DNS是互联网的基础设施，也是校园网络的核心服务之一。目前，全球注册域名个数已达1.68亿，DNS服务器总数约达1190万台。绝大部分DNS服务器在运行ISC Bind和Windows DNS提供域名解析服务，但这两个DNS服务软件在抗攻击能力、并发服务能力和策略定制能力方面均存在明显不足。

　　我们知道，DNS服务面临的主要安全隐患：缓冲区漏洞溢出攻击、分布式拒绝服务(DDoS)攻击、DNS缓存中毒、DNS解析路径破坏、DNS劫持等。尤其是校园网内的僵尸主机和挂马主机(也包括一些网络蠕虫病毒)，实施攻击过程的第一跳也往往是DNS服务器。因此，只要在DNS服务器上及时发现这些攻击并采取处理措施，就可以解除这些攻击源。无论是ISC Bind，还是Windows DNS，如果设置策略过多、记录日志过多、并发访问量过大都将会严重降低其服务性能。

　　为此，我们研制了一套DNS网关软件，保证了DNS服务器的安全性，扩展了DNS的服务能力，并在校园网络安全联动方面发挥了重要作用。

　　DNS网关的架构

　　如图1所示，DNS网关架设在DNS服务器群和校园网之间，DNS服务器群和DNS网关以内部网相连，所有的DNS请求包先发给DNS网关，由DNS网关进行分析和过滤后再转发给DNS服务器群。

图1 DNS网关的架构

　　服务器群包括权威域服务器、递归和缓存服务器、日志分析服务器。如果DNS服务荷载较小，这三种服务可以合并运行在一台服务器上；如果DNS荷载较大，可根据需要增加递归和缓存服务器的台数，以实现DNS服务的负载均衡，提供较大的并发服务能力。

　　其中，权威域服务器包括主域服务器和辅助域服务器，权威域服务器不提供域名递归解析服务，仅负责本单位的权威域的域名解析。权威域服务器上运行ISC Bind或Windows DNS提供DNS解析服务和域名管理服务，仅接受DNS网关转发来的DNS请求包，不直接对外服务。

　　递归和缓存服务器也安装ISC Bind或Windows DNS，仅提供域名递归解析和域名缓存服务，不建立权威域，也只接受DNS网关转发的DNS请求，不直接对外服务。但可以访问外网，以进行外部的DNS解析。

　　DNS日志分析服务器负责分析DNS网关产生的日志，维护IP黑名单，自动调整DNS网关的过滤策略，仅对内网开放。