DNS с разделенным горизонтом

Эта статья в значительной степени или полностью опирается на один источник . Соответствующее обсуждение можно найти на странице обсуждения . Пожалуйста, помогите улучшить эту статью , цитируя дополнительные источники . Найдите источники:   «DNS с разделенным горизонтом» — новости   · газеты   · книги   · ученые   · JSTOR ( июнь 2009 г. )

В компьютерных сетях DNS с разделенным горизонтом (также известный как DNS с разделенным представлением , DNS с разделенным мозгом или разделенный DNS ) — это средство реализации системы доменных имен (DNS), обеспечивающее различные наборы информации DNS, обычно выбираемые исходный адрес DNS-запроса.

Это средство может обеспечить механизм управления безопасностью и конфиденциальностью путем логического или физического разделения информации DNS для доступа внутри сети (внутри административного домена , например, компании) и доступа из незащищенной общедоступной сети (например, Интернета ).

Внедрение DNS с «расщеплением горизонта» может быть осуществлено с помощью аппаратного разделения или с помощью программных решений. Аппаратные реализации используют отдельные устройства DNS-сервера для желаемой детализации доступа в участвующих сетях. Программные решения используют либо несколько процессов DNS-сервера на одном и том же оборудовании, либо специальное серверное программное обеспечение со встроенной возможностью разграничения доступа к записям зоны DNS . Последнее является общей чертой многих реализаций серверного программного обеспечения протокола DNS (см. Сравнение программного обеспечения DNS-сервера ) и иногда является подразумеваемым значением термина DNS с разделенным горизонтом , поскольку все другие формы реализации могут быть достигнуты с помощью любого DNS. серверное программное обеспечение.

DNS с разделенным горизонтом может обеспечить механизм управления безопасностью и конфиденциальностью путем логического или физического разделения информации DNS для доступа внутри сети (внутри административного домена , например, компании) и доступа из незащищенной общедоступной сети (например, Интернета ).

Одним из распространенных случаев использования DNS с разделенным горизонтом является ситуация, когда сервер имеет как частный IP-адрес в локальной сети (недоступный из большей части Интернета), так и общедоступный адрес, то есть адрес, доступный через Интернет в целом. При использовании DNS с разделенным горизонтом одно и то же имя может привести либо к частному IP-адресу, либо к общедоступному, в зависимости от того, какой клиент отправляет запрос. Это позволяет критически важным локальным клиентским машинам получать доступ к серверу напрямую через локальную сеть без необходимости проходить через маршрутизатор. Прохождение через меньшее количество сетевых устройств уменьшает задержку в сети.

Например, DNS-сервер может быть настроен на возврат двух разных наборов записей для хоста host1.example.net для запрашиваемых внутренних и внешних по отношению к корпоративной сети получателей. Внутренний ответ может выглядеть так:

 @       IN SOA  ns.example.net admin.example.net. (
                                 2010010101      ; serial
                                         1D      ; refresh
                                         1H      ; retry
                                         1W      ; expire
                                         3H )    ; minimum
 @       IN      NS              ns
 ns      IN      A               203.0.113.2
 host1   IN      A               10.0.0.10

В то время как внешний ответ будет:

 @       IN SOA  ns.example.net admin.example.net. (
                                 2010010101      ; serial
                                         1D      ; refresh
                                         1H      ; retry
                                         1W      ; expire
                                         3H )    ; minimum
 @       IN      NS              ns
 ns      IN      A               203.0.113.2
 host1   IN      A               203.0.113.10

DNS с разделенным горизонтом предназначен для предоставления различных авторитетных ответов на один и тот же запрос, а DNSSEC используется для обеспечения достоверности данных, возвращаемых системой доменных имен. Эти явно противоречивые цели создают вероятность путаницы или ложных предупреждений безопасности в плохо построенных сетях. Исследования дали рекомендации по правильному объединению этих двух функций DNS. ^[1]

Этот раздел нуждается в расширении . Вы можете помочь, добавив к нему . ( июнь 2020 г. )

Внедрение DNS с «расщеплением горизонта» может быть осуществлено с помощью аппаратного разделения или с помощью программных решений. Аппаратные реализации используют отдельные устройства DNS-сервера для желаемой детализации доступа в участвующих сетях. Программные решения используют либо несколько процессов DNS-сервера на одном и том же оборудовании, либо специальное серверное программное обеспечение со встроенной возможностью разграничения доступа к записям зоны DNS . Последнее является общей чертой многих реализаций серверного программного обеспечения протокола DNS (см. Сравнение программного обеспечения DNS-сервера ) и иногда является подразумеваемым значением термина DNS с разделенным горизонтом , поскольку все другие формы реализации могут быть достигнуты с помощью любого DNS. серверное программное обеспечение.

• Сравнение программного обеспечения DNS-сервера
• Реклама маршрута разделенного горизонта

• Предоставляется услуга DNS "расщепления горизонта" - сайт не работает.
• BIND 9 Настройка представлений для разделения внешней и внутренней информации DNS
• Предоставление службы DNS «расщепления горизонта» в системах OS X Server (начиная с версии OS X Server 10.6.2).
• Подробные инструкции по просмотру DNS в Bind 9.