DNS 基礎架構支撐著組織幾乎所有的網路連接，然而，聯邦層級的 DNS 安全性配置指南在過去十二年多里卻幾乎沒有更新。美國國家標準與技術研究院 (NIST) 發布了 SP 800-81r3《安全域名系統部署指南》，取代了 2013 年發布的版本。

NIST DNS 安全性指南

本文檔涵蓋三個主要面向：將 DNS 用作主動安全控製手段、保護 DNS 協定本身以及保護執行 DNS 服務的伺服器和基礎架構。其目標受眾分為兩類：網路安全主管和決策者，以及負責配置和維護 DNS 環境的維運網路和安全團隊。

DNS 作為安全強制執行點

更新後的指南重點強調了保護性DNS，該術語用於描述增強了安全功能的DNS服務，這些服務可以分析查詢和回應並採取措施應對威脅，保護性DNS可以阻止與惡意域的連線、按類別過濾流量，並產生支援數位取證和事件回應的查詢日誌。

該文件描述了兩種通用部署模型：基於雲端的保護性 DNS 服務和使用 DNS 防火牆或回應策略區域 (RPZ) 的本機部署。建議在可行的情況下採用混合方法，將兩者結合起來，因為即使雲端服務中斷，本地回退也能確保保護的持續性。

Infoblox 的工程執行副總裁、首席 DNS 架構師兼高級研究員Cricket Liu向 Help Net Security 提供了關於 RPZ 部署實踐的更多細節。 Infoblox 是該出版物的共同作者之一。他表示：「在部署回應策略區域 (RPZ) 時，我們建議組織建立一個本地 RPZ，以覆蓋他們可能從其他組織獲得的 RPZ。RPZ 是最常見的 DNS 保護機制之一。組織通常會使用本地 RPZ 將其內部命名空間列入白名單，然後將可能被錯誤阻止的單一網域新增至白名單中。」

該指南建議將保護性 DNS 日誌與 SIEM 或日誌分析平台集成，並將 DNS 查詢資料與 DHCP 租約歷史記錄關聯起來，以便在事件回應期間將 IP 位址對應到特定資產。

加密 DNS 改變了 DNS 伺服器的角色

該出版物重點介紹了加密 DNS，涵蓋了三種協定：運行在 TCP 連接埠 853 上的 DNS over TLS (DoT)；運行在 TCP 和 UDP 連接埠 443 上的 DNS over HTTPS (DoH)；以及運行在 UDP 連接埠 853 上的 DNS over QUIC (DoQ)。這三種協定都會對存根解析器和遞歸 DNS 伺服器之間的通訊進行加密，並可選擇支援伺服器驗證。

美國政府要求聯邦民事行政部門機構在與機構終端通訊時，只要技術上支持，就必須使用加密的DNS。該指南指出，各機構可能需要配置瀏覽器和其他應用程序，使其自行實現加密DNS，以防止用於控制和日誌記錄的本機解析器被繞過。

Cricket Liu指出：「加密DNS部署會帶來一個結構性後果，而指南也強調了這一點。 「部署加密DNS後，DNS伺服器本身變得至關重要。DNS伺服器成為檢測和強制執行的關鍵點。此外，組織還可以檢索和存儲從其DNS伺服器收集的被動DNS數據，從而能夠檢測威脅、記錄響應等等。」

該出版物建議各組織使用防火牆規則阻止 TCP 連接埠 853 上的未經授權的 DoT 流量，並結合 RPZ 和防火牆規則來限制未經授權的 DoH 流量，由於 DoH 流量使用連接埠 443，因此更難阻止。建議使用行動裝置管理工具在終端機上強制執行已核准的 DNS 配置。

DNSSEC 指南已更新，以適應目前演算法

該出版物更新了DNSSEC簽名建議，以反映當前的加密標準。它提供了一個表格，列出了根據 RFC 8624 和 NIST SP 800-57 制定的支援演算法，涵蓋了使用 SHA-256 的 RSA、ECDSA P-256 和 P-384，以及 Edwards 曲線演算法 Ed25519 和 Ed448。該文件指出，ECDSA 和 Edwards 曲線演算法優於 RSA，因為較小的金鑰和簽章長度有助於將 DNS 回應大小控制在避免使用 TCP 的限制範圍內。

DNSSEC簽章金鑰屬於簽章金鑰，建議最長有效期限為一至三年。該文件建議將RRSIG的有效期限縮短至五至七天左右，以限制密鑰外洩後可用於偽造回應的時間視窗。建議在條件允許的情況下使用硬體安全模組來儲存私鑰，尤其是金鑰簽署金鑰。

該指南建議在進行身份驗證的拒絕服務攻擊時使用 NSEC 而非 NSEC3，並指出 NSEC3 的計算開銷通常與其提供的防止區域漫遊的保護作用不成正比。如果組織因策略要求必須使用 NSEC3，則應參考 RFC 9276 中的參數設置，以降低拒絕服務風險。目前尚未有針對 DNSSEC 的後量子加密演算法規格。該文檔指出，管理員應在規範和工具可用後製定遷移計劃。

權威的伺服器維護基準和區域管理

該指南描述了權威 DNS 服務特有的幾個威脅類別。懸空 CNAME 記錄（即 CNAME 指向不再由組織註冊或控制的網域名稱）可能會使攻擊者接管該名稱的解析。無效委託（即子網域委託給不再具有權威性的名稱伺服器）也會造成類似的風險，並可能使攻擊者透過託管服務提供者劫持網域名稱。

該文件建議主動監控網域註冊，以偵測相似網域名稱或拼字錯誤網域。此外，它還建議組織將已失效的網域委託保持停放狀態一段時間，以防止攻擊者重新註冊。對於大多數 DNS 數據，建議 TTL 值範圍為 1800 秒（30 分鐘）到 86400 秒（一天）。明確禁止使用 TTL 值為零，且對於 DNSSEC 簽章記錄，不建議使用低於 30 秒的 TTL 值。

NIST DNS 安全指南涵蓋了基礎架構架構和可用性的哪些內容？

該出版物重申了早期版本中的一項建議，即權威功能和遞歸功能應在可從互聯網存取的伺服器上分離。同時配置了這兩種功能的面向網際網路的名稱伺服器被描述為安全風險。NIST建議在不同的網段部署至少兩個權威名稱伺服器，並將它們分散在不同的實體網站上。建議使用一個隱藏的主權威伺服器（即不出現在區域NS記錄集中的伺服器），以降低主伺服器遭受直接攻擊的風險。

DNS 伺服器應運行在專用基礎架構上，與其他服務隔離，以減少攻擊面，並確保有足夠的資源用於記錄、加密 DNS 和 DNS 保護功能。如果完全隔離不切實際，將 DNS 與 DHCP 等密切相關的核心服務相結合也被認為是可接受的替代方案。

資料來源：https://www.helpnetsecurity.com/2026/03/23/nist-dns-security-guide-sp-800-81r3/