DNS建設(shè) 在Internet上計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備使用IP地址來(lái)表示的,但I(xiàn)P" />
您的位置: 首頁(yè) > 項(xiàng)目案例 > 弱電機(jī)房 > 企業(yè)型機(jī)房 > DC基礎(chǔ)系統(tǒng)建設(shè)
IDC在前期建設(shè)中,首要任務(wù)之一是建設(shè)其基礎(chǔ)服務(wù)系統(tǒng),IDC的基礎(chǔ)系統(tǒng)主要有DNS系統(tǒng)、目錄服務(wù)系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、安全系統(tǒng)等。
DNS建設(shè)
在Internet上計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備使用IP地址來(lái)表示的,但I(xiàn)P地址很難記憶,所以采用和IP地址相對(duì)應(yīng)的域名(Domain)來(lái)表示主機(jī)和網(wǎng)絡(luò),DNS(Domain Name Service)即域名服務(wù)就是把主機(jī)名字和IP地址作相互匹配,供Internet上用戶以主機(jī)域名的方式相互查詢。DNS是向用戶提供域名查詢或域名登錄服務(wù),其與Internet中的其它域名服務(wù)器形成全球域名服務(wù)體系。通常DNS服務(wù)器采用兩臺(tái)或多臺(tái)的方式來(lái)運(yùn)行,其中一臺(tái)主服務(wù)器(Primary),其它為次服務(wù)器(Second),當(dāng)主服務(wù)器不能工作時(shí),有任何一臺(tái)次服務(wù)器來(lái)接管其工作,這樣保證了DNS系統(tǒng)運(yùn)行的可靠性,主次服務(wù)器之間采用自動(dòng)信息更新方式。
IDC的DNS系統(tǒng)除了要為IDC自身服務(wù)之外,還要為其客戶提供相應(yīng)的域名定義、為用戶開(kāi)設(shè)虛擬域名服務(wù)等。所以在IDC的DNS服務(wù)器上可能要定義和管理上百個(gè)或更多域名,由于有如此多的域名,其每天接受的查詢量也是相當(dāng)龐大的。
為了保證IDC的DNS域名的可靠性和安全性,我們采用Split DNS技術(shù)來(lái)設(shè)計(jì)IDC的DNS系統(tǒng),即把IDC的DNS系統(tǒng)劃分為內(nèi)部和外部?jī)刹糠?,其中外部DNS系統(tǒng)位于公共服務(wù)區(qū),負(fù)責(zé)IDC正常對(duì)外解析工作,如IDC的Web服務(wù)器、IDC用戶的Web服務(wù)器等解析工作全由外部DNS服務(wù)器來(lái)完成;內(nèi)部DNS系統(tǒng)主要有兩項(xiàng)工作,一是負(fù)責(zé)解析IDC內(nèi)部網(wǎng)絡(luò)的主機(jī),如目錄服務(wù)器、郵件服務(wù)器等,另一工作是負(fù)責(zé)當(dāng)內(nèi)部要查詢Internet上域名時(shí),其把查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部DNS服務(wù)器上,然后由外部DNS服務(wù)器完成查詢?nèi)蝿?wù),返回結(jié)果。由于把DNS系統(tǒng)分內(nèi)外兩部分,Internet上用戶只能看到外部DNS系統(tǒng)中的服務(wù)器,而看不見(jiàn)內(nèi)部的服務(wù)器,而且只有內(nèi)外DNS服務(wù)器之間交換DNS查詢信息,從而保證了系統(tǒng)的安全性。
我們采用兩臺(tái)Sun E420R服務(wù)器作為外部DNS服務(wù)器,兩臺(tái)Sun E420R服務(wù)器作為內(nèi)部DNS服務(wù)器,所有兩臺(tái)服務(wù)器之間以主次方式運(yùn)行,DNS軟件可采用Solaris系統(tǒng)中的,也可使用Internet上公開(kāi)的Bind。具體的服務(wù)器配置如下表所示。
DNS服務(wù)器 | 機(jī)器型號(hào) | 配 置 | 備 注 | |
外部DNS | 主DNS服務(wù)器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk |
|
次DNS服務(wù)器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 1x18.2GB Internal Disk | 可 選 | |
內(nèi)部DNS | 主DNS服務(wù)器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk |
|
次DNS服務(wù)器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk | 可 選 |
安全性建設(shè)
系統(tǒng)安全架構(gòu)的設(shè)計(jì)將包括兩個(gè)方面:防止IDC網(wǎng)絡(luò)外部用戶對(duì)IDC網(wǎng)絡(luò)系統(tǒng)可能的攻擊,以及防止IDC網(wǎng)絡(luò)內(nèi)部各子系統(tǒng)之間可能的攻擊。這兩個(gè)方面所采用的技術(shù)和思路是一致的。
系統(tǒng)安全架構(gòu)將從三個(gè)層次來(lái)考慮:網(wǎng)絡(luò)層、主機(jī)/服務(wù)器系統(tǒng)及應(yīng)用層。
網(wǎng)絡(luò)層的安全主要是防范對(duì)于整個(gè)網(wǎng)絡(luò)的非法訪問(wèn),一般通過(guò)防火墻來(lái)實(shí)現(xiàn)。通過(guò)配置了多級(jí)防火墻,以隔離IDC網(wǎng)絡(luò)各個(gè)組成部分相互之間的非法訪問(wèn)(合法訪問(wèn)可以通過(guò));對(duì)于Internet用戶來(lái)講,如果想非法侵入IDC內(nèi)部網(wǎng)絡(luò),必須突破防火墻的防范。另外,各級(jí)防火墻可采用不同的產(chǎn)品,以提高網(wǎng)絡(luò)整體的安全性。
主機(jī)/服務(wù)器系統(tǒng)的安全是針對(duì)個(gè)別機(jī)器的。除了主機(jī)/服務(wù)器的操作系統(tǒng)自身的安全性之外,目前有多種產(chǎn)品可供選擇,包括SUN公司的Security Manager和CA公司的Unicenter TNG等產(chǎn)品。
應(yīng)用層的安全將從三個(gè)方面來(lái)考慮:增強(qiáng)應(yīng)用服務(wù)器系統(tǒng)的安全;采用身份認(rèn)證機(jī)制,以保證應(yīng)用的可靠性;采用數(shù)據(jù)加密技術(shù)和防病毒軟件,以保證應(yīng)用的安全性。
1.操作系統(tǒng)的安全規(guī)劃
操作系統(tǒng)的安全性建設(shè)應(yīng)是整個(gè)系統(tǒng)安全性建設(shè)的基礎(chǔ)。操作系統(tǒng)的安全性建設(shè)主要包括用戶的管理、超級(jí)用戶的管理、文件系統(tǒng)安全管理、遠(yuǎn)程對(duì)系統(tǒng)的訪問(wèn)等。
用戶管理:對(duì)用戶的管理主要有用戶的賬號(hào)口令管理,設(shè)置用戶賬號(hào)的有效期,用戶賬號(hào)口令的存活期限等。如果需要可以規(guī)定用戶只能在指定的時(shí)間內(nèi)才能登錄系統(tǒng),并對(duì)登錄系統(tǒng)的用戶進(jìn)行審核(audit)。
超級(jí)用戶的管理:嚴(yán)格限制有普通用戶變成超級(jí)用戶(如使用su、rlogin等命令),如果需要可以使用如CA Unicenter TNG這樣的軟件來(lái)控制系統(tǒng)超級(jí)用戶的權(quán)限。
文件系統(tǒng)的安全管理:控制用戶對(duì)系統(tǒng)內(nèi)特殊文件的訪問(wèn)權(quán)限,特別是刪除、移動(dòng)等權(quán)限,對(duì)使用NFS系統(tǒng)可以采用kerberos方式認(rèn)證。
遠(yuǎn)程對(duì)系統(tǒng)的訪問(wèn):封閉系統(tǒng)的telnet、ftp、r-訪問(wèn)(rsh、rlogin、rcp)等功能;但可以對(duì)系統(tǒng)管理員開(kāi)放相應(yīng)的telnet、ftp功能,以便利于對(duì)系統(tǒng)的管理和維護(hù)。
2.防病毒(Anti-Virus)
目前病毒在網(wǎng)絡(luò)和Internet上傳播主要以電子郵件和Web瀏覽的方式傳播,以及內(nèi)部網(wǎng)絡(luò)上員工的共享文件的傳播。防病毒可以分為集中防病毒和分散防病毒兩種方法。集中防病毒的方法是在主要的服務(wù)器上安裝防病毒軟件,此軟件先對(duì)進(jìn)出此服務(wù)器的數(shù)據(jù)進(jìn)行檢查,然后再把通過(guò)檢查的數(shù)據(jù)發(fā)送給客戶;分散防病毒是只在客戶端安裝防病毒軟件,它只檢查進(jìn)出客戶端的數(shù)據(jù)是否有病毒感染。
由于IDC主要為客戶服務(wù),數(shù)據(jù)主要集中在服務(wù)器上,所以在IDC系統(tǒng)的防病毒體系中主要采用集中防病毒方法,但同時(shí)對(duì)一些與服務(wù)器相交戶的內(nèi)部客戶段(如管理客戶段)也采用分散的防病毒方法。集中防病毒主要是對(duì)進(jìn)出的郵件和HTTP流數(shù)據(jù)進(jìn)行防病毒;分散是保護(hù)內(nèi)部網(wǎng)的單個(gè)終端用戶。
3.防火墻(Firewall)
防火墻(Firewall)是保證網(wǎng)絡(luò)安全的重要手段之一,在建設(shè)IDC基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)安全性時(shí),首先是要考慮防火墻的建設(shè)。在Internet/Intranet上,通過(guò)防火墻來(lái)在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制,其目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)的攻擊,隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接,但不妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。
防火墻要完成如下主要功能:
通過(guò)對(duì)IP包的檢查,過(guò)濾對(duì)網(wǎng)絡(luò)安全有潛在威脅的IP數(shù)據(jù)包。
屏蔽對(duì)于網(wǎng)絡(luò)不必要且有安全漏洞的服務(wù),如Telnet、FTP等。
控制從Internet上過(guò)來(lái)的IP數(shù)據(jù)的流向,如數(shù)據(jù)包其目的地址只能是某個(gè)區(qū)域的DNS、WWW等服務(wù)器。
屏蔽對(duì)于某些Internet站點(diǎn)的訪問(wèn)。
完成系統(tǒng)內(nèi)部IP地址到Internet合法IP地址的轉(zhuǎn)換,保證能夠從系統(tǒng)內(nèi)部訪問(wèn)Internet,隱藏內(nèi)部網(wǎng)絡(luò)和主機(jī)的結(jié)構(gòu)。
訪問(wèn)日記,即Access Log。
IDC不僅要建設(shè)自己的防火墻系統(tǒng),同時(shí)也要考慮特定的用戶需要建立起自己的防火墻系統(tǒng),即用需要在其自己的應(yīng)用前增設(shè)相應(yīng)的防火墻系統(tǒng)來(lái)保護(hù)其應(yīng)用的安全(這可根據(jù)用戶的實(shí)際需求再進(jìn)行建設(shè))。
4. 網(wǎng)絡(luò)和系統(tǒng)入侵監(jiān)控
網(wǎng)絡(luò)和系統(tǒng)的入侵檢測(cè)是在網(wǎng)絡(luò)上增加一臺(tái)掃描儀器和在主要服務(wù)器上增加相應(yīng)的防入侵軟件來(lái)實(shí)現(xiàn)。此類防入侵軟件有兩個(gè)主要功能,一個(gè)掃描網(wǎng)絡(luò)和系統(tǒng)上的安全漏洞,以便在網(wǎng)絡(luò)和系統(tǒng)建立初期,就解決好安全問(wèn)題,此功能也屬于安全保護(hù)范圍;另一個(gè)功能是在網(wǎng)絡(luò)和系統(tǒng)運(yùn)行時(shí),監(jiān)控?cái)?shù)據(jù)流,及時(shí)發(fā)現(xiàn)黑客入侵,從而做到防止黑客的入侵。
在IDC系統(tǒng)中,在每個(gè)重要的服務(wù)取得網(wǎng)絡(luò)的入口處安放一個(gè)探測(cè)器,對(duì)每個(gè)進(jìn)出此段網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行檢查探測(cè),當(dāng)其發(fā)現(xiàn)某一個(gè)數(shù)據(jù)流不是正常的數(shù)據(jù)流時(shí),探測(cè)器把此數(shù)據(jù)流截獲住,并向位于管理區(qū)的管理服務(wù)器發(fā)送入侵信息和警告,然后由管理服務(wù)器在做相應(yīng)的防御對(duì)策。
同時(shí)在每個(gè)服務(wù)器上安裝有類似的探測(cè)器,所以當(dāng)黑客入侵服務(wù)器系統(tǒng)時(shí),也是采取上述動(dòng)作。
周經(jīng)理 : 02031601545
廣州市滕達(dá)信息科技有限公司
地址:廣州市天河區(qū)車陂西華大街安樂(lè)里9號(hào)102鋪
咨詢電話:02031601545
售后服務(wù):02031601545
QQ:479501206
郵箱:479501206@qq.com
粵ICP備19051129號(hào) Copyright ? 20162017 廣州市滕達(dá)信息科技有限公司網(wǎng)站地圖