刘宝新

摘要：按照公司信息化建设的要求，A、B、C三地灾备（数据）中心于2011年5月建成投运。完成了公司集中式信息系统数据级灾备的建设，实现了公司各单位信息系统数据的集中异地实时备份。公司的各项业务都有独立的域名，客户端都是通过域名进行业务访问及操作，域名服务系统在整个灾备体现中占据着无可替代的功能。

该文从域名服务安全部署出发，结合公司的灾备特点，采用集中部署的解决方案，针对域名服务功能、安全等方面难题进行了设计，从而确定了整体集中部署的设计方案，为公司灾备网络整体功能提供了有效的支撑。

关键词：智能解析；统一部署；安全防护；运行管理

中图分类号：TP311文献标识码：A文章编号：1009-3044（2012）36-8628-03

按照某公司信息化建设的要求，三地灾备（数据）中心于2011年5月建成投运。随着信息系统集中部署、数据中心迁移、应用级灾备建设等信息化工作的相续开展，三地灾备（数据）中心逐渐转变为集中式数据中心，所有用户将通过网络访问信息系统完成生产、经营、管理等活动。在此过程中，绝大多数都以域名方式完成对信息系统的访问，网络核心服务域名解析系统的重要性愈显突出。

1需求分析

根据应用级灾备工作的规划，新建DNS系统应包括：

1.1功能需求

域名服务系统目前已经成为某公司绝大多数信息系统应用的实际寻址方式，应用访问方式都基于域名系统进行。

随着应用级灾备建设的开展，对于应用系统基于域名技术的多种应用以实现应用切换，将是完成应用级灾备建设的重要保障。

根据灾备建设的需求，将在目前域名服务系统的整体架构上，进行适应性调整建设，以期确保在信息系统应用切换时，可以提供支撑服务，减少切换时间，保障客户对业务应用系统安全、稳定、高效的访问。

1.2可靠性需求

目前某公司根域名服务系统和二级域名服务系统基本为主从架构，物理部署在同一生产机房内，仅仅具备本地的高可用性。在面对极端灾害情况下，区域节点如总部、省市公司一旦发生域名服务系统中断，将会导致客户无法正常访问信息系统。

在应急或者演练情况下，客户需要访问切换到灾备（数据）中心的业务系统，在省市公司生产中心域名解析系统中断服务时，客户将无法通过第二网络汇聚点对灾备（数据）中心业务访问请求。

为确保客户在任何情况下对于信息系统访问的不中断，需要完善域名服务系统的部署架构，提升可靠性，以保障为客户提供不间断的域名服务能力。

1.3运行管理需求

目前总部、各分部和各省市公司均已建设了域名服务系统，并和总部的根域进行了级联。对于域名地址的变更管理采用分布式管理，由于开源软件命令行操作的不便捷性，所有操作均需要命令行操作，操作过程中无错误检测功能，容易发生人为错误，对于各个节点运维人员有较高要求.

对于Qps监控、审计、访问统计等域名服务运行状态，无分析和预警措施，缺乏域名服务应用的监测机制，无法对运维人员实时展现。

按公司信息系统建设和运行工作的集约化发展要求，结合未来三地集中式数据中心对于域名服务的需求，需要对域名服务系统进行统一的整体管理。

1.4安全需求

随着网络技术的发展，域名系统面临的安全威胁和风险不断加大，不论是2009年暴风影音的5.19事件，还是2010年百度的DNS域名记录被劫持事件，均导致大范围网络故障，使得高达数省的用户无法进行网络访问。由于对DNS服务器的安全性问题不够重视，致使类似安全事件时有发生。

某公司的大量客户端机器中安装了诸如暴风影音等视频播放软件，此类软件会定时、频繁的发送大量无效解析请求，加重了域名系统的解析压力。

域名服务系统是某公司网络的一项核心服务、中枢神经系统，事关网络的安全与稳定。域名系统的故障会导致信息系统应用的访问中断。针对网络攻击、域名劫持等威胁，需要加强域名系统安全防护，建立完善域名安全技术手段，确保域名解析正常，域名系统的安全运行。

2架构设计

统一域名项目的整体架构如下图1所示。

2.1内网部署

1）本方案中根域名服务系统同时负责管理配置解析顶级域abcd.com.cn和各网省授权子域。三地灾备（数据）中心DNS服务器将作为内网的权威DNS服务器，提供公司的所有的域名地址解析服务。

2）省市公司、直属单位的原有域名服务器更改为forward工作模式，仅作为缓存服务器使用，物理设备继续使用原有服务器设备。

3）根域名服务系统物理设备部署在A、B、C三地灾备（数据）中心，采用主辅架构。三地灾备（数据）中心权威DNS服务器之间实现信息实时同步，当单一灾备（数据）中心停止域名解析服务时，其他灾备（数据）中心权威DNS服务器可以继续为全网用户提供不间断服务，提升域名解析系统的高可靠性。

4）用户可以通过配置所属灾备（数据）中心权威DNS服务器为自己的备选DNS服务器，以保障在所属生产中心主汇聚点网络不通的情形下，可以通过第二网络汇聚点访问业务。

2.2内网解析流程

内网用户请求域名地址解析时，首先向用户本地的DNS缓存服务器提出域名解析申请，本地缓存DNS首先在自己的缓存区进行查找，查看是否有相关域名的A记录，如果有直接将域名地址解析给用户。如果没有将向三地灾备（数据）中心权威DNS服务器发送请求，请求相关的域名地址解析，权威DNS服务器应答请求，将解析结果通知给用户本地缓存DNS，用户本地缓存DNS将解析结果通知给用户。

首次解析记录结果将会被存放在缓存DNS服务器的缓存内，记录在缓存内存的持续时间是由权威DNS服务器设置的TTL值来决定的，当持续时间到达了规定的TTL时间后，本地缓存DNS服务器会自动的将此记录删除，并且不会主动的发起新的请求，只有当再等到用户请求此记录相对的域名地址解析时，本地缓存DNS服务器才会重新发起请求。

2.3外网部署

1）在A灾备（数据）中心部署两台DNS服务器，用来替换原有外网权威DNS服务器，负责解析权威域，同时也负责解析授权子域。

2）向中国互联网络信息中心（CNNIC）再申请一条NS记录，并将相应的DNS服务器部署在B灾备（数据）中心，和原有部署在A灾备（数据）中心的两台外网权威服务器组成一个分布式部署的异地高可用。

3）省市公司、直属单位原有外网DNS服务器维持原状。

2.4外网解析流程

外网用户请求域名地址解析时，首先用户请求会提交到本地ISP供应商提供的DNS中，如果DNS有相关记录时，直接返回结果，如果没有，ISP供应商提供的DNS会直接向中国互联网络信息中心（CNNIC）提供的根域DNS服务器提出申请，根域DNS服务器会将abcd.com.cn的四条NS记录信息随机选择一条传递给ISP供应商的DNS，ISP供应商的DNS根据NS记录找到相应的公司外网权威DNS服务器，由公司权威DNS服务器进行域名地址解析并将解析结果通知给ISP供应商的DNS，后者将解析结果通知给用户，完成解析过程。

由于目前互联网对于域名解析系统缺乏统一的标准和规范，ISP供应商的DNS设置也各不相同，可能在解析过程中返回给客户端的缓存时间并不遵循公司外网权威DNS服务器的TTL值设定，无法控制域名解析记录的缓存时间。

3系统设计

3.1域名功能

域名服务系统集中部署在灾备（数据）中心的内外网权威服务器具备以下功能：

1）能够处理来自某公司内部网络和外部互联网的任何客户端的查询请求；

2）权威服务器主辅之间实现安全的区数据传输；

3）支持DNS安全协议扩展（DNSSEC）；

4）同时具有IPv4和IPv6两个协议栈，可以处理来自IPv4和IPv6网络中的客户端域名查询请求。

域名服务系统中部署在省市公司、直属单位和地市公司的缓存服务器具备以下功能：

4）能够处理来自某公司区域内部网络和外部互联网的任何客户端的查询请求；

6）正确执行递归查询过程；

5）能够按照权威服务器返回的信息生存期（TTL）时间进行域名数据缓存。

3.2域名管理

域名服务器集中部署在三地灾备（数据）中心，对于域名记录的管理能够由三地灾备（数据）中心统一管理，也可针对单位建立角色账号，分级分权管理域名记录信息。不同区域的管理员通过自己的用户名登录实现只管理自己的区域的记录，并实现增、添、改功能，并且不会对其他区域的内容造成影响。超级用户admin可以管理所有区域的配置，管理者（admin）可以对附属权限的域进行增删改操作，超级管理员（administrator）可以对全局域进行管理。

3.3安全防护

域名服务器的安全风险主要有DOS（DenialOfService）攻击、域名劫持、域名欺骗、区传输泄密等方面，针对风险主要采取以下几方面手段来进行安全防护。

4加强安全防护体系

1）技术：更新和完善安全工具、软硬件设备、管理平台、监控系统。主要包括安全扫描、评估分析、入侵检测、入侵取证、陷阱网络、备份恢复、病毒防治等。

2）管理：完善安全技术规范、管理制度、高水平的安全技术人才和高度的工作责任心。建立定期检查制度，建立网络安全专人负责制度，建立安全事故及时上报制度，建立定期备份制度，限定口令定期修改制度等。

3）规划：对新的技术和产品及时了解，深入调研国内外信息网络安全的状况，了解黑客技术的进展，在广泛融合的基础上作出前瞻性规划。

5技术手段保护

域名服务器可以根据对解析流量来源、目的地或端口的监控，使用分组过滤、建立访问控制列表等手段来限制或拒绝用户对域名服务器的访问。安全加固DNS的运行环境，内核安全优化，升级到最新的补丁程序，关闭无关的进程和端口，配置防病毒模块等。防火墙划分不同区域，设置严格的访问策略，配置ACL、ACLlonging，启动DoS、DDoS功能。

6安全协议

针对权威服务器的主服务器和从服务器的之间的同步信息的完整性和可靠性安全可以通过事务签名（TransactionSignature）协议来保障，对于缓存服务器从权威服务器获取的查询结果的完整性和可靠性可以由域名系统安全扩展（DNSSecurity）来保障。

7域名信息同步

为确保三地灾备（数据）中心在对同一解析请求时，返回相同的结果，保障域名服务器提供稳定可靠的服务，域名服务器之间必须具有对域名文件和策略文件安全的信息同步机制。

部署在三地灾备（数据）中心的域名服务器相互之间的域名记录信息能够采用自动同步模式，使得三地灾备（数据）中心的域名服务器都拥有全网的域名信息记录，能够实现三地灾备（数据）中心域名解析服务的平台化、同步化。

三地灾备（数据）中心的权威域名服务器之间在建立同步关系时，必须设置为同一组，组内所有域名服务器实时校验域名文件和策略文件的时间戳，任一域名服务器中一旦有文件时间变更，则能自动启动同步机制，将信息同步至其他权威域名服务器。权威域名服务器组能够和某公司统一时间源进行同步。

8结束语

目前公司的权威域名服务器TTL值设置为24小时，意味着如果应用业务是基于域名方式访问的，当应用业务地址发生变化时，客户端最坏情况下需要48小时才会访问到正确的地址。

如现阶段集中部署后的某A业务平台对于RTO要求为30分钟，B业务系统的RTO要求为4小时，域名服务系统对于A业务平台的域名记录，缓存时间TTL值需要设置在15分钟以内才可以满足RTO要求，而对于B业务系统，缓存时间TTL值则需要设置为2小时才能满足其RTO要求。

统一域名服务系统将具备能够针对不同业务系统不同域名记录的信息生存期TTL值进行灵活设定的功能，在同一台权威DNS服务器里，既可以将A业务平台的域名记录缓存时间TTL值设置为15分钟，也可以将B业务系统的域名记录缓存时间TTL值设置为2小时，满足应用级灾备建设的开展对应用切换时间的需求，达成业务系统RTO指标。