建設企業統一域名服務系統是大勢所趨

文｜劉晨光

建設企業統一域名服務系統是大勢所趨

文｜劉晨光

域名是應用服務器的身份標識，便于他人識別和檢索某一企業、組織等的信息資源，從而更好的實現網絡資源的共享。

從技術角度看,DNS解析是互聯網絕大多數應用的實際尋址方式；域名技術的再發展、以及基于域名技術的多種應用，豐富了互聯網應用和協議。從資源角度看,域名是互聯網上的身份標識，是不可重復的唯一標識資源； 互聯網的全球化使得域名成為標識一國主權的國家戰略資源。

隨著IT基礎架構調整，將目前的內網、外網等整合成功能獨立又緊密聯系的統一網絡平臺，已成為當前企業網絡的大勢所趨，因此非常有必要在內外網融合架構的基礎上，設計、搭建一套內外網統一域名服務系統。

一、當前現狀

一個域名只能被注冊一次，因此互聯網上的域名是稀缺資源，由于可以利用企業品牌/名稱作為域名，因此域名和品牌之間也就形成了一定的關聯，因此才出現了所謂的搶注域名。

域名是一種寶貴的資源，被稱為“企業的網上商標”。全球互聯網搜索巨頭google以百萬美元巨資買回了幾年前被被人搶注的域名google.com.cn和google.cn

內外網統一域名系統

長期以來，大部分企業沒有一套完整的域名體系，企業內網幾乎無域名服務，各應用系統主要使用IP地址登陸，而外網則是采取單個域名單個申請，單個備案導致一些重要項目審批流程復雜，甚至災難備份等重要功能無法實現。

二、域名系統規劃方案

1. 域名注冊

當前很多企業域名使用不當的情況普遍存在：一．域名與公司名稱、企業品牌毫不相關；二．域名長而且雜,晦澀難記；三．后綴使用不當。

企業成立之初，就應及時以企業名稱、品牌或商標注冊域名；國際域名com是企業在網絡上的最主要標志，應為首選，其次國家級域名cn最好也應該保護，其它后綴依據各企業實際需要而定，不能一概而論。有條件的企業，建議對域名進行防御性注冊。域名注冊遵循“先申請先注冊，誰注冊誰擁有”原則。域名一旦注冊成功，申請人即享有該域名的專屬權力，允許自由買賣。

2. 域名備案

備案是指將您的網站在工信部系統中進行登記，相當于給網站做實名認證。域名備案的目的就是為了防止在網上從事非法的網站經營活動，打擊不良互聯網信息的傳播，經過域名備案，該域名即可通過運營商的域名服務器被查詢并解析到。

3. 域名設計原則

為達到上述目標要求，在DNS架構設計中，應始終堅持以下原則：

⊙ 高可靠性

DNS的穩定可靠是應用系統正常運行的關鍵保證，在DNS設計中應選用已規模商用的高可靠性產品或軟件，合理設計DNS架構，制訂可靠的網絡備份策略。

⊙ 標準開放性

支持國際上通用標準的網絡協議(如TCP/IP)、采用客戶端與DNS服務器通訊采用UDP協議53端口，DNS服務器開啟遞歸和迭代查詢，服務器之間通訊采用TCP協議53端口。

⊙ 安全可靠性

通過統一認證平臺和網絡中IPS,IDS安全產品，DNS服務器可采用負載均衡方式對外服務。

⊙ 靈活性及可擴展性

根據未來業務的增長和變化，可實現域名層級擴展、權限分配等靈活及擴展性。

⊙ 先進性

必須采用業界領先的成熟技術模式，使得本次項目的DNS系統在5-10年滿足發展需求。

三、統一域名系統設計方案

隨著信息技術的發展，為適應當前上網更加便捷的用戶需求，企業網絡架構逐漸由內網、外網隔離的狀態整合成為功能獨立又緊密聯系的內外網融合的網絡架構。

1.內外網統一域名系統

采用內外網相同的域名體系，建設兩套DNS系統，內網域名受公有域名的命名制約，搭建好的內網域名系統和互聯網域名系統獨立又統一。

2. 域名層級

域名體系總體架構采用樹狀層次劃分，實行分層管理，可以橫向縱向進行擴展，橫向為二級域名、三級域名或子域名每層可以申請設計多個域名名稱，縱向為每層域名可再進行授權子域名。

3. 域名備份

首先需要搭建頂級域名服務器，頂級DNS服務器可由多臺組成，分別為主DNS系統,輔DNS系統，主輔DNS實現同步、修改、起到冗余功能。主DNS負責添加相關DNS記錄,輔DNS復制主DNS數據的功能，不能添加DNS記錄。

4. 域名實現技術

對于技術的實現可以采用業內公認的Bind9軟件或專業的DNS設備實現，通過每層多臺部署實現高可用性，頂級域名通過專業的DNS設備搭建，保證可靠性、安全性。

四、域名系統的安全

一般來說，自建的DNS域名系統很少能抵御住針對DNS的攻擊。目前常見的域名攻擊方式主要有域名劫持和分布式拒絕服務攻擊(DDOS)等。一般來說企業的出口帶寬較小（10M、50M、100M等）服務器處理能力低、數量少，同時不具備流量清洗等抗攻擊手段，所以以企業的網絡處理和保障能力來說，一旦遭到DDOS攻擊企業的DNS系統必將癱瘓。

1. DNS硬件可用性

⊙采用專業硬件負載均衡設備和多臺服務器對客戶提供服務。

⊙針對無硬件負載均衡設備只是單獨服務器設備，如單臺的PC服務器做域名設備時，采用主輔DNS的辦法，即2臺DNS設備，主DNS向輔DNS進行同步，當主DNS宕機時，客戶端可以通過輔DNS進行解析。

⊙針對支持H A的域名設備，部分設備采用HA的方式，如F5一類的設備，可以把兩臺做成HA，HA是一個高可用的整體，HA中的設備只要有一臺工作正常，域名系統都可以正常工作。

2. 網絡層與系統可用性

⊙在通信層DNS服務器只開通UDP 53 、TCP 53工作端口，管理方式采用https,SSH其他加密方式進行登陸。

⊙對于windows平臺的DNS系統通過定期補丁更新加強防護，專業的DNS設備可升級最新的OS。

⊙對于linux平臺的DNS可通過升級內核、通過自身的IPtable加強自身安全。

⊙通過網內的防火墻、IPS,IDS硬件安全產品進行一些DNS攻擊防御。

⊙采用獨立的IP網段，防止服務器或客戶端與DNS設備的沖突，ARP廣播包的沖擊。

⊙DNS在網絡中可定義DNS區域防護相關規則，保護DNS區域的安全性。

3. DNS服務器遭受攻擊應急預案

⊙生產中心搭建冷備DNS服務器設備不接入網絡，當生產中DNS出現故障暫時無法恢復，可啟用冷備DNS設備，完成業務訪問的解析臨時需求。

⊙在啟用冷備DNS設備時，通過網絡中部署的IDS,IPS設備或借助其他手段查找攻擊源頭，并進行阻止攻擊。

⊙用戶PC設置兩個以上的DNS服務器地址，分別為生產中心主DNS和輔DNS地址和災備中心的DNS服務器地址，任何一臺DNS出現故障，客戶端會自動尋找輔DNS解析。

⊙ 對DNS服務器數據定期進行備份，一旦出現網絡攻擊威脅或硬件故障，可通過備份恢復應急處理。

（作者單位：新華社技術局）