DNS與防火牆

基於安全性的考量，配合防火牆的建置常常需要設置內部DNS伺服器及外部DNS伺服器。當建置有網路位址轉換機制(NAT)的防火牆時，更需要設置內部DNS伺服器供內部機器查詢，這時所查到的內部機器都是機器上的內部IP；另外建立一個外部DNS伺服器供外部的機器查詢，這時所查到的內部機器都是網路位址轉換過的NIC IP。注意防火牆本身必須詢問內部的DNS伺服器而非外部的DNS伺服器。

而我們通常以Split DNS來實現上述功能，Split DNS的意義就是在於將所要對外公佈的主機資訊以及只可對內公佈的主機資訊經由兩個獨立運作的DNS server來處理，如此可以達到內部使用者可正常查詢內部主機資訊而外界使用者無法順利窺視內部主機資訊的目的。

因此當外部主機需查詢內部主機時，便將封包送至防火牆，再由防火牆決定是否轉送此封包至內部DNS伺服器(取決於是否要讓內部主機供外部查詢)。反之，當內部主機查詢外部主機時，內部DNS伺服器會將此查詢轉送至防火牆，再由防火牆將此DNS查詢轉送至外部DNS伺服器。