IDC在前期建設(shè)中����,首要任務(wù)之一是建設(shè)其基礎(chǔ)服務(wù)系統(tǒng)��,IDC的基礎(chǔ)系統(tǒng)主要有DNS系統(tǒng)����、目錄服務(wù)系統(tǒng)����、數(shù)據(jù)備份系統(tǒng)��、安全系統(tǒng)等�����。
DNS建設(shè)
在Internet上計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備使用IP地址來(lái)表示的�����,但I(xiàn)P地址很難記憶�����,所以采用和IP地址相對(duì)應(yīng)的域名(Domain)來(lái)表示主機(jī)和網(wǎng)絡(luò),DNS(Domain Name Service)即域名服務(wù)就是把主機(jī)名字和IP地址作相互匹配�,供Internet上用戶以主機(jī)域名的方式相互查詢。DNS是向用戶提供域名查詢或域名登錄服務(wù)���,其與Internet中的其它域名服務(wù)器形成全球域名服務(wù)體系�����。通常DNS服務(wù)器采用兩臺(tái)或多臺(tái)的方式來(lái)運(yùn)行�,其中一臺(tái)主服務(wù)器(Primary)���,其它為次服務(wù)器(Second),當(dāng)主服務(wù)器不能工作時(shí)���,有任何一臺(tái)次服務(wù)器來(lái)接管其工作,這樣保證了DNS系統(tǒng)運(yùn)行的可靠性����,主次服務(wù)器之間采用自動(dòng)信息更新方式。
IDC的DNS系統(tǒng)除了要為IDC自身服務(wù)之外����,還要為其客戶提供相應(yīng)的域名定義����、為用戶開(kāi)設(shè)虛擬域名服務(wù)等����。所以在IDC的DNS服務(wù)器上可能要定義和管理上百個(gè)或更多域名,由于有如此多的域名��,其每天接受的查詢量也是相當(dāng)龐大的�����。
為了保證IDC的DNS域名的可靠性和安全性�,我們采用Split DNS技術(shù)來(lái)設(shè)計(jì)IDC的DNS系統(tǒng),即把IDC的DNS系統(tǒng)劃分為內(nèi)部和外部?jī)刹糠?�,其中外部DNS系統(tǒng)位于公共服務(wù)區(qū)���,負(fù)責(zé)IDC正常對(duì)外解析工作,如IDC的Web服務(wù)器��、IDC用戶的Web服務(wù)器等解析工作全由外部DNS服務(wù)器來(lái)完成����;內(nèi)部DNS系統(tǒng)主要有兩項(xiàng)工作�,一是負(fù)責(zé)解析IDC內(nèi)部網(wǎng)絡(luò)的主機(jī)���,如目錄服務(wù)器�����、郵件服務(wù)器等��,另一工作是負(fù)責(zé)當(dāng)內(nèi)部要查詢Internet上域名時(shí)��,其把查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部DNS服務(wù)器上��,然后由外部DNS服務(wù)器完成查詢?nèi)蝿?wù)�,返回結(jié)果�����。由于把DNS系統(tǒng)分內(nèi)外兩部分���,Internet上用戶只能看到外部DNS系統(tǒng)中的服務(wù)器����,而看不見(jiàn)內(nèi)部的服務(wù)器����,而且只有內(nèi)外DNS服務(wù)器之間交換DNS查詢信息����,從而保證了系統(tǒng)的安全性�����。
我們采用兩臺(tái)Sun E420R服務(wù)器作為外部DNS服務(wù)器���,兩臺(tái)Sun E420R服務(wù)器作為內(nèi)部DNS服務(wù)器�,所有兩臺(tái)服務(wù)器之間以主次方式運(yùn)行��,DNS軟件可采用Solaris系統(tǒng)中的��,也可使用Internet上公開(kāi)的Bind�����。具體的服務(wù)器配置如下表所示�����。
| DNS服務(wù)器 | 機(jī)器型號(hào) | 配 置 | 備 注 |
| 外部DNS | 主DNS服務(wù)器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk | |
| 次DNS服務(wù)器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 1x18.2GB Internal Disk | 可 選 |
| 內(nèi)部DNS | 主DNS服務(wù)器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk | |
| 次DNS服務(wù)器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk | 可 選 |
安全性建設(shè)
系統(tǒng)安全架構(gòu)的設(shè)計(jì)將包括兩個(gè)方面:防止IDC網(wǎng)絡(luò)外部用戶對(duì)IDC網(wǎng)絡(luò)系統(tǒng)可能的攻擊��,以及防止IDC網(wǎng)絡(luò)內(nèi)部各子系統(tǒng)之間可能的攻擊��。這兩個(gè)方面所采用的技術(shù)和思路是一致的�。
系統(tǒng)安全架構(gòu)將從三個(gè)層次來(lái)考慮:網(wǎng)絡(luò)層、主機(jī)/服務(wù)器系統(tǒng)及應(yīng)用層�����。
網(wǎng)絡(luò)層的安全主要是防范對(duì)于整個(gè)網(wǎng)絡(luò)的非法訪問(wèn)���,一般通過(guò)防火墻來(lái)實(shí)現(xiàn)����。通過(guò)配置了多級(jí)防火墻�����,以隔離IDC網(wǎng)絡(luò)各個(gè)組成部分相互之間的非法訪問(wèn)(合法訪問(wèn)可以通過(guò))��;對(duì)于Internet用戶來(lái)講�����,如果想非法侵入IDC內(nèi)部網(wǎng)絡(luò)���,必須突破防火墻的防范����。另外,各級(jí)防火墻可采用不同的產(chǎn)品�����,以提高網(wǎng)絡(luò)整體的安全性�����。
主機(jī)/服務(wù)器系統(tǒng)的安全是針對(duì)個(gè)別機(jī)器的����。除了主機(jī)/服務(wù)器的操作系統(tǒng)自身的安全性之外,目前有多種產(chǎn)品可供選擇��,包括SUN公司的Security Manager和CA公司的Unicenter TNG等產(chǎn)品��。
應(yīng)用層的安全將從三個(gè)方面來(lái)考慮:增強(qiáng)應(yīng)用服務(wù)器系統(tǒng)的安全�;采用身份認(rèn)證機(jī)制,以保證應(yīng)用的可靠性���;采用數(shù)據(jù)加密技術(shù)和防病毒軟件�,以保證應(yīng)用的安全性�����。
1.操作系統(tǒng)的安全規(guī)劃
操作系統(tǒng)的安全性建設(shè)應(yīng)是整個(gè)系統(tǒng)安全性建設(shè)的基礎(chǔ)�����。操作系統(tǒng)的安全性建設(shè)主要包括用戶的管理�����、超級(jí)用戶的管理����、文件系統(tǒng)安全管理、遠(yuǎn)程對(duì)系統(tǒng)的訪問(wèn)等��。
用戶管理:對(duì)用戶的管理主要有用戶的賬號(hào)口令管理��,設(shè)置用戶賬號(hào)的有效期�,用戶賬號(hào)口令的存活期限等。如果需要可以規(guī)定用戶只能在指定的時(shí)間內(nèi)才能登錄系統(tǒng)����,并對(duì)登錄系統(tǒng)的用戶進(jìn)行審核(audit)����。
超級(jí)用戶的管理:嚴(yán)格限制有普通用戶變成超級(jí)用戶(如使用su��、rlogin等命令)�,如果需要可以使用如CA Unicenter TNG這樣的軟件來(lái)控制系統(tǒng)超級(jí)用戶的權(quán)限。
文件系統(tǒng)的安全管理:控制用戶對(duì)系統(tǒng)內(nèi)特殊文件的訪問(wèn)權(quán)限���,特別是刪除����、移動(dòng)等權(quán)限���,對(duì)使用NFS系統(tǒng)可以采用kerberos方式認(rèn)證�。
遠(yuǎn)程對(duì)系統(tǒng)的訪問(wèn):封閉系統(tǒng)的telnet���、ftp���、r-訪問(wèn)(rsh、rlogin����、rcp)等功能���;但可以對(duì)系統(tǒng)管理員開(kāi)放相應(yīng)的telnet����、ftp功能,以便利于對(duì)系統(tǒng)的管理和維護(hù)�。
2.防病毒(Anti-Virus)
目前病毒在網(wǎng)絡(luò)和Internet上傳播主要以電子郵件和Web瀏覽的方式傳播,以及內(nèi)部網(wǎng)絡(luò)上員工的共享文件的傳播���。防病毒可以分為集中防病毒和分散防病毒兩種方法����。集中防病毒的方法是在主要的服務(wù)器上安裝防病毒軟件�,此軟件先對(duì)進(jìn)出此服務(wù)器的數(shù)據(jù)進(jìn)行檢查,然后再把通過(guò)檢查的數(shù)據(jù)發(fā)送給客戶����;分散防病毒是只在客戶端安裝防病毒軟件,它只檢查進(jìn)出客戶端的數(shù)據(jù)是否有病毒感染��。
由于IDC主要為客戶服務(wù)�����,數(shù)據(jù)主要集中在服務(wù)器上,所以在IDC系統(tǒng)的防病毒體系中主要采用集中防病毒方法���,但同時(shí)對(duì)一些與服務(wù)器相交戶的內(nèi)部客戶段(如管理客戶段)也采用分散的防病毒方法����。集中防病毒主要是對(duì)進(jìn)出的郵件和HTTP流數(shù)據(jù)進(jìn)行防病毒����;分散是保護(hù)內(nèi)部網(wǎng)的單個(gè)終端用戶。
3.防火墻(Firewall)
防火墻(Firewall)是保證網(wǎng)絡(luò)安全的重要手段之一��,在建設(shè)IDC基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)安全性時(shí)�����,首先是要考慮防火墻的建設(shè)���。在Internet/Intranet上���,通過(guò)防火墻來(lái)在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制,其目的是保護(hù)一個(gè)網(wǎng)絡(luò)不受來(lái)自另一個(gè)網(wǎng)絡(luò)的攻擊����,隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接�����,但不妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)��。
防火墻要完成如下主要功能:
通過(guò)對(duì)IP包的檢查,過(guò)濾對(duì)網(wǎng)絡(luò)安全有潛在威脅的IP數(shù)據(jù)包����。
屏蔽對(duì)于網(wǎng)絡(luò)不必要且有安全漏洞的服務(wù),如Telnet�����、FTP等�。
控制從Internet上過(guò)來(lái)的IP數(shù)據(jù)的流向,如數(shù)據(jù)包其目的地址只能是某個(gè)區(qū)域的DNS����、WWW等服務(wù)器。
屏蔽對(duì)于某些Internet站點(diǎn)的訪問(wèn)����。
完成系統(tǒng)內(nèi)部IP地址到Internet合法IP地址的轉(zhuǎn)換��,保證能夠從系統(tǒng)內(nèi)部訪問(wèn)Internet����,隱藏內(nèi)部網(wǎng)絡(luò)和主機(jī)的結(jié)構(gòu)���。
訪問(wèn)日記���,即Access Log。
IDC不僅要建設(shè)自己的防火墻系統(tǒng)���,同時(shí)也要考慮特定的用戶需要建立起自己的防火墻系統(tǒng)�����,即用需要在其自己的應(yīng)用前增設(shè)相應(yīng)的防火墻系統(tǒng)來(lái)保護(hù)其應(yīng)用的安全(這可根據(jù)用戶的實(shí)際需求再進(jìn)行建設(shè))����。
4. 網(wǎng)絡(luò)和系統(tǒng)入侵監(jiān)控
網(wǎng)絡(luò)和系統(tǒng)的入侵檢測(cè)是在網(wǎng)絡(luò)上增加一臺(tái)掃描儀器和在主要服務(wù)器上增加相應(yīng)的防入侵軟件來(lái)實(shí)現(xiàn)�����。此類防入侵軟件有兩個(gè)主要功能��,一個(gè)掃描網(wǎng)絡(luò)和系統(tǒng)上的安全漏洞,以便在網(wǎng)絡(luò)和系統(tǒng)建立初期���,就解決好安全問(wèn)題��,此功能也屬于安全保護(hù)范圍�����;另一個(gè)功能是在網(wǎng)絡(luò)和系統(tǒng)運(yùn)行時(shí)����,監(jiān)控?cái)?shù)據(jù)流�,及時(shí)發(fā)現(xiàn)黑客入侵����,從而做到防止黑客的入侵。
在IDC系統(tǒng)中����,在每個(gè)重要的服務(wù)取得網(wǎng)絡(luò)的入口處安放一個(gè)探測(cè)器,對(duì)每個(gè)進(jìn)出此段網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行檢查探測(cè)���,當(dāng)其發(fā)現(xiàn)某一個(gè)數(shù)據(jù)流不是正常的數(shù)據(jù)流時(shí)����,探測(cè)器把此數(shù)據(jù)流截獲住,并向位于管理區(qū)的管理服務(wù)器發(fā)送入侵信息和警告�����,然后由管理服務(wù)器在做相應(yīng)的防御對(duì)策����。
同時(shí)在每個(gè)服務(wù)器上安裝有類似的探測(cè)器,所以當(dāng)黑客入侵服務(wù)器系統(tǒng)時(shí)�,也是采取上述動(dòng)作。
手機(jī)登錄
