文｜劉晨光

建設(shè)企業(yè)統(tǒng)一域名服務(wù)系統(tǒng)是大勢所趨

文｜劉晨光

域名是應(yīng)用服務(wù)器的身份標(biāo)識，便于他人識別和檢索某一企業(yè)、組織等的信息資源，從而更好的實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享。

從技術(shù)角度看,DNS解析是互聯(lián)網(wǎng)絕大多數(shù)應(yīng)用的實(shí)際尋址方式；域名技術(shù)的再發(fā)展、以及基于域名技術(shù)的多種應(yīng)用，豐富了互聯(lián)網(wǎng)應(yīng)用和協(xié)議。從資源角度看,域名是互聯(lián)網(wǎng)上的身份標(biāo)識，是不可重復(fù)的唯一標(biāo)識資源； 互聯(lián)網(wǎng)的全球化使得域名成為標(biāo)識一國主權(quán)的國家戰(zhàn)略資源。

隨著IT基礎(chǔ)架構(gòu)調(diào)整，將目前的內(nèi)網(wǎng)、外網(wǎng)等整合成功能獨(dú)立又緊密聯(lián)系的統(tǒng)一網(wǎng)絡(luò)平臺，已成為當(dāng)前企業(yè)網(wǎng)絡(luò)的大勢所趨，因此非常有必要在內(nèi)外網(wǎng)融合架構(gòu)的基礎(chǔ)上，設(shè)計(jì)、搭建一套內(nèi)外網(wǎng)統(tǒng)一域名服務(wù)系統(tǒng)。

一、當(dāng)前現(xiàn)狀

一個(gè)域名只能被注冊一次，因此互聯(lián)網(wǎng)上的域名是稀缺資源，由于可以利用企業(yè)品牌/名稱作為域名，因此域名和品牌之間也就形成了一定的關(guān)聯(lián)，因此才出現(xiàn)了所謂的搶注域名。

域名是一種寶貴的資源，被稱為“企業(yè)的網(wǎng)上商標(biāo)”。全球互聯(lián)網(wǎng)搜索巨頭google以百萬美元巨資買回了幾年前被被人搶注的域名google.com.cn和google.cn

內(nèi)外網(wǎng)統(tǒng)一域名系統(tǒng)

長期以來，大部分企業(yè)沒有一套完整的域名體系，企業(yè)內(nèi)網(wǎng)幾乎無域名服務(wù)，各應(yīng)用系統(tǒng)主要使用IP地址登陸，而外網(wǎng)則是采取單個(gè)域名單個(gè)申請，單個(gè)備案導(dǎo)致一些重要項(xiàng)目審批流程復(fù)雜，甚至災(zāi)難備份等重要功能無法實(shí)現(xiàn)。

二、域名系統(tǒng)規(guī)劃方案

1. 域名注冊

當(dāng)前很多企業(yè)域名使用不當(dāng)?shù)那闆r普遍存在：一．域名與公司名稱、企業(yè)品牌毫不相關(guān)；二．域名長而且雜,晦澀難記；三．后綴使用不當(dāng)。

企業(yè)成立之初，就應(yīng)及時(shí)以企業(yè)名稱、品牌或商標(biāo)注冊域名；國際域名com是企業(yè)在網(wǎng)絡(luò)上的最主要標(biāo)志，應(yīng)為首選，其次國家級域名cn最好也應(yīng)該保護(hù)，其它后綴依據(jù)各企業(yè)實(shí)際需要而定，不能一概而論。有條件的企業(yè)，建議對域名進(jìn)行防御性注冊。域名注冊遵循“先申請先注冊，誰注冊誰擁有”原則。域名一旦注冊成功，申請人即享有該域名的專屬權(quán)力，允許自由買賣。

2. 域名備案

備案是指將您的網(wǎng)站在工信部系統(tǒng)中進(jìn)行登記，相當(dāng)于給網(wǎng)站做實(shí)名認(rèn)證。域名備案的目的就是為了防止在網(wǎng)上從事非法的網(wǎng)站經(jīng)營活動，打擊不良互聯(lián)網(wǎng)信息的傳播，經(jīng)過域名備案，該域名即可通過運(yùn)營商的域名服務(wù)器被查詢并解析到。

3. 域名設(shè)計(jì)原則

為達(dá)到上述目標(biāo)要求，在DNS架構(gòu)設(shè)計(jì)中，應(yīng)始終堅(jiān)持以下原則：

⊙ 高可靠性

DNS的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在DNS設(shè)計(jì)中應(yīng)選用已規(guī)模商用的高可靠性產(chǎn)品或軟件，合理設(shè)計(jì)DNS架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略。

⊙ 標(biāo)準(zhǔn)開放性

支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議(如TCP/IP)、采用客戶端與DNS服務(wù)器通訊采用UDP協(xié)議53端口，DNS服務(wù)器開啟遞歸和迭代查詢，服務(wù)器之間通訊采用TCP協(xié)議53端口。

⊙ 安全可靠性

通過統(tǒng)一認(rèn)證平臺和網(wǎng)絡(luò)中IPS,IDS安全產(chǎn)品，DNS服務(wù)器可采用負(fù)載均衡方式對外服務(wù)。

⊙ 靈活性及可擴(kuò)展性

根據(jù)未來業(yè)務(wù)的增長和變化，可實(shí)現(xiàn)域名層級擴(kuò)展、權(quán)限分配等靈活及擴(kuò)展性。

⊙ 先進(jìn)性

必須采用業(yè)界領(lǐng)先的成熟技術(shù)模式，使得本次項(xiàng)目的DNS系統(tǒng)在5-10年滿足發(fā)展需求。

三、統(tǒng)一域名系統(tǒng)設(shè)計(jì)方案

隨著信息技術(shù)的發(fā)展，為適應(yīng)當(dāng)前上網(wǎng)更加便捷的用戶需求，企業(yè)網(wǎng)絡(luò)架構(gòu)逐漸由內(nèi)網(wǎng)、外網(wǎng)隔離的狀態(tài)整合成為功能獨(dú)立又緊密聯(lián)系的內(nèi)外網(wǎng)融合的網(wǎng)絡(luò)架構(gòu)。

1.內(nèi)外網(wǎng)統(tǒng)一域名系統(tǒng)

采用內(nèi)外網(wǎng)相同的域名體系，建設(shè)兩套DNS系統(tǒng)，內(nèi)網(wǎng)域名受公有域名的命名制約，搭建好的內(nèi)網(wǎng)域名系統(tǒng)和互聯(lián)網(wǎng)域名系統(tǒng)獨(dú)立又統(tǒng)一。

2. 域名層級

域名體系總體架構(gòu)采用樹狀層次劃分，實(shí)行分層管理，可以橫向縱向進(jìn)行擴(kuò)展，橫向?yàn)槎売蛎?、三級域名或子域名每層可以申請?jiān)O(shè)計(jì)多個(gè)域名名稱，縱向?yàn)槊繉佑蛎稍龠M(jìn)行授權(quán)子域名。

3. 域名備份

首先需要搭建頂級域名服務(wù)器，頂級DNS服務(wù)器可由多臺組成，分別為主DNS系統(tǒng),輔DNS系統(tǒng)，主輔DNS實(shí)現(xiàn)同步、修改、起到冗余功能。主DNS負(fù)責(zé)添加相關(guān)DNS記錄,輔DNS復(fù)制主DNS數(shù)據(jù)的功能，不能添加DNS記錄。

4. 域名實(shí)現(xiàn)技術(shù)

對于技術(shù)的實(shí)現(xiàn)可以采用業(yè)內(nèi)公認(rèn)的Bind9軟件或?qū)I(yè)的DNS設(shè)備實(shí)現(xiàn)，通過每層多臺部署實(shí)現(xiàn)高可用性，頂級域名通過專業(yè)的DNS設(shè)備搭建，保證可靠性、安全性。

四、域名系統(tǒng)的安全

一般來說，自建的DNS域名系統(tǒng)很少能抵御住針對DNS的攻擊。目前常見的域名攻擊方式主要有域名劫持和分布式拒絕服務(wù)攻擊(DDOS)等。一般來說企業(yè)的出口帶寬較?。?0M、50M、100M等）服務(wù)器處理能力低、數(shù)量少，同時(shí)不具備流量清洗等抗攻擊手段，所以以企業(yè)的網(wǎng)絡(luò)處理和保障能力來說，一旦遭到DDOS攻擊企業(yè)的DNS系統(tǒng)必將癱瘓。

1. DNS硬件可用性

⊙采用專業(yè)硬件負(fù)載均衡設(shè)備和多臺服務(wù)器對客戶提供服務(wù)。

⊙針對無硬件負(fù)載均衡設(shè)備只是單獨(dú)服務(wù)器設(shè)備，如單臺的PC服務(wù)器做域名設(shè)備時(shí)，采用主輔DNS的辦法，即2臺DNS設(shè)備，主DNS向輔DNS進(jìn)行同步，當(dāng)主DNS宕機(jī)時(shí)，客戶端可以通過輔DNS進(jìn)行解析。

⊙針對支持H A的域名設(shè)備，部分設(shè)備采用HA的方式，如F5一類的設(shè)備，可以把兩臺做成HA，HA是一個(gè)高可用的整體，HA中的設(shè)備只要有一臺工作正常，域名系統(tǒng)都可以正常工作。

2. 網(wǎng)絡(luò)層與系統(tǒng)可用性

⊙在通信層DNS服務(wù)器只開通UDP 53 、TCP 53工作端口，管理方式采用https,SSH其他加密方式進(jìn)行登陸。

⊙對于windows平臺的DNS系統(tǒng)通過定期補(bǔ)丁更新加強(qiáng)防護(hù)，專業(yè)的DNS設(shè)備可升級最新的OS。

⊙對于linux平臺的DNS可通過升級內(nèi)核、通過自身的IPtable加強(qiáng)自身安全。

⊙通過網(wǎng)內(nèi)的防火墻、IPS,IDS硬件安全產(chǎn)品進(jìn)行一些DNS攻擊防御。

⊙采用獨(dú)立的IP網(wǎng)段，防止服務(wù)器或客戶端與DNS設(shè)備的沖突，ARP廣播包的沖擊。

⊙DNS在網(wǎng)絡(luò)中可定義DNS區(qū)域防護(hù)相關(guān)規(guī)則，保護(hù)DNS區(qū)域的安全性。

3. DNS服務(wù)器遭受攻擊應(yīng)急預(yù)案

⊙生產(chǎn)中心搭建冷備DNS服務(wù)器設(shè)備不接入網(wǎng)絡(luò)，當(dāng)生產(chǎn)中DNS出現(xiàn)故障暫時(shí)無法恢復(fù)，可啟用冷備DNS設(shè)備，完成業(yè)務(wù)訪問的解析臨時(shí)需求。

⊙在啟用冷備DNS設(shè)備時(shí)，通過網(wǎng)絡(luò)中部署的IDS,IPS設(shè)備或借助其他手段查找攻擊源頭，并進(jìn)行阻止攻擊。

⊙用戶PC設(shè)置兩個(gè)以上的DNS服務(wù)器地址，分別為生產(chǎn)中心主DNS和輔DNS地址和災(zāi)備中心的DNS服務(wù)器地址，任何一臺DNS出現(xiàn)故障，客戶端會自動尋找輔DNS解析。

⊙ 對DNS服務(wù)器數(shù)據(jù)定期進(jìn)行備份，一旦出現(xiàn)網(wǎng)絡(luò)攻擊威脅或硬件故障，可通過備份恢復(fù)應(yīng)急處理。

（作者單位：新華社技術(shù)局）