公共 DNS 与私有 DNS：有什么区别？

两者本质相同：都是对地址进行解析。域名服务器存在于互联网中，其功能类似于一种电话目录，将人类可读的域名（例如 ibm.com）转换为数字 IP 地址，以便机器进行识别。这好比一个关键的匹配过程，能让网络浏览器精准定位用户所要访问的目标网站。

以下是公共 DNS 运行所涉及的步骤：

1. 当用户请求一个域名时，名称解析活动便开始。用户通过在自己常用的浏览器中输入网站地址来发起 DNS 请求。
2. 用户的设备（也称为终端）会执行本地 DNS 检查，以确定设备的缓存或本地 DNS 服务器中是否已经包含与该域名匹配的 IP 地址。
3. 当本地 DNS 检查未能找到匹配项时，请求会被转发到递归 DNS 解析器。解析器通常由互联网服务提供商 (ISP) 或公共 DNS 服务提供，例如 Google 或 Cloudflare 等 DNS 提供商。
4. 解析器会联系根名称服务器，该服务器通过将查询引导至能够处理请求的顶级域 (TLD) 服务器来指引 DNS 查询。
5. 接下来，解析器会向顶级域 (TLD) 服务器发送查询，TLD 服务器则会将查询转发给该特定域名的权威名称服务器。
6. 该权威名称服务器为该网站保留相应的 IP 地址，并将其返回给递归解析器。
7. 解析器将 DNS 数据加载到 DNS 缓存中以供后续使用，同时将确认的 IP 地址返回给发起原始请求的设备。
8. DNS 解析过程现已完成。设备中的浏览器现在可以通过此 IP 地址连接到 Web 服务器并下载网站的内容。

为了获得一个可用的 URL 地址，这确实涉及相当多的来回路由。令人惊讶的是，所有这些 DNS 响应的处理速度都非常快。

有多快？这在一定程度上取决于连接性和传输延迟等性能相关因素，但即使在最慢的情况下，公共 DNS 过程也可能需要几秒钟。然而，在最高速度下，同样的过程可能需要几毫秒。

一旦 IP 地址被正确协商和确认，用户就可以访问该 IP 地址。在内容作为 DNS 记录开始下载之前，它会被分配一个 生存时间 (TTL) 标记，该设置控制同一 DNS 记录可以被下载的次数。

TTL 的设置是为了防止内容在网上存在过长的时间。TTL 的作用类似于一个计数器，每次访问在线内容时都会递减。当计数器归零时，该内容对用户将不再可用。

当组织或个人为了最大化隐私而自行运行 DNS 时，其运作过程所需的步骤会更少。这个过程通常也比公共 DNS 服务的操作速度快得多。其实现主要依赖于强制隔离机制。

“私有 DNS”一词有两个特定含义，这取决于私有 DNS 的实施地点和方式。它可以指私有 DNS 区域（在云计算环境中运行），以便访问内部资源。或者，它也可以意味着在用户设备上运行私有的内部 DNS 服务，以防范特定内容并帮助加密查询。

私有 DNS 区域的名称查找和解析过程可归结为以下步骤：

1. 用户在其网页浏览器中输入一个网站地址（例如 www.example.com）。
2. 所操作的设备会发出 DNS 查询，以查找与该网站匹配的 IP 地址。
3. 此时，公共 DNS 与私有 DNS 的路径完全分岔。该设备通过加密隧道连接到私有 DNS 服务器（不同于公共 DNS，此时会使用加密查询）。像 DNS over TLS (DoT) 或 DNS over HTTPS (DoH) 这样的安全内部协议提供了所需的安全通道。虚拟专用网络 (VPN) 在 VPN 提供商的帮助下实现相同的加密功能。
4. 私有 DNS 服务器接收加密请求，并通过定位正确的 IP 地址来处理请求，然后通过同一条安全加密连接将其传回原始设备。
5. 将正确的 IP 地址发送回设备后，设备即可安全地连接到该网站的服务器。

六个直接比较的方面准确地传达了公共 DNS 与私有 DNS 之间的主要差异（以及细微的相似之处）。

公共 DNS 和私有 DNS 的总体目的惊人地相似。两者都转换翻译域名。

公共 DNS 会将公共域名解析为相应的公共 IP 地址，以便用户能够访问互联网上的这些网站。

与此同时，私有 DNS 会将内部使用的 DNS 名称转换为内部 IP 地址，从而使该组织或团队内的不同实体能够有效地进行交互。

安全性是此次比较中的一个重要因素。毕竟，安全性是我们拥有私有 DNS 技术的主要原因。需要最高安全性的组织通常会选择使用私有 DNS，因为它可以将网络细节对公共互联网隐藏起来。

公共 DNS 的安全防护措施相对有限，但其通过内置的反网络钓鱼与反恶意软件功能弥补了这一不足。

开发人员通常使用域名系统安全扩展 (DNSSEC)，通过添加数字签名来增强 DNS 安全协议。防火墙等传统的互联网安全措施可以通过公共 DNS 和私有 DNS 来实现。

至于谁可以访问特定的 DNS，这完全取决于我们讨论的是哪种类型的 DNS。如果是公共 DNS，那么任何拥有互联网访问权限的设备的用户都可以访问它。

相比之下，在私有 DNS 中，访问通常受到严格控制，并且主要基于本地访问权限。此外，访问仅限于内部网络的特定用户，例如公司现场的员工或通过虚拟私有云的用户。

对于幕后访问，网络管理员会使用像 nslookup（名称服务器查询）这样的查询工具，通过命令行提示符查找 IP 地址并执行常规故障排除操作。

谁来控制和操作将要使用的服务器？对于私有 DNS，这个答案很简单：就是运营该内部网络的公司或组织。他们负责维护公司所有私有 DNS 服务器并对其进行控制。

对于公共 DNS，服务器由互联网服务提供商 (ISP) 或诸如 Cloudflare 或 Google 之类的第三方提供商运营。不论哪种情况，外部实体都会直接控制服务器。

性能已经不再像过去那样是一个简单明了的问题。过去，私有 DNS 的性能比公共 DNS 更快几乎是一个既定事实。毕竟，如果信息存储在私有网络上，通过内部查询获取时，数据的传输距离会更短。这使得延迟不再是一个问题。

然而，现在要在公共 DNS 上实现极速所需的性能水平通常更可行，这取决于服务提供商。这种性能提升得益于全球网络，它们提供了更高的网络速度和更稳定的传输。决定公共 DNS 还是私有 DNS 性能更优，通常在很大程度上取决于具体的网络情况。

在该领域，私有 DNS 提供的选项比公共 DNS 多得多。私有 DNS 使某个组织或公司能够根据自身需求创建自定义配置。自定义 DNS 可能包括执行自定义域名方案，甚至进行内容过滤的功能。

另外，公共 DNS 提供的定制选项也很有限。开发人员以标准形式为所有公共 DNS 用户创建配置。

DNS 已经发生了重大变化，随着相关技术的不断进步，并努力跟上全球用户持续增长的步伐，这些变化将会持续发生。

例如，以 IPv4 互联网路由协议为例。IPv4（互联网协议第四版）是在 20 世纪 70 年代开发的，并于 20 世纪 80 年代初正式推出，早于互联网革命。IPv4 地址是 32 位的数字标签，可分配给连接到计算机网络的任何设备，对于通信和路由功能至关重要。IPv4 地址表示为长字符串的数字，使用句点以不同的时间间隔分隔。

根据概率法则，我们可以计算出，每个 IPv4 地址所包含的整数数量，使得大约有 43 亿个地址是可能的。即便如此庞大的数量，仍然不足以满足日益增长的需要连接到网络的技术设备数量。

IPv6（Internet Protocol 第 6 版）于 1995 年推出，旨在缓解这种“过度拥挤”的情况。比较这两种协议时，您首先会注意到 IPv6 的地址空间大得多，提供了 128 位地址，是 IPv4 地址的整整四倍。

这种增加导致可能地址的数量极其庞大，难以想象。这个数字是 340 不可思议数，计算方式为 3.4 × 10 的 38 次方，用数字表示就是 3.4 后面跟着 38 个零。很难想象这样一个庞大的地址池会被完全耗尽。但这就是全球计算机使用状况，其前所未有的增长将引发如此巨大的反应。

除了提供比 IPv4 多四倍的地址空间外，IPv6 还包括无状态地址自动配置 (SLAAC) 功能。此功能允许设备配置自己的 IP 地址，而无需依赖外部 DHCP 服务器，这也减少了网络流量。

IPv6 还使用一种增强型 DNS 记录，将域名与适合的 IPv6 地址相匹配。该 DNS 记录称为 ‘AAAA’，相比于存储 IPv4 地址的 ‘A 记录’，它是一个显著的升级。AAAA 记录（有时称为四 A 记录）与 A 记录的主要区别在于容量更大，以便 AAAA 记录能够容纳庞大的 128 位标识符。

A 记录和 AAAA 记录可以通过创建 CNAME（规范名称）来有效替代。CNAME 是一种 DNS 记录类型，用作某些域名或子域名的别名。需要注意的一个小限制是，带有 CNAME 的主机名不能启用已使用该名称的 A 记录或 AAAA 记录。

IPv6 并不是唯一随着时间的推移而更新的关键协议。传输层安全性 (TLS) 是一种高度加密的协议，可保护基于 Web 和其他网络的通信。TLS 是在 1999 年对早期安全套接字层 (SSL) 协议的升级。与 SSL 一样，TLS 提供了一种验证用户身份、阻止未经授权的访问以及维护和检查数据完整性的方法。