2 AgentAgent是网络设备中的一个应用模块。
Agent接收到NMS的请求信息后,完成查询或修改操作,并把操作结果发送给NMS,完成响应。
同时,当设备发生故障或者其他事件的时候,Agent会主动发送Trap信息给NMS,通知设备当前的状态变化。
2.3 MIB(Management Information Basess)任何一个被管理的资源都可以表示成一个对象,MIB是被管理对象的集合。
它定义了被管理对象的一系列属性:对象的名称、对象的访问权限和对象的数据类型等。
每个Agent都有自己的MIB。
MIB也可以看作是NMS和Agent之间的一个接口,通过这个接口,NMS可以对Agent中的每一个被管理对象进行读/写操作,从而达到管理和监控设备的目的。
MIB是以树状结构进行存储的。
SNMP安全协议在网络管理中的应用SNMP(Simple Network Management Protocol)是一种用于网络管理的协议,它提供了一种标准的方式来监控、配置和管理网络中的设备。
然而,由于信息的敏感性和网络安全风险的增加,传统的SNMP协议存在一些安全漏洞。
为了解决这些问题,SNMP安全协议应运而生。
本文将探讨SNMP安全协议在网络管理中的应用。
1. SNMP协议简介SNMP协议是一种应用层协议,用于管理和监控网络中的设备,例如路由器、交换机、服务器等。
它提供了一种标准的方式来获取和修改设备的配置信息,以及监控设备的性能和状态。
SNMP协议主要由管理站点和代理设备组成,管理站点通过发送命令来获取所需的信息,而代理设备则负责响应这些命令并返回相应的信息。
2. SNMP安全协议的背景传统的SNMP协议存在一些安全漏洞,例如信息的明文传输、身份验证的缺失以及未加密的数据传输。
这些问题使得黑客可以轻易地截取和修改SNMP消息,从而获得设备的敏感信息或者对设备进行恶意操作。
为了解决这些安全问题,SNMP安全协议应运而生。
3. SNMP安全协议的作用SNMP安全协议通过采用各种安全机制,提供了对SNMP协议的保护。
其中最重要的机制是SNMPv3(SNMP version 3)协议,它引入了身份验证、加密以及访问控制等功能,以确保通信的机密性、完整性和可靠性。
通过使用SNMP安全协议,管理员可以更好地保护他们的网络设备,防止潜在的攻击和未经授权的访问。
4. SNMP安全协议的工作原理在SNMP安全协议中,身份验证是一项重要的功能。
SNMPv3使用用户名和密码来验证管理站点和代理设备之间的身份。
通过使用加密算法,SNMPv3还可以确保通信的机密性,防止信息被黑客截取和窃取。
此外,SNMPv3还引入了访问控制列表(Access Control List,ACL)的概念,允许管理员对设备的访问权限进行精确的控制。
SNMP协议的漏洞研究与防范漏洞是指在计算机程序中存在的安全漏洞,攻击者可以利用这些漏洞来破坏计算机系统,盗取信息或者实施其他非法行为。
SNMP(简单网络管理协议)协议是一种广泛应用于网络中的协议,它可用于从网络上的设备或主机上收集信息,包括设备的CPU使用率、内存使用率、网络延迟等等。
然而,SNMP协议也存在多种漏洞,本文将介绍一些常见的SNMP漏洞,并提供防范措施。
SNMP漏洞分类SNMP漏洞主要可以分为以下几种:1. 未授权访问漏洞:攻击者可以利用该漏洞访问SNMP代理并获取设备上的机密信息。
这种漏洞通常发生在SNMP代理没有配置足够安全的网络访问控制策略的情况下。
2. 暴力破解攻击:攻击者通过猜测SNMP代理的管理密码进行暴力破解,从而获得管理员权限并访问设备上的敏感信息。
3. 缓冲区溢出漏洞:攻击者可以通过向SNMP代理发送特制的SNMP包来攻击设备的操作系统或应用程序,从而启动远程攻击地狱。
4. 认证绕过漏洞:攻击者可以通过欺骗SNMP协议中的身份验证机制,从而绕过认证安全措施,并在不知情下访问设备。
Snmpwalk攻击工具Snmpwalk是一种常用的SNMP工具,攻击者可以使用它来尝试破坏SNMP代理的安全性,这种攻击方法被称为Snmpwalk攻击。
攻击者可以使用Snmpwalk工具分段地遍历SNMP代理,查找某些特定的SNMPMIB对象,可以捕获SNMP带内和带外流量,并获取代理和设备的信息。
这种攻击方法尤其危险,因为攻击者可以利用它来探测网络拓扑,获取敏感信息,进而对系统发起更加深入的攻击。
如何防范SNMP漏洞为了保护SNMP代理的安全性,需要采取以下措施:1. 安全配置SNMP代理:SNMP代理需要进行安全配置,例如限制访问控制,启用SNMPv3报文安全等功能,保证代理的安全性,限制未经授权的访问。
2. 加强口令安全性:为了防止Snmpwalk攻击,强烈建议管理员使用安全口令。
记得有一次在和一位网管聊天的过程中他坚持认为自己Windows 2000 Server系统是不可能被入侵的。
“我已经把IPC$的连接共享都禁止,入侵者根本无法得到我系统上的账户信息了,保证没有问题。
”而经过我检查发现TCP 139和445端口确实被禁止了,但通过扫描器我却发现了一个重大漏洞——UDP 161D端口上的SNMP。
询问管理员后得知是正在试用某公司的网络管理软件。
我们知道Windows 2000后续的版本都可以通过“添加/删除程序→管理和监视工具”安装上SNMP,但在Windows系统中选择默认安装是非常不安全的。
默认安装SNMP的密码都是一样的。
而入侵者从SNMP代理服务中会轻易的完成入侵前的准备工作。
还有一点提醒各位,SNMP的消息是以明文形式发送的,而这些消息很容易被Microsoft网络监视器或者Sniffer 这样的网络分析程序截取并解码。
入侵者可以轻易的捕获服务的密码,以获取有关网络资源的重要信息。
获取SNMP服务信息非常容易1.Snmputil命令如果我们知道默认的SNMP服务密码,通过Resource Kit工具包里的Snmputil工具可以轻易地通过SNMP 服务把Windows账户罗列出来,以便进行进一步的安全检测。
语法如下:snmputil walk .1.3.6.1.4.1.77.1.2.25,例如输入:snmputil walk 192.168.0.1 ××××.1.3.6.1.4.1.77.1.2.25 命令后将得到所有的用户名,如图1所示。
另外通过Snmputil Getnext可以用来检测Windows 2000 SNMP服务内存消耗拒绝服务攻击的缺陷,有兴趣的朋友可以尝试一下。
2.图形界面的IP Network Browser工具IP Network Browser工具是Solar Winds公司出品的一个检测工具,通过该程序可以对自己的系统了如指掌。
SNMP协议中的安全性考虑在计算机网络管理中,Simple Network Management Protocol(简单网络管理协议,简称SNMP)是一种常用的管理协议,用于监控和控制网络设备。
然而,由于其通信方式的特性,SNMP协议存在一些安全性方面的考虑。
1. 认证机制SNMP协议的安全性考虑之一是认证机制。
由于SNMP使用了明文传输,使得数据容易受到篡改或者伪装攻击。
为了解决这个问题,SNMP引入了认证机制,通过使用密钥(或密码)来验证通信的两端。
认证机制的一种常见方式是使用基于口令的共同体字符串(community string)进行验证。
这个共同体字符串可以是只读(read-only)或读写(read-write)权限。
然而,这种方式并不具备强大的安全性,容易受到猜测或拦截攻击。
因此,在更高级别的认证机制中,可以使用基于用户的SNMPv3协议,通过用户名和加密的密码进行认证。
这样可以确保通信的安全性和真实性。
2. 访问控制列表为了进一步增强SNMP协议的安全性,可以使用访问控制列表(Access Control Lists,ACLs)。
ACLs允许管理员对SNMP的操作进行精确的控制,包括限制哪些主机可以访问SNMP代理,以及对不同主机的访问权限进行配置。
通过ACLs,管理员可以设置允许或拒绝特定主机的SNMP请求,以及指定允许或拒绝特定主机的特定操作。
这种精确的控制可以有效地减少未授权访问和恶意操作对SNMP网络的威胁。
3. 安全协议SNMP协议的数据传输是通过UDP协议实现的,而UDP本身是不可靠和不安全的。
为了解决这个问题,可以使用安全协议来加密SNMP传输的数据。
其中一种常见的安全协议是基于传输层安全性(Transport Layer Security,TLS)的安全传输。
TLS使用公钥/私钥加密技术来确保传输的数据在互联网上是安全的。
对于SNMP,TLS可以用于保护SNMP 通信的机密性和完整性。
SNMPv网络管理安全SNMPv(Simple Network Management Protocol version)是一种用于管理和监控网络设备的应用层协议。
它为网络管理员提供了一种方便的方式来收集设备的状态信息,并进行故障诊断和性能监测。
然而,由于SNMPv的设计初衷并不是为了提供安全性,因此在实际应用中存在一些安全风险。
本文将探讨SNMPv网络管理的安全问题,并介绍了几种常见的安全措施。
1. SNMPv的安全问题在SNMPv的通信过程中,该协议使用了不加密的明文传输方式。
这使得网络管理员在获取设备信息的同时,可能会受到非法访问或数据篡改的风险。
此外,SNMPv还存在密码管理的问题,例如使用弱密码容易被破解,并导致未授权的远程访问和控制。
2. SNMPv的安全加固为了解决SNMPv存在的安全问题,以下是几种常见的安全加固方法:2.1 使用SNMPv版本3SNMPv3是SNMP协议的最新版本,在安全性方面有了很大的改进。
它提供了身份鉴别、加密和访问控制等功能,能够有效地保护SNMPv通信过程的安全性。
因此,网络管理员应该优先使用SNMPv3协议。
2.2 启用身份鉴别和访问控制对于SNMPv3协议以外的版本,可以通过启用身份鉴别和访问控制来提高安全性。
网络管理员可以设置访问控制列表(Access Control List,ACL)来限制SNMPv通信的受信任主机和授权操作。
此外,使用复杂、强密码也是保护访问安全的重要措施。
2.3 配置安全通信为了防止非法访问和数据篡改,可以通过配置SNMPv通信的安全性选项来加固。
例如,启用消息完整性检查可以确保接收到的消息未被篡改。
启用安全通信模式也可以加密SNMPv通信过程中的数据,从而保护敏感信息的隐私和机密性。
2.4 监控和审计SNMPv活动对于SNMPv网络管理的安全性,网络管理员还应该实时监控和审计SNMPv活动,及时发现和应对潜在的安全威胁。
监控和审计工具可以帮助管理员识别异常行为,并及时采取相应的安全措施。
为什么要写这篇文章?第一个原因当然就是前段时间出现的BIND 8.2.x TSIG安全漏洞(还有去年公布的BIND 8.1.x/8.2.x NXT安全漏洞),直到目前为止,国内也还没有关于DNS服务安全配置方面的较为完整的文章(即使是国外也不多见)。
另一个原因是经过调查发现,几乎任何一种UNIX家族的操作系统,都使用BIND软件作为其DNS的唯一实现,比起其它诸如ftp/http/pop3等网络服务有各种各样的发行版本,所以一旦被发现有安全问题,则受影响的主机之多也是其它漏洞很难比拟的。
所以觉得应该写一份针对BIND DNS服务软件的安全配置资料,充分利用BIND自身已经实现的保护功能,加强BIND安全性,从而能抵御目前已知的BIND安全漏洞,并使潜在的安全漏洞所可能对服务器造成的影响尽可能地减少。
配置环境:FreeBSD 4.1-RELEASEBIND 8.2.3---[[ 启动安全选项]]---------------------------------------------------named进程启动选项:-r:关闭域名服务器的递归查询功能(缺省为打开)。
该选项可在配置文件的options中使用"recursion"选项覆盖。
-u <user_name>和-g <group_name>:定义域名服务器运行时所使用的UID和GID。
这用于丢弃启动时所需要的root特权。
-t <directory>:指定当服务器进程处理完命令行参数后所要chroot()的目录。
---[[ 配置文件中的安全选项]]-------------------------------------------1、假如希望记录安全事件到文件中,但同时还希望保持原有的日志模式,可以添加以下内容:logging {channel my_security_channel {file "my_security_file.log" versions 3 size 20m;severity info;};category security {my_security_channel;default_syslog; default_debug; };}其中my_security_channel是用户自定义的channel名字,my_security_file.log 是安全事件日志文件,可包含全路径(否则是以named进程工作目录为当前目录)。
安全事件日志文件名为my_security_file.log,保存三个最近的备份(my_security_file.log0、my_security_file.log1、my_security_file.log2),日志文件的最大容量为20MB(如果达到或超这一数值,直到该文件被再次打开前,将不再记录任何日志消息。
缺省(省略)时是没有大小限制。
)2、在options节中增加自定义的BIND版本信息,可隐藏BIND服务器的真正版本号。
version "Who knows?";// version 9.9.9;此时如果通过DNS服务查询BIND版本号时,返回的信息就是"Who knows?"。
^_^3、要禁止DNS域名递归查询,在options(或特定的zone区域)节中增加:recursion no;fetch-glue no;4、要增加出站查询请求的ID值的随机性,在options节中增加:use-id-pool yes;则服务器将跟踪其出站查询ID值以避免出现重复,并增加随机性。
注意这将会使服务器多占用超过128KB 内存。
(缺省值为no)5、要限制对DNS服务器进行域名查询的主机,在options(或特定的zone区域)节中增加:allow-query { <address_match_list> };address_match_list是允许进行域名查询的主机IP列表,如"1.2.3.4; 5.6.7/24;"。
6、要限制对DNS服务器进行域名递归查询的主机,在options(或特定的zone区域)节中增加:allow-recursion { <address_match_list> };address_match_list是允许进行域名递归查询的主机IP列表,如"1.2.3.4; 5.6.7/24;"。
7、要指定允许哪些主机向本DNS服务器提交动态DNS更新,在options(或特定的zone区域)节中增加:allow-update { <address_match_list> };address_match_list是允许向本DNS服务器提交动态DNS更新的主机IP列表,如"1.2.3.4; 5.6.7/24;"。
缺省时为拒绝所有主机的提交。
8、要限制对DNS服务器进行区域记录传输的主机,在options(或特定的zone区域)节中增加:allow-transfer { <address_match_list> };address_match_list是允许进行区域记录传输的主机IP列表,如"1.2.3.4;5.6.7/24;"。
9、要指定不接受哪些服务器的区域记录传输请求,在options(或特定的zone区域)节中增加:blackhole { <address_match_list> };address_match_list是不接受区域记录传输请求的主机IP列表,如"1.2.3.4;5.6.7/24;"。
10、在options节中还有一些资源限制选项,不同用户可根据实际情况灵活设置,但一定要注意不当的设置会损失DNS服务的性能。
coresize <size_spec> ; // core dump的最大值。
缺省为default。
datasize <size_spec> ; // 服务器所使用的最大数据段内存。
缺省为default。
files <size_spec> ; // 服务器能同时打开的最大文件数。
缺省为// unlimited(不限制)。
// (注意,并非所有操作系统都支持这一选项。
)max-ixfr-log-size <size_spec> ; // (目前版本暂不使用。
)限制增量区域记录传输时会话日志的大小。
stacksize <size_spec> ; // 服务器所使用的最大堆栈段内存。
缺省为default。
11、定义ACL地址名(即用于上面的<address_match_list>)。
注意,如果要使用这里定义的列表名,必须先定义,后使用!例如:acl intranet {192.168/16;};acl partner {!172.16.0.1;172.16/12; // 除172.168.0.1外172.16.0.0/12网络中其它主机};BIND已内置以下四个ACL:all // 允许所有主机none // 禁止所有主机localhost // 本机的所有网络接口localnets // 本机所在网络12、BIND域名服务器的一个有用功能(慎用!!!):控制管理接口controls节语法格式:controls {[ inet ip_addrport ip_portallow { <address_match_list>; }; ][ unix path_nameperm numberowner numbergroup number; ]};controls节提供管理接口。
如果使用第一种(inet),则在指定IP(接口)和端口上监听,但只允许在allow中限定允许与其连接的IP地址列表。
如果使用第二种(unix),则产生一个FIFO的控制管道,权限、属主和用户组都由其参数限定。
---[[ 通过TSIG对区域记录传输进行认证和校验]]---------------------------首先请确保你的BIND域名服务器软件已更新到最新版本!在BIND 8.2+中,能够使用事务签名(Transaction Signatures,即TSIG!)来对区域记录数据进行验证和校验。
它要求在主域名服务器和辅助域名服务器上配置好加密密钥,并通知服务器使用该密钥与其它域名服务器通讯。
(注意,TSIG的使用要求域名服务器必须进行时钟同步!)A、如果需要用TSIG签名来进行安全的DNS数据库手工更新,具体操作步骤很简单:1、使用BIND自带的dnskeygen工具生成TSIG密钥。
# dnskeygen -H 128 -h -n tsig-key.则会生成两个文件。
'Ktsig-key.+157+00000.key'内容如下:tsig-key. IN KEY 513 3 157 awwLOtRfpGE+rRKF2+DEiw=='Kvip-key.+157+00000.private'内容如下:Private-key-format: v1.2 Algorithm: 157 (HMAC) Key:awwLOtRfpGE+rRKF2+DEiw==注意这些密钥都已经过BASE64编码了。
将它们放到本地域名服务器的配置文件中。
例如:key tsig-key. { algorithm hmac-md5; secret "awwLOtRfpGE+rRKF2+DEiw=="; };zone "" {......allow-update { key tsig-key. ; };}记住要重启named守护进程。
然后将这两个密钥文件复制到客户端系统(或辅助域名服务器),例如为/var/named/tsig目录。
最后运行如下命令即可:nsupdate -k /var/named/tsig:tsig-key.B、如果需要对区域记录传输(自动或手工)进行TSIG签名,则:1、用dnskeygen生成TSIG密钥,方法同上。
2、主域名服务器配置文件的内容(节选)如下:// 定义认证的方法和共享密钥key master-slave {algorithm hmac-md5;secret "mZiMNOUYQPMNwsDzrX2ENw==";};// 定义辅助域名服务器的一些特性server 192.168.8.18 {transfer-format many-answers;keys { master-slave; };};// 区域记录定义zone "" {type master;file ;allow-transfer { 192.168.8.18; };};3、辅助域名服务器配置文件的内容(节选)如下:// 定义认证的方法和共享密钥key master-slave {algorithm hmac-md5;secret "mZiMNOUYQPMNwsDzrX2ENw==";};// 定义与主域名服务器通讯时的一些特性server 192.168.8.19 {transfer-format many-answers;keys { master-slave; };};// 区域记录定义zone "" {type slave;file "";masters { 192.168.8.19; };allow-transfer { none; };};---[[ 实施DNSSec功能]]-------------------------------------------------说实在的,我一直在考虑需不需要在目前的版本中实施DNSSec功能。
