劉寶新

摘要：按照公司信息化建設(shè)的要求，A、B、C三地災(zāi)備（數(shù)據(jù)）中心于2011年5月建成投運(yùn)。完成了公司集中式信息系統(tǒng)數(shù)據(jù)級災(zāi)備的建設(shè)，實現(xiàn)了公司各單位信息系統(tǒng)數(shù)據(jù)的集中異地實時備份。公司的各項業(yè)務(wù)都有獨立的域名，客戶端都是通過域名進(jìn)行業(yè)務(wù)訪問及操作，域名服務(wù)系統(tǒng)在整個災(zāi)備體現(xiàn)中占據(jù)著無可替代的功能。

該文從域名服務(wù)安全部署出發(fā)，結(jié)合公司的災(zāi)備特點，采用集中部署的解決方案，針對域名服務(wù)功能、安全等方面難題進(jìn)行了設(shè)計，從而確定了整體集中部署的設(shè)計方案，為公司災(zāi)備網(wǎng)絡(luò)整體功能提供了有效的支撐。

關(guān)鍵詞：智能解析；統(tǒng)一部署；安全防護(hù)；運(yùn)行管理

中圖分類號：TP311文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044（2012）36-8628-03

按照某公司信息化建設(shè)的要求，三地災(zāi)備（數(shù)據(jù)）中心于2011年5月建成投運(yùn)。隨著信息系統(tǒng)集中部署、數(shù)據(jù)中心遷移、應(yīng)用級災(zāi)備建設(shè)等信息化工作的相續(xù)開展，三地災(zāi)備（數(shù)據(jù)）中心逐漸轉(zhuǎn)變?yōu)榧惺綌?shù)據(jù)中心，所有用戶將通過網(wǎng)絡(luò)訪問信息系統(tǒng)完成生產(chǎn)、經(jīng)營、管理等活動。在此過程中，絕大多數(shù)都以域名方式完成對信息系統(tǒng)的訪問，網(wǎng)絡(luò)核心服務(wù)域名解析系統(tǒng)的重要性愈顯突出。

1需求分析

根據(jù)應(yīng)用級災(zāi)備工作的規(guī)劃，新建DNS系統(tǒng)應(yīng)包括：

1.1功能需求

域名服務(wù)系統(tǒng)目前已經(jīng)成為某公司絕大多數(shù)信息系統(tǒng)應(yīng)用的實際尋址方式，應(yīng)用訪問方式都基于域名系統(tǒng)進(jìn)行。

隨著應(yīng)用級災(zāi)備建設(shè)的開展，對于應(yīng)用系統(tǒng)基于域名技術(shù)的多種應(yīng)用以實現(xiàn)應(yīng)用切換，將是完成應(yīng)用級災(zāi)備建設(shè)的重要保障。

根據(jù)災(zāi)備建設(shè)的需求，將在目前域名服務(wù)系統(tǒng)的整體架構(gòu)上，進(jìn)行適應(yīng)性調(diào)整建設(shè)，以期確保在信息系統(tǒng)應(yīng)用切換時，可以提供支撐服務(wù)，減少切換時間，保障客戶對業(yè)務(wù)應(yīng)用系統(tǒng)安全、穩(wěn)定、高效的訪問。

1.2可靠性需求

目前某公司根域名服務(wù)系統(tǒng)和二級域名服務(wù)系統(tǒng)基本為主從架構(gòu)，物理部署在同一生產(chǎn)機(jī)房內(nèi)，僅僅具備本地的高可用性。在面對極端災(zāi)害情況下，區(qū)域節(jié)點如總部、省市公司一旦發(fā)生域名服務(wù)系統(tǒng)中斷，將會導(dǎo)致客戶無法正常訪問信息系統(tǒng)。

在應(yīng)急或者演練情況下，客戶需要訪問切換到災(zāi)備（數(shù)據(jù)）中心的業(yè)務(wù)系統(tǒng)，在省市公司生產(chǎn)中心域名解析系統(tǒng)中斷服務(wù)時，客戶將無法通過第二網(wǎng)絡(luò)匯聚點對災(zāi)備（數(shù)據(jù)）中心業(yè)務(wù)訪問請求。

為確?？蛻粼谌魏吻闆r下對于信息系統(tǒng)訪問的不中斷，需要完善域名服務(wù)系統(tǒng)的部署架構(gòu)，提升可靠性，以保障為客戶提供不間斷的域名服務(wù)能力。

1.3運(yùn)行管理需求

目前總部、各分部和各省市公司均已建設(shè)了域名服務(wù)系統(tǒng)，并和總部的根域進(jìn)行了級聯(lián)。對于域名地址的變更管理采用分布式管理，由于開源軟件命令行操作的不便捷性，所有操作均需要命令行操作，操作過程中無錯誤檢測功能，容易發(fā)生人為錯誤，對于各個節(jié)點運(yùn)維人員有較高要求.

對于Qps監(jiān)控、審計、訪問統(tǒng)計等域名服務(wù)運(yùn)行狀態(tài)，無分析和預(yù)警措施，缺乏域名服務(wù)應(yīng)用的監(jiān)測機(jī)制，無法對運(yùn)維人員實時展現(xiàn)。

按公司信息系統(tǒng)建設(shè)和運(yùn)行工作的集約化發(fā)展要求，結(jié)合未來三地集中式數(shù)據(jù)中心對于域名服務(wù)的需求，需要對域名服務(wù)系統(tǒng)進(jìn)行統(tǒng)一的整體管理。

1.4安全需求

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，域名系統(tǒng)面臨的安全威脅和風(fēng)險不斷加大，不論是2009年暴風(fēng)影音的5.19事件，還是2010年百度的DNS域名記錄被劫持事件，均導(dǎo)致大范圍網(wǎng)絡(luò)故障，使得高達(dá)數(shù)省的用戶無法進(jìn)行網(wǎng)絡(luò)訪問。由于對DNS服務(wù)器的安全性問題不夠重視，致使類似安全事件時有發(fā)生。

某公司的大量客戶端機(jī)器中安裝了諸如暴風(fēng)影音等視頻播放軟件，此類軟件會定時、頻繁的發(fā)送大量無效解析請求，加重了域名系統(tǒng)的解析壓力。

域名服務(wù)系統(tǒng)是某公司網(wǎng)絡(luò)的一項核心服務(wù)、中樞神經(jīng)系統(tǒng)，事關(guān)網(wǎng)絡(luò)的安全與穩(wěn)定。域名系統(tǒng)的故障會導(dǎo)致信息系統(tǒng)應(yīng)用的訪問中斷。針對網(wǎng)絡(luò)攻擊、域名劫持等威脅，需要加強(qiáng)域名系統(tǒng)安全防護(hù)，建立完善域名安全技術(shù)手段，確保域名解析正常，域名系統(tǒng)的安全運(yùn)行。

2架構(gòu)設(shè)計

統(tǒng)一域名項目的整體架構(gòu)如下圖1所示。

2.1內(nèi)網(wǎng)部署

1）本方案中根域名服務(wù)系統(tǒng)同時負(fù)責(zé)管理配置解析頂級域abcd.com.cn和各網(wǎng)省授權(quán)子域。三地災(zāi)備（數(shù)據(jù)）中心DNS服務(wù)器將作為內(nèi)網(wǎng)的權(quán)威DNS服務(wù)器，提供公司的所有的域名地址解析服務(wù)。

2）省市公司、直屬單位的原有域名服務(wù)器更改為forward工作模式，僅作為緩存服務(wù)器使用，物理設(shè)備繼續(xù)使用原有服務(wù)器設(shè)備。

3）根域名服務(wù)系統(tǒng)物理設(shè)備部署在A、B、C三地災(zāi)備（數(shù)據(jù)）中心，采用主輔架構(gòu)。三地災(zāi)備（數(shù)據(jù)）中心權(quán)威DNS服務(wù)器之間實現(xiàn)信息實時同步，當(dāng)單一災(zāi)備（數(shù)據(jù)）中心停止域名解析服務(wù)時，其他災(zāi)備（數(shù)據(jù)）中心權(quán)威DNS服務(wù)器可以繼續(xù)為全網(wǎng)用戶提供不間斷服務(wù)，提升域名解析系統(tǒng)的高可靠性。

4）用戶可以通過配置所屬災(zāi)備（數(shù)據(jù)）中心權(quán)威DNS服務(wù)器為自己的備選DNS服務(wù)器，以保障在所屬生產(chǎn)中心主匯聚點網(wǎng)絡(luò)不通的情形下，可以通過第二網(wǎng)絡(luò)匯聚點訪問業(yè)務(wù)。

2.2內(nèi)網(wǎng)解析流程

內(nèi)網(wǎng)用戶請求域名地址解析時，首先向用戶本地的DNS緩存服務(wù)器提出域名解析申請，本地緩存DNS首先在自己的緩存區(qū)進(jìn)行查找，查看是否有相關(guān)域名的A記錄，如果有直接將域名地址解析給用戶。如果沒有將向三地災(zāi)備（數(shù)據(jù)）中心權(quán)威DNS服務(wù)器發(fā)送請求，請求相關(guān)的域名地址解析，權(quán)威DNS服務(wù)器應(yīng)答請求，將解析結(jié)果通知給用戶本地緩存DNS，用戶本地緩存DNS將解析結(jié)果通知給用戶。

首次解析記錄結(jié)果將會被存放在緩存DNS服務(wù)器的緩存內(nèi)，記錄在緩存內(nèi)存的持續(xù)時間是由權(quán)威DNS服務(wù)器設(shè)置的TTL值來決定的，當(dāng)持續(xù)時間到達(dá)了規(guī)定的TTL時間后，本地緩存DNS服務(wù)器會自動的將此記錄刪除，并且不會主動的發(fā)起新的請求，只有當(dāng)再等到用戶請求此記錄相對的域名地址解析時，本地緩存DNS服務(wù)器才會重新發(fā)起請求。

2.3外網(wǎng)部署

1）在A災(zāi)備（數(shù)據(jù)）中心部署兩臺DNS服務(wù)器，用來替換原有外網(wǎng)權(quán)威DNS服務(wù)器，負(fù)責(zé)解析權(quán)威域，同時也負(fù)責(zé)解析授權(quán)子域。

2）向中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）再申請一條NS記錄，并將相應(yīng)的DNS服務(wù)器部署在B災(zāi)備（數(shù)據(jù)）中心，和原有部署在A災(zāi)備（數(shù)據(jù)）中心的兩臺外網(wǎng)權(quán)威服務(wù)器組成一個分布式部署的異地高可用。

3）省市公司、直屬單位原有外網(wǎng)DNS服務(wù)器維持原狀。

2.4外網(wǎng)解析流程

外網(wǎng)用戶請求域名地址解析時，首先用戶請求會提交到本地ISP供應(yīng)商提供的DNS中，如果DNS有相關(guān)記錄時，直接返回結(jié)果，如果沒有，ISP供應(yīng)商提供的DNS會直接向中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）提供的根域DNS服務(wù)器提出申請，根域DNS服務(wù)器會將abcd.com.cn的四條NS記錄信息隨機(jī)選擇一條傳遞給ISP供應(yīng)商的DNS，ISP供應(yīng)商的DNS根據(jù)NS記錄找到相應(yīng)的公司外網(wǎng)權(quán)威DNS服務(wù)器，由公司權(quán)威DNS服務(wù)器進(jìn)行域名地址解析并將解析結(jié)果通知給ISP供應(yīng)商的DNS，后者將解析結(jié)果通知給用戶，完成解析過程。

由于目前互聯(lián)網(wǎng)對于域名解析系統(tǒng)缺乏統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，ISP供應(yīng)商的DNS設(shè)置也各不相同，可能在解析過程中返回給客戶端的緩存時間并不遵循公司外網(wǎng)權(quán)威DNS服務(wù)器的TTL值設(shè)定，無法控制域名解析記錄的緩存時間。

3系統(tǒng)設(shè)計

3.1域名功能

域名服務(wù)系統(tǒng)集中部署在災(zāi)備（數(shù)據(jù)）中心的內(nèi)外網(wǎng)權(quán)威服務(wù)器具備以下功能：

1）能夠處理來自某公司內(nèi)部網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)的任何客戶端的查詢請求；

2）權(quán)威服務(wù)器主輔之間實現(xiàn)安全的區(qū)數(shù)據(jù)傳輸；

3）支持DNS安全協(xié)議擴(kuò)展（DNSSEC）；

4）同時具有IPv4和IPv6兩個協(xié)議棧，可以處理來自IPv4和IPv6網(wǎng)絡(luò)中的客戶端域名查詢請求。

域名服務(wù)系統(tǒng)中部署在省市公司、直屬單位和地市公司的緩存服務(wù)器具備以下功能：

4）能夠處理來自某公司區(qū)域內(nèi)部網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)的任何客戶端的查詢請求；

6）正確執(zhí)行遞歸查詢過程；

5）能夠按照權(quán)威服務(wù)器返回的信息生存期（TTL）時間進(jìn)行域名數(shù)據(jù)緩存。

3.2域名管理

域名服務(wù)器集中部署在三地災(zāi)備（數(shù)據(jù)）中心，對于域名記錄的管理能夠由三地災(zāi)備（數(shù)據(jù)）中心統(tǒng)一管理，也可針對單位建立角色賬號，分級分權(quán)管理域名記錄信息。不同區(qū)域的管理員通過自己的用戶名登錄實現(xiàn)只管理自己的區(qū)域的記錄，并實現(xiàn)增、添、改功能，并且不會對其他區(qū)域的內(nèi)容造成影響。超級用戶admin可以管理所有區(qū)域的配置，管理者（admin）可以對附屬權(quán)限的域進(jìn)行增刪改操作，超級管理員（administrator）可以對全局域進(jìn)行管理。

3.3安全防護(hù)

域名服務(wù)器的安全風(fēng)險主要有DOS（DenialOfService）攻擊、域名劫持、域名欺騙、區(qū)傳輸泄密等方面，針對風(fēng)險主要采取以下幾方面手段來進(jìn)行安全防護(hù)。

4加強(qiáng)安全防護(hù)體系

1）技術(shù)：更新和完善安全工具、軟硬件設(shè)備、管理平臺、監(jiān)控系統(tǒng)。主要包括安全掃描、評估分析、入侵檢測、入侵取證、陷阱網(wǎng)絡(luò)、備份恢復(fù)、病毒防治等。

2）管理：完善安全技術(shù)規(guī)范、管理制度、高水平的安全技術(shù)人才和高度的工作責(zé)任心。建立定期檢查制度，建立網(wǎng)絡(luò)安全專人負(fù)責(zé)制度，建立安全事故及時上報制度，建立定期備份制度，限定口令定期修改制度等。

3）規(guī)劃：對新的技術(shù)和產(chǎn)品及時了解，深入調(diào)研國內(nèi)外信息網(wǎng)絡(luò)安全的狀況，了解黑客技術(shù)的進(jìn)展，在廣泛融合的基礎(chǔ)上作出前瞻性規(guī)劃。

5技術(shù)手段保護(hù)

域名服務(wù)器可以根據(jù)對解析流量來源、目的地或端口的監(jiān)控，使用分組過濾、建立訪問控制列表等手段來限制或拒絕用戶對域名服務(wù)器的訪問。安全加固DNS的運(yùn)行環(huán)境，內(nèi)核安全優(yōu)化，升級到最新的補(bǔ)丁程序，關(guān)閉無關(guān)的進(jìn)程和端口，配置防病毒模塊等。防火墻劃分不同區(qū)域，設(shè)置嚴(yán)格的訪問策略，配置ACL、ACLlonging，啟動DoS、DDoS功能。

6安全協(xié)議

針對權(quán)威服務(wù)器的主服務(wù)器和從服務(wù)器的之間的同步信息的完整性和可靠性安全可以通過事務(wù)簽名（TransactionSignature）協(xié)議來保障，對于緩存服務(wù)器從權(quán)威服務(wù)器獲取的查詢結(jié)果的完整性和可靠性可以由域名系統(tǒng)安全擴(kuò)展（DNSSecurity）來保障。

7域名信息同步

為確保三地災(zāi)備（數(shù)據(jù)）中心在對同一解析請求時，返回相同的結(jié)果，保障域名服務(wù)器提供穩(wěn)定可靠的服務(wù)，域名服務(wù)器之間必須具有對域名文件和策略文件安全的信息同步機(jī)制。

部署在三地災(zāi)備（數(shù)據(jù)）中心的域名服務(wù)器相互之間的域名記錄信息能夠采用自動同步模式，使得三地災(zāi)備（數(shù)據(jù)）中心的域名服務(wù)器都擁有全網(wǎng)的域名信息記錄，能夠?qū)崿F(xiàn)三地災(zāi)備（數(shù)據(jù)）中心域名解析服務(wù)的平臺化、同步化。

三地災(zāi)備（數(shù)據(jù)）中心的權(quán)威域名服務(wù)器之間在建立同步關(guān)系時，必須設(shè)置為同一組，組內(nèi)所有域名服務(wù)器實時校驗域名文件和策略文件的時間戳，任一域名服務(wù)器中一旦有文件時間變更，則能自動啟動同步機(jī)制，將信息同步至其他權(quán)威域名服務(wù)器。權(quán)威域名服務(wù)器組能夠和某公司統(tǒng)一時間源進(jìn)行同步。

8結(jié)束語

目前公司的權(quán)威域名服務(wù)器TTL值設(shè)置為24小時，意味著如果應(yīng)用業(yè)務(wù)是基于域名方式訪問的，當(dāng)應(yīng)用業(yè)務(wù)地址發(fā)生變化時，客戶端最壞情況下需要48小時才會訪問到正確的地址。

如現(xiàn)階段集中部署后的某A業(yè)務(wù)平臺對于RTO要求為30分鐘，B業(yè)務(wù)系統(tǒng)的RTO要求為4小時，域名服務(wù)系統(tǒng)對于A業(yè)務(wù)平臺的域名記錄，緩存時間TTL值需要設(shè)置在15分鐘以內(nèi)才可以滿足RTO要求，而對于B業(yè)務(wù)系統(tǒng)，緩存時間TTL值則需要設(shè)置為2小時才能滿足其RTO要求。

統(tǒng)一域名服務(wù)系統(tǒng)將具備能夠針對不同業(yè)務(wù)系統(tǒng)不同域名記錄的信息生存期TTL值進(jìn)行靈活設(shè)定的功能，在同一臺權(quán)威DNS服務(wù)器里，既可以將A業(yè)務(wù)平臺的域名記錄緩存時間TTL值設(shè)置為15分鐘，也可以將B業(yè)務(wù)系統(tǒng)的域名記錄緩存時間TTL值設(shè)置為2小時，滿足應(yīng)用級災(zāi)備建設(shè)的開展對應(yīng)用切換時間的需求，達(dá)成業(yè)務(wù)系統(tǒng)RTO指標(biāo)。