В компьютерных сетях DNS с разделением горизонта (также известный как DNS с разделением представления , DNS с разделением мозга или разделенный DNS ) — это средство реализации системы доменных имен (DNS), позволяющее предоставлять различные наборы информации DNS, обычно выбираемые по исходному адресу запроса DNS.
Эта возможность может обеспечить механизм управления безопасностью и конфиденциальностью путем логического или физического разделения информации DNS для доступа внутри сети (в пределах административного домена , например, компании) и доступа из незащищенной публичной сети (например, Интернета ).
Реализация DNS с разделением горизонтов может быть выполнена с разделением на основе оборудования или программного обеспечения. Реализации на основе оборудования запускают отдельные устройства DNS-сервера для желаемой гранулярности доступа в задействованных сетях. Программные решения используют либо несколько процессов DNS-сервера на одном оборудовании, либо специальное серверное программное обеспечение со встроенной возможностью различения доступа к записям зоны DNS . Последнее является общей чертой многих реализаций серверного программного обеспечения протокола DNS (ср. Сравнение программного обеспечения DNS-сервера ) и иногда подразумевается значение термина DNS с разделением горизонтов , поскольку все другие формы реализации могут быть достигнуты с помощью любого программного обеспечения DNS-сервера.
Разделение горизонта DNS может обеспечить механизм управления безопасностью и конфиденциальностью путем логического или физического разделения информации DNS для доступа внутри сети (в пределах административного домена , например, компании) и доступа из незащищенной публичной сети (например, Интернета ).
Одним из распространенных случаев использования DNS с разделенным горизонтом является ситуация, когда сервер имеет как частный IP-адрес в локальной сети (недоступный из большей части Интернета), так и публичный адрес, т. е. адрес, доступный через Интернет в целом. При использовании DNS с разделенным горизонтом одно и то же имя может привести либо к частному IP-адресу, либо к публичному, в зависимости от того, какой клиент отправляет запрос. Это позволяет критически важным локальным клиентским машинам получать доступ к серверу напрямую через локальную сеть, без необходимости проходить через маршрутизатор. Прохождение через меньшее количество сетевых устройств улучшает задержку сети.
В качестве примера, DNS-сервер может быть настроен на возврат двух различных наборов записей для хоста host1.example.net для запрашиваемых внутренних и внешних по отношению к корпоративной сети. Внутренний ответ может выглядеть следующим образом:
@ IN SOA ns.example.net admin.example.net. ( 2010010101 ; серийный 1D ; обновление 1H ; повтор 1W ; истекает 3H ) ; минимум @ IN NS ns ns IN A 203.0.113.2 host1 IN A 10.0.0.10 В то время как внешний ответ был бы следующим:
@ IN SOA ns.example.net admin.example.net. ( 2010010101 ; серийный 1D ; обновление 1H ; повтор 1W ; истекает 3H ) ; минимум @ IN NS ns ns IN A 203.0.113.2 host1 IN A 203.0.113.10 Разделенный горизонт DNS предназначен для предоставления различных авторитетных ответов на идентичный запрос, а DNSSEC используется для обеспечения достоверности данных, возвращаемых системой доменных имен. Эти явно противоречивые цели создают потенциал для путаницы или ложных предупреждений безопасности в плохо построенных сетях. Исследования дали рекомендации по правильному объединению этих двух функций DNS. [1]
Реализация DNS с разделением горизонтов может быть выполнена с помощью аппаратного разделения или программных решений. Аппаратные реализации запускают отдельные устройства DNS-сервера для желаемой гранулярности доступа в задействованных сетях. Программные решения используют либо несколько процессов DNS-сервера на одном и том же оборудовании, либо специальное серверное программное обеспечение со встроенной возможностью различения доступа к записям зоны DNS . Последнее является общей чертой многих реализаций серверного программного обеспечения протокола DNS (ср. Сравнение программного обеспечения DNS-сервера ) и иногда подразумевается значение термина DNS с разделением горизонтов , поскольку все другие формы реализации могут быть достигнуты с помощью любого программного обеспечения DNS-сервера.