DNS 服务器之间的区域传输(Zone transfer)

-防火墙接口和区域
防火墙通常以两种方式调解网络流量：基於上下文和基於区域。传统的基於上下文的方法也称为基於上下文的访问控制 (CBAC)。

基於区域的防火墙(Zone-based Firewalls)
防火墙包含几个网络接口，可以配置或分配给区域。安全区域或简称区域是共享相同安全要求的防火墙接口的集合。区域之间的流量由防火墙策略控制。有关更多信息，请参阅防火墙接口、区域和层。

区域对(Zone Pairs)
区域对可以定义为一个方向上两个区域的配对。然後将防火墙流量策略应用於区域对。防火墙流量策略在区域之间单向应用。双向流量需要两个区域对。但是，如果使用状态检查，则不需要第二个区域对，因为由於检查而允许回复流量。
资料来源：OmniSecu

基於上下文的防火墙(Context-based Firewalls)
所述的ACL提供流量过滤和保护，直到传输层，同时在另一方面，CBAC提供高达应用层相同的功能。在 CBAC 配置的帮助下，路由器可以充当防火墙。
资料来源：GeeksForGeeks

基於上下文的访问控制 (CBAC) 根据应用层协议会话信息智能过滤 TCP 和 UDP 数据包，可用於 Intranet、Extranet 和 Internet。
资料来源：黑羊网络(BlackSheepNetworks)

Cisco IOS® 防火墙功能集的基於上下文的访问控制 (CBAC) 功能会主动检查防火墙後面的活动。CBAC 通过使用访问列表（与 Cisco IOS 使用访问列表的方式相同）指定需要允许进入的流量以及需要释放的流量。但是，CBAC 访问列表包括 ip inspect 语句，允许检查协议以确保在协议进入防火墙後面的系统之前它没有被篡改。
资料来源：思科

DNS 区域(DNS Zones)
DNS 命名空间是按层次结构或树组织的 DNS 域名的逻辑结构。DNS 区域是 DNS 命名空间的一部分的管理结构。DNS 区域文件是区域的存储库。
主 DNS 服务器托管一个可写区域，该区域可以传输到一个或多个辅助 DNS 服务器。辅助 DNS 服务器上的副本或副本通常是只读的。但是，副本可以是可写的，例如 Microsoft AD 集成的 DNS；这取决於供应商的实施。
主 DNS 服务器和辅助 DNS 服务器之间的区域传输使用 TCP 端口 53。它可以定期或基於通知进行。为了安全起见，主 DNS 服务器可能会维护一个辅助 DNS 服务器的白名单。
DNS 客户端也称为 DNS 解析器，它使用 UDP 端口 53 向 DNS 服务器发送递归 DNS 查询。然後 DNS 服务器发出多个非递归或迭代查询来解决来自 DNS 客户端的查询。

-DNS 命名空间和区域

参考
. 域名系统(维基百科）
. DNS区域传输
. DNSSEC – 它是什麽以及为什麽重要？
. 基於区域的防火墙基础知识
. 网络安全区
. 使用区域（红帽）
. 区域对
. 基於上下文的访问控制
. 基於上下文的访问控制 (CBAC)
. Cisco IOS 防火墙功能集和基於上下文的访问控制
. 基於上下文的访问控制 (LDAPWiki)

资料来源：Wentz Wu QOTD-20210810
My Blog: https://choson.lifenet.com.tw/