本次將告訴大家如何在ISC BIND下設定安全的查詢與限制區域轉換範圍（Zone Transfer），在您未使用DNSSEC機制下，您DNS常處於容易遭受威脅的狀態，在TWNIC DNS主機安全調查報告下發現，受檢測DNS最常出現的問題為允許遞迴查詢與允許未經限制的主機進行區域傳送，因此，本此將告訴大家如何修改您 named.conf來達到保護的目的。

限制遞迴查詢

在您named.conf下您可以在option參數裡如此設定

options{

allow-recursion { 您所允許的ip範圍或是ip列表 ; };

};

如此將可設定您遞迴查詢之範圍，避免有心人士利用遞迴查詢取得您網域之拓樸。

限制轄區傳送主機

在DNS架構下，轄區（區域）傳送是非常頻繁之動作，但未經限制之轄區傳送，很可能遭受惡意人士的綁架，導致您所接收之轄區資訊為錯誤，或是資訊遭受污染，因此，您可以在安裝後進行底下的小步驟，將可讓您避免不避要的錯誤發生。

在您named.conf下您可以在option參數裡如此設定

options{

allow-transfer { 您所對應的DNS主機 ip或是 ip範圍 ; };

};

加入上述設定..設定後，記得去系統log檔檢測看看有沒有成功喔（當然要重新啟動DNS伺服器囉）

REF ：

http://www.isc.org/BIND

TWCERT/CC