劉寶新

摘要：按照公司信息化建設的要求，A、B、C三地災備（數(shù)據(jù)）中心于2011年5月建成投運。完成了公司集中式信息系統(tǒng)數(shù)據(jù)級災備的建設，實現(xiàn)了公司各單位信息系統(tǒng)數(shù)據(jù)的集中異地實時備份。公司的各項業(yè)務都有獨立的域名，客戶端都是通過域名進行業(yè)務訪問及操作，域名服務系統(tǒng)在整個災備體現(xiàn)中占據(jù)著無可替代的功能。

該文從域名服務安全部署出發(fā)，結合公司的災備特點，采用集中部署的解決方案，針對域名服務功能、安全等方面難題進行了設計，從而確定了整體集中部署的設計方案，為公司災備網絡整體功能提供了有效的支撐。

關鍵詞：智能解析；統(tǒng)一部署；安全防護；運行管理

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044（2012）36-8628-03

按照某公司信息化建設的要求，三地災備（數(shù)據(jù)）中心于2011年5月建成投運。隨著信息系統(tǒng)集中部署、數(shù)據(jù)中心遷移、應用級災備建設等信息化工作的相續(xù)開展，三地災備（數(shù)據(jù)）中心逐漸轉變?yōu)榧惺綌?shù)據(jù)中心，所有用戶將通過網絡訪問信息系統(tǒng)完成生產、經營、管理等活動。在此過程中，絕大多數(shù)都以域名方式完成對信息系統(tǒng)的訪問，網絡核心服務域名解析系統(tǒng)的重要性愈顯突出。

1需求分析

根據(jù)應用級災備工作的規(guī)劃，新建DNS系統(tǒng)應包括：

1.1功能需求

域名服務系統(tǒng)目前已經成為某公司絕大多數(shù)信息系統(tǒng)應用的實際尋址方式，應用訪問方式都基于域名系統(tǒng)進行。

隨著應用級災備建設的開展，對于應用系統(tǒng)基于域名技術的多種應用以實現(xiàn)應用切換，將是完成應用級災備建設的重要保障。

根據(jù)災備建設的需求，將在目前域名服務系統(tǒng)的整體架構上，進行適應性調整建設，以期確保在信息系統(tǒng)應用切換時，可以提供支撐服務，減少切換時間，保障客戶對業(yè)務應用系統(tǒng)安全、穩(wěn)定、高效的訪問。

1.2可靠性需求

目前某公司根域名服務系統(tǒng)和二級域名服務系統(tǒng)基本為主從架構，物理部署在同一生產機房內，僅僅具備本地的高可用性。在面對極端災害情況下，區(qū)域節(jié)點如總部、省市公司一旦發(fā)生域名服務系統(tǒng)中斷，將會導致客戶無法正常訪問信息系統(tǒng)。

在應急或者演練情況下，客戶需要訪問切換到災備（數(shù)據(jù)）中心的業(yè)務系統(tǒng)，在省市公司生產中心域名解析系統(tǒng)中斷服務時，客戶將無法通過第二網絡匯聚點對災備（數(shù)據(jù)）中心業(yè)務訪問請求。

為確?？蛻粼谌魏吻闆r下對于信息系統(tǒng)訪問的不中斷，需要完善域名服務系統(tǒng)的部署架構，提升可靠性，以保障為客戶提供不間斷的域名服務能力。

1.3運行管理需求

目前總部、各分部和各省市公司均已建設了域名服務系統(tǒng)，并和總部的根域進行了級聯(lián)。對于域名地址的變更管理采用分布式管理，由于開源軟件命令行操作的不便捷性，所有操作均需要命令行操作，操作過程中無錯誤檢測功能，容易發(fā)生人為錯誤，對于各個節(jié)點運維人員有較高要求.

對于Qps監(jiān)控、審計、訪問統(tǒng)計等域名服務運行狀態(tài)，無分析和預警措施，缺乏域名服務應用的監(jiān)測機制，無法對運維人員實時展現(xiàn)。

按公司信息系統(tǒng)建設和運行工作的集約化發(fā)展要求，結合未來三地集中式數(shù)據(jù)中心對于域名服務的需求，需要對域名服務系統(tǒng)進行統(tǒng)一的整體管理。

1.4安全需求

隨著網絡技術的發(fā)展，域名系統(tǒng)面臨的安全威脅和風險不斷加大，不論是2009年暴風影音的5.19事件，還是2010年百度的DNS域名記錄被劫持事件，均導致大范圍網絡故障，使得高達數(shù)省的用戶無法進行網絡訪問。由于對DNS服務器的安全性問題不夠重視，致使類似安全事件時有發(fā)生。

某公司的大量客戶端機器中安裝了諸如暴風影音等視頻播放軟件，此類軟件會定時、頻繁的發(fā)送大量無效解析請求，加重了域名系統(tǒng)的解析壓力。

域名服務系統(tǒng)是某公司網絡的一項核心服務、中樞神經系統(tǒng)，事關網絡的安全與穩(wěn)定。域名系統(tǒng)的故障會導致信息系統(tǒng)應用的訪問中斷。針對網絡攻擊、域名劫持等威脅，需要加強域名系統(tǒng)安全防護，建立完善域名安全技術手段，確保域名解析正常，域名系統(tǒng)的安全運行。

2架構設計

統(tǒng)一域名項目的整體架構如下圖1所示。

2.1內網部署

1）本方案中根域名服務系統(tǒng)同時負責管理配置解析頂級域abcd.com.cn和各網省授權子域。三地災備（數(shù)據(jù)）中心DNS服務器將作為內網的權威DNS服務器，提供公司的所有的域名地址解析服務。

2）省市公司、直屬單位的原有域名服務器更改為forward工作模式，僅作為緩存服務器使用，物理設備繼續(xù)使用原有服務器設備。

3）根域名服務系統(tǒng)物理設備部署在A、B、C三地災備（數(shù)據(jù)）中心，采用主輔架構。三地災備（數(shù)據(jù)）中心權威DNS服務器之間實現(xiàn)信息實時同步，當單一災備（數(shù)據(jù)）中心停止域名解析服務時，其他災備（數(shù)據(jù)）中心權威DNS服務器可以繼續(xù)為全網用戶提供不間斷服務，提升域名解析系統(tǒng)的高可靠性。

4）用戶可以通過配置所屬災備（數(shù)據(jù)）中心權威DNS服務器為自己的備選DNS服務器，以保障在所屬生產中心主匯聚點網絡不通的情形下，可以通過第二網絡匯聚點訪問業(yè)務。

2.2內網解析流程

內網用戶請求域名地址解析時，首先向用戶本地的DNS緩存服務器提出域名解析申請，本地緩存DNS首先在自己的緩存區(qū)進行查找，查看是否有相關域名的A記錄，如果有直接將域名地址解析給用戶。如果沒有將向三地災備（數(shù)據(jù)）中心權威DNS服務器發(fā)送請求，請求相關的域名地址解析，權威DNS服務器應答請求，將解析結果通知給用戶本地緩存DNS，用戶本地緩存DNS將解析結果通知給用戶。

首次解析記錄結果將會被存放在緩存DNS服務器的緩存內，記錄在緩存內存的持續(xù)時間是由權威DNS服務器設置的TTL值來決定的，當持續(xù)時間到達了規(guī)定的TTL時間后，本地緩存DNS服務器會自動的將此記錄刪除，并且不會主動的發(fā)起新的請求，只有當再等到用戶請求此記錄相對的域名地址解析時，本地緩存DNS服務器才會重新發(fā)起請求。

2.3外網部署

1）在A災備（數(shù)據(jù)）中心部署兩臺DNS服務器，用來替換原有外網權威DNS服務器，負責解析權威域，同時也負責解析授權子域。

2）向中國互聯(lián)網絡信息中心（CNNIC）再申請一條NS記錄，并將相應的DNS服務器部署在B災備（數(shù)據(jù)）中心，和原有部署在A災備（數(shù)據(jù)）中心的兩臺外網權威服務器組成一個分布式部署的異地高可用。

3）省市公司、直屬單位原有外網DNS服務器維持原狀。

2.4外網解析流程

外網用戶請求域名地址解析時，首先用戶請求會提交到本地ISP供應商提供的DNS中，如果DNS有相關記錄時，直接返回結果，如果沒有，ISP供應商提供的DNS會直接向中國互聯(lián)網絡信息中心（CNNIC）提供的根域DNS服務器提出申請，根域DNS服務器會將abcd.com.cn的四條NS記錄信息隨機選擇一條傳遞給ISP供應商的DNS，ISP供應商的DNS根據(jù)NS記錄找到相應的公司外網權威DNS服務器，由公司權威DNS服務器進行域名地址解析并將解析結果通知給ISP供應商的DNS，后者將解析結果通知給用戶，完成解析過程。

由于目前互聯(lián)網對于域名解析系統(tǒng)缺乏統(tǒng)一的標準和規(guī)范，ISP供應商的DNS設置也各不相同，可能在解析過程中返回給客戶端的緩存時間并不遵循公司外網權威DNS服務器的TTL值設定，無法控制域名解析記錄的緩存時間。

3系統(tǒng)設計

3.1域名功能

域名服務系統(tǒng)集中部署在災備（數(shù)據(jù)）中心的內外網權威服務器具備以下功能：

1）能夠處理來自某公司內部網絡和外部互聯(lián)網的任何客戶端的查詢請求；

2）權威服務器主輔之間實現(xiàn)安全的區(qū)數(shù)據(jù)傳輸；

3）支持DNS安全協(xié)議擴展（DNSSEC）；

4）同時具有IPv4和IPv6兩個協(xié)議棧，可以處理來自IPv4和IPv6網絡中的客戶端域名查詢請求。

域名服務系統(tǒng)中部署在省市公司、直屬單位和地市公司的緩存服務器具備以下功能：

4）能夠處理來自某公司區(qū)域內部網絡和外部互聯(lián)網的任何客戶端的查詢請求；

6）正確執(zhí)行遞歸查詢過程；

5）能夠按照權威服務器返回的信息生存期（TTL）時間進行域名數(shù)據(jù)緩存。

3.2域名管理

域名服務器集中部署在三地災備（數(shù)據(jù)）中心，對于域名記錄的管理能夠由三地災備（數(shù)據(jù)）中心統(tǒng)一管理，也可針對單位建立角色賬號，分級分權管理域名記錄信息。不同區(qū)域的管理員通過自己的用戶名登錄實現(xiàn)只管理自己的區(qū)域的記錄，并實現(xiàn)增、添、改功能，并且不會對其他區(qū)域的內容造成影響。超級用戶admin可以管理所有區(qū)域的配置，管理者（admin）可以對附屬權限的域進行增刪改操作，超級管理員（administrator）可以對全局域進行管理。

3.3安全防護

域名服務器的安全風險主要有DOS（DenialOfService）攻擊、域名劫持、域名欺騙、區(qū)傳輸泄密等方面，針對風險主要采取以下幾方面手段來進行安全防護。

4加強安全防護體系

1）技術：更新和完善安全工具、軟硬件設備、管理平臺、監(jiān)控系統(tǒng)。主要包括安全掃描、評估分析、入侵檢測、入侵取證、陷阱網絡、備份恢復、病毒防治等。

2）管理：完善安全技術規(guī)范、管理制度、高水平的安全技術人才和高度的工作責任心。建立定期檢查制度，建立網絡安全專人負責制度，建立安全事故及時上報制度，建立定期備份制度，限定口令定期修改制度等。

3）規(guī)劃：對新的技術和產品及時了解，深入調研國內外信息網絡安全的狀況，了解黑客技術的進展，在廣泛融合的基礎上作出前瞻性規(guī)劃。

5技術手段保護

域名服務器可以根據(jù)對解析流量來源、目的地或端口的監(jiān)控，使用分組過濾、建立訪問控制列表等手段來限制或拒絕用戶對域名服務器的訪問。安全加固DNS的運行環(huán)境，內核安全優(yōu)化，升級到最新的補丁程序，關閉無關的進程和端口，配置防病毒模塊等。防火墻劃分不同區(qū)域，設置嚴格的訪問策略，配置ACL、ACLlonging，啟動DoS、DDoS功能。

6安全協(xié)議

針對權威服務器的主服務器和從服務器的之間的同步信息的完整性和可靠性安全可以通過事務簽名（TransactionSignature）協(xié)議來保障，對于緩存服務器從權威服務器獲取的查詢結果的完整性和可靠性可以由域名系統(tǒng)安全擴展（DNSSecurity）來保障。

7域名信息同步

為確保三地災備（數(shù)據(jù)）中心在對同一解析請求時，返回相同的結果，保障域名服務器提供穩(wěn)定可靠的服務，域名服務器之間必須具有對域名文件和策略文件安全的信息同步機制。

部署在三地災備（數(shù)據(jù)）中心的域名服務器相互之間的域名記錄信息能夠采用自動同步模式，使得三地災備（數(shù)據(jù)）中心的域名服務器都擁有全網的域名信息記錄，能夠實現(xiàn)三地災備（數(shù)據(jù)）中心域名解析服務的平臺化、同步化。

三地災備（數(shù)據(jù)）中心的權威域名服務器之間在建立同步關系時，必須設置為同一組，組內所有域名服務器實時校驗域名文件和策略文件的時間戳，任一域名服務器中一旦有文件時間變更，則能自動啟動同步機制，將信息同步至其他權威域名服務器。權威域名服務器組能夠和某公司統(tǒng)一時間源進行同步。

8結束語

目前公司的權威域名服務器TTL值設置為24小時，意味著如果應用業(yè)務是基于域名方式訪問的，當應用業(yè)務地址發(fā)生變化時，客戶端最壞情況下需要48小時才會訪問到正確的地址。

如現(xiàn)階段集中部署后的某A業(yè)務平臺對于RTO要求為30分鐘，B業(yè)務系統(tǒng)的RTO要求為4小時，域名服務系統(tǒng)對于A業(yè)務平臺的域名記錄，緩存時間TTL值需要設置在15分鐘以內才可以滿足RTO要求，而對于B業(yè)務系統(tǒng)，緩存時間TTL值則需要設置為2小時才能滿足其RTO要求。

統(tǒng)一域名服務系統(tǒng)將具備能夠針對不同業(yè)務系統(tǒng)不同域名記錄的信息生存期TTL值進行靈活設定的功能，在同一臺權威DNS服務器里，既可以將A業(yè)務平臺的域名記錄緩存時間TTL值設置為15分鐘，也可以將B業(yè)務系統(tǒng)的域名記錄緩存時間TTL值設置為2小時，滿足應用級災備建設的開展對應用切換時間的需求，達成業(yè)務系統(tǒng)RTO指標。