《DNS与BIND(第5版)》——第10章 高级功能10.1 地址匹配列表和ACL

本文涉及的产品
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
简介:

本节书摘来自异步社区《DNS与BIND(第5版)》一书中的第10章,第10.1节,作者: 【美】Joseph Davies 更多章节内容可以访问云栖社区“异步社区”公众号查看。

第10章 高级功能

蚊子问道:“如果你叫它们的名字,它们却不答应,那要名字又有什么用呢?”

最新版本(本书英文版撰写时为和9.3.2)的BIND名称服务器,提供了许多新功能。其中最值得介绍的包括支持动态更新、异步区域变更通知(简称NOTIFY),以及增量区域传输。在其余部分中,与安全相关的功能也很重要:允许配置名称服务器可以响应谁的请求,给谁提供区域传输,以及允许谁进行动态更新。在企业内部网络中,虽然许多安全功能不是必需的,但是有些机制对于任何名称服务器的管理员而言,都是有所帮助的。

本章将介绍这些功能,并且对于如何在DNS基础设施中使用这些功能提出建议。(部分有关防火墙的内容,将在下一章进行介绍。)

10.1 地址匹配列表和ACL

在介绍新功能之前,最好先了解下地址匹配列表(address match lists)。在BIND 8和9中,几乎所有的安全功能,以及一些与安全完全无关的功能都会用到地址匹配列表。

地址匹配列表中的每一项指定一个或多个IP地址。列表中的元素可以是独立的IP地址、IP前缀(即网络地址,包含多个IP地址)或已命名的地址匹配列表(稍后会进一步说明)1。IP前缀的格式如下:


fafade0f4209f1b94b9620446aecb77932165586

例如,网络.0的网络掩码为255.0.0.0(8位连续的1)可以表示为15/8。依照惯例,15/8被看作网络号为15的A类网络。此外,如果一个网络包含的IP地址范围从192.168.1.192到192.168.1.255,则可以表示为192.168.1.192/26(网络地址为192.168.1.192,网络掩码为255.255.255.192,即26位连续的1)。下面就是包括上述两个网络的地址匹配列表:


<a href=https://yqfile.alicdn.com/044ad63d5eda967910a9a2c79a7d5593cc8fad38.png" >

一个已命名的地址匹配列表其实就是一个有名称的地址匹配列表。如果想在其他地址匹配列表中使用已命名的地址匹配列表,必须事先在named.conf中用acl语句进行定义。acl语句的语法很简单,如下所示:


d2271b19e196c501cef02ee9a641fce25114c26c

这条语句表示,从现在开始,name和address_match_list等效。虽然语句本身的名称——acl,会让人联想到“access control list”(访问控制列表),但是只要是在可以使用地址匹配列表的地方,都可以使用已命名的地址匹配列表,包括一些与访问控制无关的地方。

如果想在某些访问控制列表中使用一个或多个相同的项目时,最好先用acl语句将其关联到某个名称。然后就可以在地址匹配列表中引用其名称了。例如,用“HP-NET”表示15/8,用“internal”表示192.168.1.192/26:


<a href=https://yqfile.alicdn.com/7e5f35284401f5b7c808eaf67440442f5de78c06.png" >

现在就能在其他地址匹配列表中用名称来引用这些已命名的地址匹配列表了。这不仅可以减少输入量,简化对地址匹配列表的管理,还能让named.conf文件更具可读性。

本书谨慎地用引号将ACL名称括起来,以避免和BIND的保留字相冲突。如果确信ACL的名称不会和保留字发生冲突,那么也可以不使用引号。

下面是4个预定义的已命名地址匹配列表。

none

没有IP地址。

any

所有IP地址。

localhost

本地主机(运行名称服务器的主机)上的任意IP地址。

localnets

本地主机任一网络接口所在的网络(通过用网络掩码屏蔽掉每个网络接口IP地址中的主机位后得到)。

相关文章
|
2月前
|
机器学习/深度学习 人工智能 自然语言处理
Hugging Face 论文平台 Daily Papers 功能全解析
【9月更文挑战第23天】Hugging Face 是一个专注于自然语言处理领域的开源机器学习平台。其推出的 Daily Papers 页面旨在帮助开发者和研究人员跟踪 AI 领域的最新进展,展示经精心挑选的高质量研究论文,并提供个性化推荐、互动交流、搜索、分类浏览及邮件提醒等功能,促进学术合作与知识共享。
|
21天前
|
安全 Java 测试技术
🎉Java零基础:全面解析枚举的强大功能
【10月更文挑战第19天】本文收录于「滚雪球学Java」专栏,专业攻坚指数级提升,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!
101 60
|
1月前
|
网络协议 开发工具 C语言
Jetson错误(二):wget命令提示无法解析主机地址的问题解决
对于解决在NVIDIA Jetson平台上使用wget命令时出现的无法解析主机地址的问题,提供了两种解决方法:一种是临时修改DNS服务器为Google的公共DNS,另一种是永久修改DNS设置。
89 5
|
1月前
|
Web App开发 前端开发 测试技术
Selenium 4新特性解析:关联定位器及其他创新功能
【10月更文挑战第6天】Selenium 是一个强大的自动化测试工具,广泛用于Web应用程序的测试。随着Selenium 4的发布,它引入了许多新特性和改进,使得编写和维护自动化脚本变得更加容易。本文将深入探讨Selenium 4的一些关键新特性,特别是关联定位器(Relative Locators),以及其他一些重要的创新功能。
152 2
|
18天前
|
供应链 安全 BI
CRM系统功能深度解析:为何这些平台排名靠前
本文深入解析了市场上排名靠前的CRM系统,如纷享销客、用友CRM、金蝶CRM、红圈CRM和销帮帮CRM,探讨了它们在功能性、用户体验、集成能力、数据安全和客户支持等方面的优势,以及如何满足企业的关键需求,助力企业实现数字化转型和业务增长。
|
1月前
|
存储 自然语言处理 API
基于 Python 的地址解析:自动识别姓名、电话、地址、详细地址与省市区
基于 Python 的地址解析:自动识别姓名、电话、地址、详细地址与省市区
178 1
|
22天前
|
数据管理 Nacos 开发者
"Nacos架构深度解析:一篇文章带你掌握业务层四大核心功能,服务注册、配置管理、元数据与健康检查一网打尽!"
【10月更文挑战第23天】Nacos 是一个用于服务注册发现和配置管理的平台,支持动态服务发现、配置管理、元数据管理和健康检查。其业务层包括服务注册与发现、配置管理、元数据管理和健康检查四大核心功能。通过示例代码展示了如何在业务层中使用Nacos,帮助开发者构建高可用、动态扩展的微服务生态系统。
66 0
|
1月前
|
存储 编译器 数据安全/隐私保护
【C++篇】C++类与对象深度解析(四):初始化列表、类型转换与static成员详解2
【C++篇】C++类与对象深度解析(四):初始化列表、类型转换与static成员详解
30 3
|
1月前
|
编译器 C++
【C++篇】C++类与对象深度解析(四):初始化列表、类型转换与static成员详解1
【C++篇】C++类与对象深度解析(四):初始化列表、类型转换与static成员详解
45 3

相关产品

  • 云解析DNS
  • 推荐镜像

    更多