建设企业统一域名服务系统是大势所趋
2015-01-09刘晨光
文|刘晨光
建设企业统一域名服务系统是大势所趋
文|刘晨光
域名是应用服务器的身份标识,便于他人识别和检索某一企业、组织等的信息资源,从而更好的实现网络资源的共享。
从技术角度看,DNS解析是互联网绝大多数应用的实际寻址方式;域名技术的再发展、以及基于域名技术的多种应用,丰富了互联网应用和协议。从资源角度看,域名是互联网上的身份标识,是不可重复的唯一标识资源; 互联网的全球化使得域名成为标识一国主权的国家战略资源。
随着IT基础架构调整,将目前的内网、外网等整合成功能独立又紧密联系的统一网络平台,已成为当前企业网络的大势所趋,因此非常有必要在内外网融合架构的基础上,设计、搭建一套内外网统一域名服务系统。
一、当前现状
一个域名只能被注册一次,因此互联网上的域名是稀缺资源,由于可以利用企业品牌/名称作为域名,因此域名和品牌之间也就形成了一定的关联,因此才出现了所谓的抢注域名。
域名是一种宝贵的资源,被称为“企业的网上商标”。全球互联网搜索巨头google以百万美元巨资买回了几年前被被人抢注的域名google.com.cn和google.cn
内外网统一域名系统
长期以来,大部分企业没有一套完整的域名体系,企业内网几乎无域名服务,各应用系统主要使用IP地址登陆,而外网则是采取单个域名单个申请,单个备案导致一些重要项目审批流程复杂,甚至灾难备份等重要功能无法实现。
二、域名系统规划方案
1. 域名注册
当前很多企业域名使用不当的情况普遍存在:一.域名与公司名称、企业品牌毫不相关;二.域名长而且杂,晦涩难记;三.后缀使用不当。
企业成立之初,就应及时以企业名称、品牌或商标注册域名;国际域名com是企业在网络上的最主要标志,应为首选,其次国家级域名cn最好也应该保护,其它后缀依据各企业实际需要而定,不能一概而论。有条件的企业,建议对域名进行防御性注册。域名注册遵循“先申请先注册,谁注册谁拥有”原则。域名一旦注册成功,申请人即享有该域名的专属权力,允许自由买卖。
2. 域名备案
备案是指将您的网站在工信部系统中进行登记,相当于给网站做实名认证。域名备案的目的就是为了防止在网上从事非法的网站经营活动,打击不良互联网信息的传播,经过域名备案,该域名即可通过运营商的域名服务器被查询并解析到。
3. 域名设计原则
为达到上述目标要求,在DNS架构设计中,应始终坚持以下原则:
⊙ 高可靠性
DNS的稳定可靠是应用系统正常运行的关键保证,在DNS设计中应选用已规模商用的高可靠性产品或软件,合理设计DNS架构,制订可靠的网络备份策略。
⊙ 标准开放性
支持国际上通用标准的网络协议(如TCP/IP)、采用客户端与DNS服务器通讯采用UDP协议53端口,DNS服务器开启递归和迭代查询,服务器之间通讯采用TCP协议53端口。
⊙ 安全可靠性
通过统一认证平台和网络中IPS,IDS安全产品,DNS服务器可采用负载均衡方式对外服务。
⊙ 灵活性及可扩展性
根据未来业务的增长和变化,可实现域名层级扩展、权限分配等灵活及扩展性。
⊙ 先进性
必须采用业界领先的成熟技术模式,使得本次项目的DNS系统在5-10年满足发展需求。
三、统一域名系统设计方案
随着信息技术的发展,为适应当前上网更加便捷的用户需求,企业网络架构逐渐由内网、外网隔离的状态整合成为功能独立又紧密联系的内外网融合的网络架构。
1.内外网统一域名系统
采用内外网相同的域名体系,建设两套DNS系统,内网域名受公有域名的命名制约,搭建好的内网域名系统和互联网域名系统独立又统一。
2. 域名层级
域名体系总体架构采用树状层次划分,实行分层管理,可以横向纵向进行扩展,横向为二级域名、三级域名或子域名每层可以申请设计多个域名名称,纵向为每层域名可再进行授权子域名。
3. 域名备份
首先需要搭建顶级域名服务器,顶级DNS服务器可由多台组成,分别为主DNS系统,辅DNS系统,主辅DNS实现同步、修改、起到冗余功能。主DNS负责添加相关DNS记录,辅DNS复制主DNS数据的功能,不能添加DNS记录。
4. 域名实现技术
对于技术的实现可以采用业内公认的Bind9软件或专业的DNS设备实现,通过每层多台部署实现高可用性,顶级域名通过专业的DNS设备搭建,保证可靠性、安全性。
四、域名系统的安全
一般来说,自建的DNS域名系统很少能抵御住针对DNS的攻击。目前常见的域名攻击方式主要有域名劫持和分布式拒绝服务攻击(DDOS)等。一般来说企业的出口带宽较小(10M、50M、100M等)服务器处理能力低、数量少,同时不具备流量清洗等抗攻击手段,所以以企业的网络处理和保障能力来说,一旦遭到DDOS攻击企业的DNS系统必将瘫痪。
1. DNS硬件可用性
⊙采用专业硬件负载均衡设备和多台服务器对客户提供服务。
⊙针对无硬件负载均衡设备只是单独服务器设备,如单台的PC服务器做域名设备时,采用主辅DNS的办法,即2台DNS设备,主DNS向辅DNS进行同步,当主DNS宕机时,客户端可以通过辅DNS进行解析。
⊙针对支持H A的域名设备,部分设备采用HA的方式,如F5一类的设备,可以把两台做成HA,HA是一个高可用的整体,HA中的设备只要有一台工作正常,域名系统都可以正常工作。
2. 网络层与系统可用性
⊙在通信层DNS服务器只开通UDP 53 、TCP 53工作端口,管理方式采用https,SSH其他加密方式进行登陆。
⊙对于windows平台的DNS系统通过定期补丁更新加强防护,专业的DNS设备可升级最新的OS。
⊙对于linux平台的DNS可通过升级内核、通过自身的IPtable加强自身安全。
⊙通过网内的防火墙、IPS,IDS硬件安全产品进行一些DNS攻击防御。
⊙采用独立的IP网段,防止服务器或客户端与DNS设备的冲突,ARP广播包的冲击。
⊙DNS在网络中可定义DNS区域防护相关规则,保护DNS区域的安全性。
3. DNS服务器遭受攻击应急预案
⊙生产中心搭建冷备DNS服务器设备不接入网络,当生产中DNS出现故障暂时无法恢复,可启用冷备DNS设备,完成业务访问的解析临时需求。
⊙在启用冷备DNS设备时,通过网络中部署的IDS,IPS设备或借助其他手段查找攻击源头,并进行阻止攻击。
⊙用户PC设置两个以上的DNS服务器地址,分别为生产中心主DNS和辅DNS地址和灾备中心的DNS服务器地址,任何一台DNS出现故障,客户端会自动寻找辅DNS解析。
⊙ 对DNS服务器数据定期进行备份,一旦出现网络攻击威胁或硬件故障,可通过备份恢复应急处理。
(作者单位:新华社技术局)