DNSサーバをDoS攻撃から守るのは、外部ネットワークからの問合せに応じない設定にすることです。(正確には、DoS攻撃に加担しないための設定ですが。)
DNSSECの前提となるのはIPsecによる暗号化ではなく、ドメイン登録情報にデジタル署名が付加されていることです。IPsecによる暗号化は、IPsecの設定の複雑さから主にVPNで利用されています。
BINDの代替を目指してリリースされたDNSキャッシュサーバ、Unboundについての記述です。初期設定でもソースポートのランダム化が有効だったりとDNSキャッシュポイズニングに強いDNSサーバらしいです。
正しい記述です。