Obwohl Angreifer auch über anderen Möglichkeiten verfügen, Adressen von möglichen Angriffzielen zu ermitteln, sollte ihnen der Zugriff zum name server weitestgehend untersagt werden. Insbesondere ein zone transfer darf nur dem secondary server möglich sein. Um den internen Benutzern alle Adressen zugänglich zu machen, den externen diese Informationen aber vorzuenthalten, besteht die Möglichkeit, einen zweigeteilten name server einzurichten. Dieser bietet vollen name service für alle internen Rechner, während auf Anfragen von außen nur die Adresse des Firewalls bekanntgegeben wird, der dann die weitere Behandlung der eintreffenden Pakete übernehmen muß. Dies stellt aber, wie bereits erwähnt, keine Garantie dafür dar, daß ein Angreifer keine Informationen über die Adressen der internen Rechner erhält.