信息服務“巧備案”

■

引言

為了加強CERNET信息管理和促進互聯網健康發展，CERNET網絡中心要求各CERNET接入單位自行“上報ICP備案信息”及“上報本單位上聯CERNET的網關信息”。盡管只涉及到學校一級域名、特殊域名和IP地址的上報備案，但作為學校信息業務主管部門的網絡中心，仍需負責對校園網所有對外發布信息進行控制。為此，學校網絡中心應該對校園網服務器做信息服務備案，監管好校園網的信息來源，為CERNET的健康發展盡一份責任。

服務器可以基于雙棧技術搭建，配置靜態IPv4/IPv6地址，為了便于訪問資源，有些還提供域名。信息服務備案就是針對這些IP地址和域名來進行。

圖1 用戶管理系統入網管理界面

我們校園網通過一臺邊界防火墻與CERNET互聯，防火墻放行與內網客戶有關報文，限制接收外網服務請求報文，放行內網服務回應報文，也即校園網用戶可以訪問外網，但只有備案信息才允許對外發布。要實現這些功能，就得在該防火墻上配置合適的ACL來實施相應的訪問控制策略，一般網站域名由校園網DNS做域名解析，某些特殊網站域名允許由其他服務提供商DNS做域名解析。也就是說，這里的“備案”除了進行服務器資料登記與管理外，還要進行相關網絡設備的命令配置。

備案過程

我校網絡中心服務器備案過程大致如下：

當用戶要對校外提供信息服務時，先向網絡中心提出申請，填寫校園網服務器資料登記表，表中內容包括所屬部門、管理員姓名、聯系電話、E－Mail、放置地點、服務器的IPv4/IPv6地址、主機域名、信息服務類型（使用TCP/UDP端口號表示）等，然后交由本部門（部、處、學院）領導審批；部門領導加上審批意見、簽名和日期、并蓋上公章表示同意；用戶將獲得“同意”的登記表交到網絡中心，辦理服務器備案手續。

注：校園網為用戶提供二級域名注冊，不建議在其他服務提供商那里注冊個性化域名，否則要自行去CERNET備案，若不然CERNET會對沒有備案的域名所對應的IP地址進行過濾。

服務部（前臺）收到登記表后，交由業務主管審核，復印一份主管審核過的登記表交給運維部，并將該登記表原件存檔。

運維部（后臺）在接到服務器備案請求后，依照既定的備案策略在校園網邊界防火墻上做相應的ACL配置、在DNS服務器上做相應的域名解析配置，之后回復前臺。

前臺收到后臺完成備案配置的回復后，通過電話或電子郵件讓用戶確認備案是否生效。

備案過的服務器，每年都要例行年審，過期不辦理的一律視作自動注銷。

在進行信息服務備案時，前臺負責處理政策性方面的工作，后臺負責技術性方面的工作，整個過程要求前臺、后臺相互配合，多人參與共同完成。

解決方案

本方案采用的技術路線是，對原有的用戶管理系統進行修改，增加信息服務備案功能，使前臺可以按目前已定型的用戶管理模式來進行校園網服務器資料登記表的數據錄入與管理，并將后臺的技術性工作交由perl腳本程序自動完成，而外置的這些腳本程序定時查詢該系統相關數據表，判斷是否有等待受理的信息服務需要進行ACL和DNS的相關配置。

在申請信息服務備案時，一定是先按校園網客戶身份來申請IP地址，再在此基礎上進行與信息服務相關的處理。目前，我們使用的用戶管理系統是基于Oracle自主開發的，用于IPv4地址分配與管理，可實現用戶辦理入網時所需的受理、變更、查詢和統計等功能（如圖1），并基于該系統相關數據表通過第三方程序對用戶實行網絡接入控制，例如，對學生用戶采用802.1X認證，對其他用戶采用IP與MAC一對一綁定。由于IPv6還處于試用階段，沒有對用戶做任何接入控制，可以免費使用，但利用IPv6提供的信息服務同樣要加以限制。

網絡中心規定，對外提供信息服務的用戶必須是單位用戶，其IP地址是固定不變的。原有的用戶管理系統所處理的數據項屬于IP地址的客戶屬性。顯然，IP地址的服務器屬性除了包含這些客戶屬性外，還要有域名、信息服務類型和受理時間等數據項。為了能夠按原有的用戶管理架構進行信息服務備案管理，可以對該系統加以改進，通過增加域名、信息服務類型和受理時間等數據項，仍采用相同的操作界面，提供備案管理的受理、變更、查詢和統計等功能。

因為不是所有的IP地址都需要服務器屬性，為了減少數據冗余，不變動原來數據庫的客戶數據表結構，再創建一個服務器數據表，其表結構包括IPv4、IPv6、域名、TCP端口號列表、UDP端口號列表、受理日期、使用狀態等字段。令兩表中的IPv4地址字段為關鍵字字段，用于關聯兩個數據表，這樣就可以通過服務器數據表來判斷該IP地址提供了哪些服務。為了使該系統對客戶的管理功能同樣適用于管理服務器，可以將其處理方法移植到對服務器的管理上。這里的IPv6信息服務只適用于采用雙棧技術搭建的、配置有IPv4地址的服務器。

圖2 IPv4 ACL配置

圖3 IPv6 ACL配置

ACL配置說明

根據信息等保要求，邊界防火墻使用國產華為防火墻。在該防火墻上通過ACL控制外網用戶訪問內網服務，針對網絡中存在的雙棧服務器，分別配置IPv4 ACL和IPv6 ACL。假定用戶申請備案服務器的IPv4/6地址分別是202.116.65.123和2001:250:3002:2015::123，提供WWW服務，允許所有外網用戶訪問，則在邊界防火墻連接外網接口的入方面上應用ACL，其中IPv4 ACL配置如圖2所示。

相應地，IPv6 ACL配置如圖3所示。

在ACL配置處理時，ACL配置程序依據備案數據，按格式（1）和（3）分別生成相應的IPv4 ACL和IPv6 ACL表項后，遠程登錄到防火墻，在IPv4 ACL配置模式中，將ACL新表項插入到ACL中最后一條拒絕所有流量的rule deny ip表項之前。如此重復處理，讓該程序向防火墻逐條輸入新的ACL表項，即時生效。刪除指定的ACL表項的處理過程類似，不再贅述。相同做法也適用于配置IPv6 ACL，但要注意，如格式（2）所示的表項是不能缺少的，因為IPv6的NDP（鄰居發現協議）使用ICMP報文，需要在ACL中放行ICMP報文。

域名解析配置說明

校園網DNS負責解析在校內注冊的網站域名，因為校園網一級域名sysu.edu.cn已在CERNET備案，所以將校園網一級域名作為其后綴的網站域名都是合法的。校園網運行一臺主DNS服務器和多臺輔助DNS服務器，假定為前面提到的那臺服務器提供test.sysu.edu.cn域名，則需更改主DNS服務器的正、反向域名解析區域文件。

對應zone "sysu.edu.cn"的正向解析區域文件是sysu.zone，如圖4所示。

對應zone "65.116.202.ip-addr.arpa"的IPv4反向解析區域文件是202.116.65.revzone，如圖5所示。

對 應zone "5.1.0.2.2.0.0.3.0.5.2.0.1.0.0.2.ipv 6.int"的IPv6反向解析區域文件是2001:250:3002:2015.revzone。

在域名解析配置時，DNS配置程序遠程登錄到雙棧主DNS服務器，打開正、反向域名解析區域文件，按（5）-（8）格式分別在相應文件中添加正反解析域名記錄項。這三個文件的頭部格式相同，其中Serial域的值是DNS配置序列號，每次更改記錄后，應增大Serial值來觸發輔助DNS服務器與其同步。完成文件編輯后，重啟DNS服務器守護進程named，使修改過的配置生效。

結束語

圖4 正向解析區域文件

圖5 IPv4反向解析區域文件

該方案從實際應用出發，對原有用戶管理系統加以改造，使之具有信息服務備案的管理功能，通過腳本程序定時檢測該系統的備案狀態，并根據檢測結果進行ACL和DNS相關配置，讓自動化處理盡可能貫穿整個信息服務備案過程，減輕工作強度、提高工作效率。

征稿函

欄目定位：

基礎設施管理包括對硬件、軟件和人力的使用、綜合與協調，以便對網絡資源進行監視、測試、配置、分析、評價和控制。

同時也征集您在網絡管理方面遇到的問題、疑惑。

文章選材（不限于以下議題，可自由發揮）：

1.設備運維：介紹、分析硬件設備的維修、保養、管理、配置、優化的經驗技巧。

2.網管軟件：介紹網絡管理工作中相關的工具軟件，使用方法、實現目的、網絡情況的前后對比效果。

3.網管經驗：在以往的網絡管理工作中的設計、實施、經驗教訓。

4.機房與數據中心（實用性）：對企業和數據中心中的IT基礎設施以及硬件設備的維修、保養、管理、配置、優化的經驗技巧。文章強調實用性，可操作性和可靠性，有總結的內容。

5.機房與數據中心（概念性）：機房與數據中心中UPS、布線、路由交換、監控管理、機柜機架、空調制冷、規章制度等的說明、總結與展望，可對現有情況進行總結和對新技術、新產品的評定、評測等。投稿信箱：micsun@365master.com