dns域名服务器的作用是什么

dns域名服务器的作用就是将域名和ip地址交换。dns域名服务器的优点：加快网页打开速度，由于dns服务器中缓存了非常多的域名记录，当需要浏览这些域名时，不需要重新查询域名库，而是将缓存中的记录直接打开，从而能够加快网站的打开速度。dns域名服务器的缺点：虽然会将域名记录存储下来，但是更新并不及时，更新时间和更新频率都不确定。

一、简述dns

　　DNS（domain name system）域名系统或者（domain named system）区域名称服务，分为正向与反向域名解析，适用C/S,端口路53/udp，53/tcp，属于应用层协议；

　　作用：人得记忆有限，如果没有dns得记下多少IP地址；从网络来说由于tcp/ip协议族是基于ip地址，所以需要一个翻译器即DNS；可以1对多也可以多对1，那么正向解析即域名解析为ip地址，反向解析即ip地址解析为域名。有人说DNS就是一个本大得电话本，说的挺贴切。

　　正反向解析事两个不同得名称空间，是两颗不同得解析树；

　　正向：ip---》主机名

　　反向：主机名---》ip

　　当今得业界标准BIND（berkeley internet name domain）dns软件

二、DNS域名

　　1)DNS是一个倒挂树结构示意图如下

　　2)按照功能命名得五个类别介绍

　　根域：DNS域名中使用时，规定由尾部据点（）来指定名称位于根域或更高级别得域层次结构，（）

　　顶级域：TDL(TOP LEVEL DOMAIN)用来只是某个国家地区或组织使用得类型，例如(com)

　　二级域：个人或组织在internet上使用得注册名称，例如163com

　　子域：已经注册二级域名派生得域名，就是网站名，例如www163com

　　主机名：通常情况下，DNS域名得最左侧得标签表示网络上得特定计算机，如www，mail，zhidao

　　名称服务器：域内负责解析本域内的名称的主机

　　根服务器：13组服务器

　　3)dns和internet域

　　互联网域名系统有名称注册机构负载维护分配有组织和国家/地区得顶级域在internet上进行管理。国际标准3166。

　　　　常见得DNS域名

　　　　com，商业公司

　　　　edu，教育机构

　　　　net，网络公司

　　　　gov，非军事政府机构

　　　　mil，军事政府机构

　　　　cn，代表中国

三、DNS服务器类型

　　主DNS服务器

　　从DNS服务器 （可以是多个提供容错）

　　缓存DNS服务器（转发器）

　　主DNS服务器：管理和维护所负责解析的域内解析库的服务器

　　从DNS服务器：从主服务器或从服务器“复制”（区域传输）解析库副本

　　1)复制操作的方式

　　序列号serial：解析库版本号，主服务器解析库变化时，其序列递增

　　刷新时间间隔refresh：从服务器从主服务器请求同步解析的时间间隔

　　重试时间间隔retry：从服务器请求同步失败时，再次尝试时间间隔

　　过期时长expire：从服务器始终联系不到服务器时，多久后放弃从服务器角度，停止提供服务

　　否定答案的缓存时长；minimum

　　”通知“机制:主服务器解析库发送变化时，会主动通知从服务

　　2）区域传送

　　　　完全传输axfr：传送整个解析库

　　　　增量传输lxfr：传递解析库变化的那部分内容

　　3）区域（zone）和域（domain）　

　　　　Domain：FQDN

　　　　正向：FQDN->IP

　　　　反向：IP->FQDN

　　　　各需要一个解析库来分别负责本地域名的的正向和反向解析库

　　　　正向区域

　　　　反向区域

　　　　FQDN:fullqualified domain name 完全限定域名

　　　　　　如：wwwbaiducom

四、DNS查询解析

我们在浏览器访问wwwbaiducom这个域名，dns怎么查询到这台主机那？

　　1、在浏览器中输入wwwbaiducom域名，操作系统会先检查自己本地的hosts文件是否有这个网址映射关系，如果有，就先调用这个ip地址映射，完成域名解析。

　　2、如果hosts里没有这个域名的映射，则会查找本地DNS解析器缓存，是否有这个网址映射关系，如果有，直接返回，完成域名解析。

　　3、如果hosts与本地DNS解析器缓存都没有相应的网址映射关系，首先会找TCP/IP参数中设置的首选DNS服务器，在此我们叫它本地DNS服务器，此服务器收到查询时，如果要查询的域名，包含在本地配置区域资源中，则返回解析记过给客户端，完成域名解析，此解析具有权威性。

　　4、如果要查询域名，不由本地DNS服务器区域解析，但该服务器已缓存了此网址映射关系，则调用这个IP地址映射，完成域名解析，此解析不具有权威性。

　　5、如果本地DNS服务器本地区域文件与缓存解析都失效，则根据本地DNS服务器的设置（是否设置转发器）进行查询，如果未用转发模式，本地DNS就把请求发至13台根DNS，根DNS服务器收到请求后会判断这个域名（com）是谁来授权管理，并会返回一个负责该顶级域名服务器的一个IP。本地DNS服务器收到IP信息后，将会联系负责com域的这台服务器。这台负责com域的服务器收到请求后，如果自己无法解析，它就会找一个管理com域的下一级DNS服务器地址（baiducom）给本地DNS服务器。当本地DNS服务器收到这个地址后，就会找baiducom域服务器，重复上面的动作，进行查询，直至找到wwwbaiducom主机。

　　6、如果用的是转发模式，此DNS服务器就会把请求转发至上一级DNS服务器，由上一级服务器进行解析，上一级服务器如果不能解析，或找根DNS或把请求转至上上级，以此循环。不管是本地DNS服务器用是转发，还是根提示，最后都是把结果返回给本地DNS服务器，由此DNS服务器再返回给客户机。

当互联网还非常、非常小的时候，人们很容易将特定的IP地址与特定的计算机对应起来，但随着越来越多的设备和人加入到不断发展的网络中，这种简单的情况就没法持续多久了。

现在仍然可以在浏览器中输入一个特定的IP地址来到达一个网站，但当时和现在一样，人们希望得到一个由容易记忆的单词组成的地址，也就是我们今天所认识的那种域名（比如bu2wcom）。

在20世纪70年代和80年代早期，这些名称和地址是由一个人指定的，她是斯坦福大学的ElizabethFeinler，她在一个名为HOSTSTXT的文本文件中维护着一个主列表，记录了每一台连接互联网的计算机。

随着互联网的发展，这种局面显然无法维持下去，尤其是因为Feinler只处理加州时间下午6点之前的请求，而且圣诞节也要请假。1983年，南加州大学的研究人员PaulMockapetris受命在处理这个问题的多种建议中提出一个折中方案。但他基本上无视了所有提出的建议，而是开发了自己的系统，他将其称为DNS。虽然从那时起，现今的它显然发生了很大的变化，但在基本层面上，它的工作方式仍然与将近40年前相同。

一、什么是DNS

DNS是计算机域名系统（DomainNameSystem或DomainNameService）的缩写，它是由解析器和域名服务器组成的，作用是把域名转换成为网络可以识别的ip地址。举一个简单的例子，域名相当于门牌号，而IP地址相当于具体的地理位置。

二、DNS有什么作用

DNS是用来做域名解析的，它会在你上网输入网址后，把它转换成IP，然后去访问对方服务器，没有它，如果想上百度就要记住百度的IP，上163就要记住163的IP，有了DNS的处理，你只需要记住对应的域名也就是网址就可以了。

三：DNS域名解析的基本流程

1、请求一旦发起，浏览器首先要做的事情就是解析这个域名，一般来说，浏览器会首先查看本地硬盘的hosts文件，看看其中有没有和这个域名对应的规则，如果有的话就直接使用hosts文件里面的ip地址。

2、如果在本地的hosts文件没有能够找到对应的ip地址，浏览器会发出一个DNS请求到本地DNS服务器。本地DNS服务器一般都是你的网络接入服务商提供，比如中国电信，中国移动。

3、查询你输入的网址的DNS请求到达本地DNS服务器之后，本地DNS服务器会首先查询它的缓存记录，如果缓存中有此条记录，就可以直接返回结果，此过程是递归的方式进行查询。如果没有，本地DNS服务器还要向DNS根服务器进行查询。

4、根DNS服务器没有记录具体的域名和IP地址的对应关系，而是告诉本地DNS服务器，你可以到域服务器上去继续查询，并给出域服务器的地址，这种过程是迭代的过程。

5、本地DNS服务器继续向域服务器发出请求，在这个例子中请求的对象是com域服务器，com域服务器收到请求之后，也不会直接返回域名和IP地址的关系，而是告诉本地DNS服务器，你的域名的解析服务器地址。

6、最后本地DNS服务器向域名的解析服务器的请求，这时就能收到一个域名和IP地址对应关系，本地DNS服务器不仅要把IP地址返回给用户电脑，还要把这个对应关系保存在缓存中，以备下次别的用户查询时，可以直接返回结果，加快网络访问。

以上就是不二网有关于“什么是DNSDNS有什么作用”的相关介绍，希望能帮助到大家。

　随着internet的迅猛发展，安全性已经成为网络互联技术中最关键的问题。本文——计算机与信息技术论文Internet防火墙技术综述，全面介绍了internet防火墙技术与产品的发展历程；详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力；同时简要描述了internet防火墙技术的发展趋势。

关键词：internet 网路安全 防火墙 过滤 地址转换

1． 引言

　　防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以internet网络为最甚。internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：1995年，刚刚面市的防火墙技术产品市场量还不到1万套；到1996年底，就猛增到10万套；据国际权威商业调查机构的预测，防火墙市场将以173%的复合增长率增长，今年底将达到150万套，市场营业额将从1995年的�16�亿美元上升到今年的98亿美元。�

　　为了更加全面地了解internet防火墙及其发展过程，特别是第四代防火墙的技术特色，我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。�

2 internet防火墙技术简介�

　　防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲，internet防火墙服务也属于类似的用来防止外界侵入的。它可以防

止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上，防火墙并不像现实生活中的防火墙，它有点像古代守护城池用的护城河，服务于以下多个目的：�

　　1)限定人们从一个特定的控制点进入；�

　　2)限定人们从一个特定的点离开；�

　　3)防止侵入者接近你的其他防御设施；�

　　4)有效地阻止破坏者对你的计算机系统进行破坏。�

　　在现实生活中，internet防火墙常常被安装在受保护的内部网络上并接入internet。

　　所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样，防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲，防火墙是起分隔、限制、分析的作用，这一点同样可以从图1中体会出来。那么，防火墙究竟是什么呢实际上，防火墙是加强internet(内部网)之间安全防御的一个或一组系统，它由一组硬件设备(包括路由器、服务器)及相应软件构成。3 防火墙技术与产品发展的回顾�

　　防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应该具有以下五大基本功能：�

　　●过滤进、出网络的数据；�

　　●管理进、出网络的访问行为；�

　　●封堵某些禁止行为；�

　　●记录通过防火墙的信息内容和活动；�

　　●对网络攻击进行检测和告警。�

　　为实现以上功能，在防火墙产品的开发中，人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展，可以将其划分为如下四个阶段(即四代)。�

　　31 基于路由器的防火墙�

　　由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是：�

　　1)利用路由器本身对分组的解析，以访问控制表(access list)方式实现对分组的过滤；�

　　2)过滤判断的依据可以是：地址、端口号、ip旗标及其他网络特征；�

　　3)只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。�

　　第一代防火墙产品的不足之处十分明显，具体表现为：�

　　●路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如，在使用Ftp协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20号端口仍可以由外部探寻。�

　　●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。�

　　●路由器防火墙的最大隐患是：攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的，黑客(hacker)可以在网络上伪造假的路由信息欺骗防火墙。�

　　●路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固态的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。

�

　　可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。

　　32 用户化的防火墙工具套�

　　为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。�

　　作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：�

　　1)将过滤功能从路由器中独立出来，并加上审计和告警功能；�

　　2)针对用户需求，提供模块化的软件包；�

　　3)软件可以通过网络发送，用户可以自己动手构造防火墙；�

　　4)与第一代防火墙相比，安全性提高了，价格也降低了。�

　　由于是纯软件产品，第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：�

　　配置和维护过程复杂、费时；�

　　对用户的技术要求高；�

　　全软件实现，使用中出现差错的情况很多。�

　　33 建立在通用操作系统上的防火墙�

　　基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品，它们具有如下一些特点：�

　　1)是批量上市的专用防火墙产品；�

　　2)包括分组过滤或者借用路由器的分组过滤功能；�

　　3)装有专用的代理系统，监控所有协议的数据和指令；�

　　4)保护用户编程空间和用户可配置内核参数的设置；

　　5)安全性和速度大大提高。�

　　第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如：�

　　1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性无从保证；�

　　2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；�

　　3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击；�

　　4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能；�

　　5)透明性好，易于使用。�

4 第四代防火墙的主要技术及功能�

　　第四代防火墙产品将网关与安全系统合二为一，具有以下技术功能。�

　　41 双端口或三端口的结构�

　　新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做ip转化而串接于内部与外部之间，另一个网卡可专用于对服务器的安全保护。

�

　　42 透明的访问方式�

　　以前的防火墙在访问方式上要么要求用户做系统登录，要么需通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。�

　　43 灵活的代理系统�

　　代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块，第四代防火墙采用了两种代理机制：一种用于代理从内部网络到外部网络的连接；另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。�

　　44 多级过滤技术�

　　为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒ip地址；在应用级网关一级，能利用Ftp、smtp等各种网关，控制和监测internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。�

　　45 网络地址转换技术�

　　第四代防火墙利用nat技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的ip源地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。�

　　46 internet网关技术�

　　由于是直接串联在网络之中，第四代防火墙必须支持用户在internet互联的所有服务，同时还要防止与internet服务有关的安全漏洞，故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。�

　　在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部dns服务器，主要处理内部网络和dns信息；另一种是外部dns服务器，专门用于处理机构内部向internet提供的部分dns信息。　在匿名ftp方面，服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中，只支持静态的网页，而不允许图形或cgi代码等在防火墙内运行。在finger服务器中，对外部访问，防火墙只提可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理，网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。

　　47 安全服务器网络(ssn)�

　　为了适应越来越多的用户向internet上提供服务时对服务器的需要，第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网络的一部分，又与内部网关完全隔离，这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理，也可设置成通过Ftp、tnlnet等方式从内部网上管理。�

　　ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多，因为ssn与外部网之间有防火墙保护，ssn与风部网之间也有防火墙的保护，而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦ssn受破坏，内部网络仍会处于防火墙的保护之下，而一旦dmz受到破坏，内部网络便暴露于攻击之下。�

　　48 用户鉴别与加密�

　　为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险，鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段，并实现了对邮件的加密。�

　　49 用户定制服务�

　　为了满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用tcp、出站udp、ftp、smtp等，如果某一用户需要建立一个数据库的代理，便可以利用这些支持，方便设置。�

　　410 审计和告警�

　　第四代防火墙产品采用的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、ftp代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻，并能以发出邮件、声响等多种方式报警。�

　　此外，第四代防火墙还在网络诊断、数据备份保全等方面具有特色。�

5． 第四代防火墙技术的实现方法

　　在第四代防火墙产品的设计与开发中，安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。�

　　51 安全内核的实现�

　　第四代防火墙是建立在安全操作系统之上的，安全操作系统来自对专用操作系统的安全加固和改造，从现在的诸多产品看，对安全操作系统内核的固化与改造主要从以下几个方面进行：�

　　1)取消危险的系统调用；�

　　2)限制命令的执行权限；�

　　3)取消ip的转发功能；�

　　4)检查每个分组的接口；�

　　5)采用随机连接序号；�

　　6)驻留分组过滤模块；�

　　7)取消动态路由功能；�

　　8)采用多个安全内核。�

　　52 代理系统的建立�

　　防火墙不允许任何信息直接穿过它，对所有的内外连接均要通过代理系统来实现，为保证整个防火墙的安全，所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。�

　　在所有的连接通过防火墙前，所有的代理要检查已定义的访问规则，这些规则控制代理的服务根据以下内容处理分组：�

　　1)源地址；�

　　2)目的地址；�

　　3)时间；�

　　4)同类服务器的最大数量。�

　　所有外部网络到防火墙内部或ssn的连接由进站代理处理，进站代理要保证内部主机能够了解外部主机的所有信息，而外部主机只能看到防火墙之外或ssn的地址。�

　　所有从内部网络ssn通过防火墙与外部网络建立的连接由出站代理处理，出站代理必须确保完全由它代表内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络ssn的连接。�

　　53 分组过滤器的设计�

　　作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访问，过滤器在调用时将被下载到内核中执行，服务终止时，过滤规则会从内核中消除，所有的分组过滤功能都在内核中ip堆栈的深层运行，极为安全。分组过滤器包括以下参数。�

　　1)进站接口；�

　　2)出站接口；�

　　3)允许的连接；�

　　4)源端口范围；�

　　5)源地址；�

　　6)目的端口的范围等。�

　　对每一种参数的处理都充分体现设计原则和安全政策。�

　　54 安全服务器的设计�

　　安全服务器的设计有两个要点：第一，所有ssn的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的；第二，ssn的作用类似于两个网络，它看上去像是内部网，因为它对外透明，同时又像是外部网络，因为它从内部网络对外访问的方式十分有限。�

　　ssn上的每一个服务器都隐蔽于internet，ssn提供的服务对外部网络而言好像防火墙功能，由于地址已经是透明的，对各种网络应用没有限制。实现ssn的关键在于：�

　　1)解决分组过滤器与ssn的连接；�

　　2)支持通过防火对ssn的访问;

　　3)支持代理服务。

55鉴别与加密的考虑

　　鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段，鉴别机制除了提供安全保护之外，还有安全管理功能，目前国外防火墙产品中广泛使用令牌鉴别方式，具体方法有两种：一种是加密卡（cryptocard）;另一种是secure id,这两种都是一次姓口令的生成工具。

　　对信息内容的加密与鉴别测涉及加密算法和数字签名技术，除pem、pgp和kerberos外，目前国外防火墙产品中尚没有更好的机制出现，由于加密算法涉及国家安全和主权，各国有不同的要求。

6 第四代防火墙的抗攻击能力

　　作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多，下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。

61 抗ip假冒攻击

　　ip假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来，外部用户很难知道内部的ip地址，因而难以攻击。

62 抗特洛伊木马攻击

　　特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏，一些用户下载病执行这一程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其内核中不能执行下载的程序，故而可以防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并并不表明其保护的某个主机也能防止这类攻击。事实上，内部用户可以通过防火墙下载程序，并执行下载的程序。

63 抗口令字探寻攻击

　　在网络中探寻口令的方法很多，最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信，截获用户转给服务器的口令字，记录下来，以便使用；解密是指采用强力攻击、猜测或截获含有加密口令的文件，并设法解密。此外，攻击者还常常利用一些常用口令直接登录。

　　第四代防火墙采用了一次性口令字和禁此直接登录防火墙措施，能够有效防止对口令字的攻击。

64 抗网络安全性分析

　　网络安全性分析工具是提供管理人员分析网络安全性之用，一旦这类工具用作攻击网络的手段，则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前，sata软件可以从网上免费获得，internet scanner可以从市面上购买，这些分析工具给网路安全构成了直接的威胁。第四代防火墙采用了地主转换技术，将内部网络隐蔽起来，使网路安全分析工具无法从外部对内部网络做分析。

65 抗邮件诈骗攻击

　　邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击，同样值得一提的是，防火墙不接收邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。

7 防火墙技术展望

　　伴随着internet的飞速发展，防火墙技术产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择：

　　1）防火墙将从目前对子网或内部网管理的方式向远程上网集中管理是方式发展。

　　2）过滤深度会不断加强，从目前的地址、服务过滤，发展到url（页面）过滤、关键字过滤和对activex、java等的过滤，并逐渐有病毒扫描功能。

　　3）利用防火墙建立专用网是较长一段时间用户使用的主流，ip的加密需求越来越强，安全协议的开发是一大热点。�

　　4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。�

　　5)对网络攻击的检测和各种告警将成为防火墙的重要功能。

　　6)安全管理工具不断完善，特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。�

　　另外值得一提的是，伴随着防火墙技术的不断发展，人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、***的功能与ca的功能、接口的数量、成本等几个方面。

DNS服务器所提供的服务是完成将主机名和域名转换为IP地址的工作。为什么需要将主机名和域名转换为IP地址的工作呢这是因为，当网络上的一台客户机访问某一服务器上的资源时，用户在 浏览器地址栏中输入的是便于识记的主机名和域名。而网络上的计算机之间实现连接却是通过每台计算机在网络中拥有的惟一的IP地址来完成的，这样就需要在用户容易记忆的地址和计算机能够识别的地址之间有一个解析，DNS服务器便充当了地址解析的重要角色

DNS是域名系统(Domain Name System)的缩写，是一种组织域层次结构的计算机和网络服务命名系统。当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与此名称相关的IP 地址信息。

DNS服务的工作过程

当 DNS 客户机需要查询程序中使用的名称时，它会查询 DNS 服务器来解析该名称。客户机发送的每条查询消息都包括3条信息，以指定服务器应回答的问题。

1 指定的 DNS 域名，表示为完全合格的域名 (FQDN) 。

2 指定的查询类型，它可根据类型指定资源记录，或作为查询操作的专门类型。

3 DNS域名的指定类别。

DNS 域名由本机的程序使用。该请求随后传送至 DNS 客户服务，以通过使用就地缓存的信息进行解析。如果可以解析查询的名称，则查询将被应答，并且此过程完成。其中，本地解析程序的缓存可从以下2个可能的来源获取名称信息：

1 如果主机文件就地配置，则来自该文件的任何主机名称到地址的映射都将在DNS 客户服务启动时预先加载到缓存中。

2 从以前DNS查询应答的响应中获取的资源记录将被添加至缓存并保留一段时间。

接下来查询 DNS 服务器，当本地的DNS不能就地解析查询时，可根据需要查询 DNS 服务器来解析名称。如图4-1所示，客户机将查询首选 DNS 服务器。在此过程中使用的实际服务器是从全局列表中选择的。当 DNS 服务器接收到查询时，首先检查它能否根据在服务器的就地配置区域中获取的资源记录信息作出权威性的应答。如果查询的名称与本地区域信息中的相应资源记录匹配，则服务器作出权威性的应答，并且使用该信息来解析查询的名称。

如果查询的名称没有区域信息，则服务器检查它能否通过本地缓存的先前查询信息来解析名称。如果从中发现匹配的信息，则服务器使用它应答查询。接着，如果首选服务器可使用来自其缓存的肯定匹配响应来应答发出请求的客户机，则此次查询完成。

如果查询名称在首选服务器中未发现来自缓存或区域信息的匹配应答，则查询过程可继续进行，使用递归来完全解析名称，包括来自其他 DNS 服务器的支持，以帮助解析名称。在默认情况下，DNS 客户服务要求服务器在返回应答前使用递归过程来代表客户机完全解析名称。在大多数情况下，DNS 服务器的默认配置支持递归过程。

为了使 DNS 服务器正确执行，首先需要在DNS 域名空间内存放其他DNS服务器的一些有用的联系信息。该信息以根线索的形式提供，它是记录初步资源的一个列表，可用来定位一些 DNS 服务器，这些服务器对 DNS 域名空间树的根具有绝对控制权。根服务器对 DNS 域名空间树中的根域和顶级域具有绝对控制权。DNS 服务器可通过使用根线索搜索根服务器来完成递归过程。

DNS域名系统 (Domain Name System)，它的的作用为，将域名解析为IP 地址，域名和IP地址联系在一起进行服务，这样可不必不用输入IP地址，而是通过输入网址访问网站。

每个IP地址都可以有一个主机名，主机名由一个或多个字符串组成，字符串之间用小数点隔开。有了主机名，就不要死记硬背每台IP设备的IP地址，只要记住相对直观有意义的主机名就行了。这就是DNS协议的功能。

扩展资料

DNS功能映射

1、静态映射，每台设备上都配置主机到IP地址的映射，各设备独立维护自己的映射表，而且只供本设备使用。

2、动态映射，建立一套域名解析系统（DNS），只在专门的DNS服务器上配置主机到IP地址的映射，网络上需要使用主机名通信的设备，首先需要到DNS服务器查询主机所对应的IP地址。

通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析（或主机名解析）。在解析域名时，可以首先采用静态域名解析的方法，如果静态域名解析不成功，再采用动态域名解析的方法。可以将一些常用的域名放入静态域名解析表中，这样可以大大提高域名解析效率。

DNS重要性

1、技术角度看

DNS解析是互联网绝大多数应用的实际寻址方式； 域名技术的再发展、以及基于域名技术的多种应用，丰富了互联网应用和协议。

2、资源角度看

域名是互联网上的身份标识，是不可重复的唯一标识资源； 互联网的全球化使得域名成为标识一国主权的国家战略资源。

DNS查询类型

1、查询方式上分

递归查询：要么做出查询成功的响应，要么做出查询失败的响应。一般客户机和服务器之间属于递归查询，即当客户机向DNS 服务器发出请求后，若DNS服务器本身不能解析，则会向另外的DNS 服务器发出查询的请求，得到结果后转交给客户机。

迭代查询：服务器受到一次迭代查询回复一次结果，这个结果不一定是目标IP 与域名的映射关系，也可以时其他DNS服务器的地址（为了更进一步的获取目标IP）。

2、从查询内容上分

正向查询由域名查询IP 地址。

反向查询由IP 地址查询域名。

-dns