IDC在前期建設(shè)中�����,首要任務(wù)之一是建設(shè)其基礎(chǔ)服務(wù)系統(tǒng)�����,IDC的基礎(chǔ)系統(tǒng)主要有DNS系統(tǒng)���、目錄服務(wù)系統(tǒng)����、數(shù)據(jù)備份系統(tǒng)��、安全系統(tǒng)等�����。
DNS建設(shè)
在Internet上計算機和網(wǎng)絡(luò)設(shè)備使用IP地址來表示的,但IP地址很難記憶�����,所以采用和IP地址相對應(yīng)的域名(Domain)來表示主機和網(wǎng)絡(luò)�,DNS(Domain Name Service)即域名服務(wù)就是把主機名字和IP地址作相互匹配,供Internet上用戶以主機域名的方式相互查詢�。DNS是向用戶提供域名查詢或域名登錄服務(wù),其與Internet中的其它域名服務(wù)器形成全球域名服務(wù)體系�����。通常DNS服務(wù)器采用兩臺或多臺的方式來運行�����,其中一臺主服務(wù)器(Primary)����,其它為次服務(wù)器(Second),當主服務(wù)器不能工作時,有任何一臺次服務(wù)器來接管其工作�����,這樣保證了DNS系統(tǒng)運行的可靠性,主次服務(wù)器之間采用自動信息更新方式����。
IDC的DNS系統(tǒng)除了要為IDC自身服務(wù)之外,還要為其客戶提供相應(yīng)的域名定義��、為用戶開設(shè)虛擬域名服務(wù)等��。所以在IDC的DNS服務(wù)器上可能要定義和管理上百個或更多域名��,由于有如此多的域名�����,其每天接受的查詢量也是相當龐大的����。
為了保證IDC的DNS域名的可靠性和安全性����,我們采用Split DNS技術(shù)來設(shè)計IDC的DNS系統(tǒng),即把IDC的DNS系統(tǒng)劃分為內(nèi)部和外部兩部分����,其中外部DNS系統(tǒng)位于公共服務(wù)區(qū)���,負責(zé)IDC正常對外解析工作,如IDC的Web服務(wù)器�����、IDC用戶的Web服務(wù)器等解析工作全由外部DNS服務(wù)器來完成���;內(nèi)部DNS系統(tǒng)主要有兩項工作�,一是負責(zé)解析IDC內(nèi)部網(wǎng)絡(luò)的主機��,如目錄服務(wù)器�、郵件服務(wù)器等,另一工作是負責(zé)當內(nèi)部要查詢Internet上域名時�,其把查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部DNS服務(wù)器上,然后由外部DNS服務(wù)器完成查詢?nèi)蝿?wù)��,返回結(jié)果��。由于把DNS系統(tǒng)分內(nèi)外兩部分�,Internet上用戶只能看到外部DNS系統(tǒng)中的服務(wù)器,而看不見內(nèi)部的服務(wù)器�,而且只有內(nèi)外DNS服務(wù)器之間交換DNS查詢信息,從而保證了系統(tǒng)的安全性。
我們采用兩臺Sun E420R服務(wù)器作為外部DNS服務(wù)器�,兩臺Sun E420R服務(wù)器作為內(nèi)部DNS服務(wù)器,所有兩臺服務(wù)器之間以主次方式運行���,DNS軟件可采用Solaris系統(tǒng)中的�,也可使用Internet上公開的Bind����。具體的服務(wù)器配置如下表所示。
| DNS服務(wù)器 | 機器型號 | 配 置 | 備 注 |
| 外部DNS | 主DNS服務(wù)器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk | |
| 次DNS服務(wù)器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 1x18.2GB Internal Disk | 可 選 |
| 內(nèi)部DNS | 主DNS服務(wù)器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk | |
| 次DNS服務(wù)器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk | 可 選 |
安全性建設(shè)
系統(tǒng)安全架構(gòu)的設(shè)計將包括兩個方面:防止IDC網(wǎng)絡(luò)外部用戶對IDC網(wǎng)絡(luò)系統(tǒng)可能的攻擊���,以及防止IDC網(wǎng)絡(luò)內(nèi)部各子系統(tǒng)之間可能的攻擊��。這兩個方面所采用的技術(shù)和思路是一致的�����。
系統(tǒng)安全架構(gòu)將從三個層次來考慮:網(wǎng)絡(luò)層、主機/服務(wù)器系統(tǒng)及應(yīng)用層�。
網(wǎng)絡(luò)層的安全主要是防范對于整個網(wǎng)絡(luò)的非法訪問,一般通過防火墻來實現(xiàn)�����。通過配置了多級防火墻,以隔離IDC網(wǎng)絡(luò)各個組成部分相互之間的非法訪問(合法訪問可以通過)�;對于Internet用戶來講,如果想非法侵入IDC內(nèi)部網(wǎng)絡(luò)���,必須突破防火墻的防范�。另外�,各級防火墻可采用不同的產(chǎn)品,以提高網(wǎng)絡(luò)整體的安全性����。
主機/服務(wù)器系統(tǒng)的安全是針對個別機器的。除了主機/服務(wù)器的操作系統(tǒng)自身的安全性之外���,目前有多種產(chǎn)品可供選擇��,包括SUN公司的Security Manager和CA公司的Unicenter TNG等產(chǎn)品��。
應(yīng)用層的安全將從三個方面來考慮:增強應(yīng)用服務(wù)器系統(tǒng)的安全�;采用身份認證機制����,以保證應(yīng)用的可靠性;采用數(shù)據(jù)加密技術(shù)和防病毒軟件����,以保證應(yīng)用的安全性�。
1.操作系統(tǒng)的安全規(guī)劃
操作系統(tǒng)的安全性建設(shè)應(yīng)是整個系統(tǒng)安全性建設(shè)的基礎(chǔ)�。操作系統(tǒng)的安全性建設(shè)主要包括用戶的管理、超級用戶的管理��、文件系統(tǒng)安全管理��、遠程對系統(tǒng)的訪問等���。
用戶管理:對用戶的管理主要有用戶的賬號口令管理��,設(shè)置用戶賬號的有效期�����,用戶賬號口令的存活期限等�����。如果需要可以規(guī)定用戶只能在指定的時間內(nèi)才能登錄系統(tǒng)���,并對登錄系統(tǒng)的用戶進行審核(audit)�����。
超級用戶的管理:嚴格限制有普通用戶變成超級用戶(如使用su、rlogin等命令)���,如果需要可以使用如CA Unicenter TNG這樣的軟件來控制系統(tǒng)超級用戶的權(quán)限�。
文件系統(tǒng)的安全管理:控制用戶對系統(tǒng)內(nèi)特殊文件的訪問權(quán)限����,特別是刪除、移動等權(quán)限�����,對使用NFS系統(tǒng)可以采用kerberos方式認證��。
遠程對系統(tǒng)的訪問:封閉系統(tǒng)的telnet��、ftp��、r-訪問(rsh���、rlogin����、rcp)等功能;但可以對系統(tǒng)管理員開放相應(yīng)的telnet��、ftp功能����,以便利于對系統(tǒng)的管理和維護。
2.防病毒(Anti-Virus)
目前病毒在網(wǎng)絡(luò)和Internet上傳播主要以電子郵件和Web瀏覽的方式傳播����,以及內(nèi)部網(wǎng)絡(luò)上員工的共享文件的傳播。防病毒可以分為集中防病毒和分散防病毒兩種方法��。集中防病毒的方法是在主要的服務(wù)器上安裝防病毒軟件���,此軟件先對進出此服務(wù)器的數(shù)據(jù)進行檢查���,然后再把通過檢查的數(shù)據(jù)發(fā)送給客戶;分散防病毒是只在客戶端安裝防病毒軟件�,它只檢查進出客戶端的數(shù)據(jù)是否有病毒感染。
由于IDC主要為客戶服務(wù)�,數(shù)據(jù)主要集中在服務(wù)器上,所以在IDC系統(tǒng)的防病毒體系中主要采用集中防病毒方法�����,但同時對一些與服務(wù)器相交戶的內(nèi)部客戶段(如管理客戶段)也采用分散的防病毒方法�。集中防病毒主要是對進出的郵件和HTTP流數(shù)據(jù)進行防病毒;分散是保護內(nèi)部網(wǎng)的單個終端用戶��。
3.防火墻(Firewall)
防火墻(Firewall)是保證網(wǎng)絡(luò)安全的重要手段之一�,在建設(shè)IDC基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)安全性時,首先是要考慮防火墻的建設(shè)�。在Internet/Intranet上,通過防火墻來在兩個或多個網(wǎng)絡(luò)間加強訪問控制����,其目的是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊,隔離風(fēng)險區(qū)域與安全區(qū)域的連接���,但不妨礙人們對風(fēng)險區(qū)域的訪問��。
防火墻要完成如下主要功能:
通過對IP包的檢查�,過濾對網(wǎng)絡(luò)安全有潛在威脅的IP數(shù)據(jù)包�����。
屏蔽對于網(wǎng)絡(luò)不必要且有安全漏洞的服務(wù)�,如Telnet、FTP等�����。
控制從Internet上過來的IP數(shù)據(jù)的流向,如數(shù)據(jù)包其目的地址只能是某個區(qū)域的DNS�、WWW等服務(wù)器。
屏蔽對于某些Internet站點的訪問�。
完成系統(tǒng)內(nèi)部IP地址到Internet合法IP地址的轉(zhuǎn)換,保證能夠從系統(tǒng)內(nèi)部訪問Internet�����,隱藏內(nèi)部網(wǎng)絡(luò)和主機的結(jié)構(gòu)�。
訪問日記,即Access Log��。
IDC不僅要建設(shè)自己的防火墻系統(tǒng)�����,同時也要考慮特定的用戶需要建立起自己的防火墻系統(tǒng)�,即用需要在其自己的應(yīng)用前增設(shè)相應(yīng)的防火墻系統(tǒng)來保護其應(yīng)用的安全(這可根據(jù)用戶的實際需求再進行建設(shè))。
4. 網(wǎng)絡(luò)和系統(tǒng)入侵監(jiān)控
網(wǎng)絡(luò)和系統(tǒng)的入侵檢測是在網(wǎng)絡(luò)上增加一臺掃描儀器和在主要服務(wù)器上增加相應(yīng)的防入侵軟件來實現(xiàn)�����。此類防入侵軟件有兩個主要功能,一個掃描網(wǎng)絡(luò)和系統(tǒng)上的安全漏洞����,以便在網(wǎng)絡(luò)和系統(tǒng)建立初期,就解決好安全問題��,此功能也屬于安全保護范圍����;另一個功能是在網(wǎng)絡(luò)和系統(tǒng)運行時�����,監(jiān)控數(shù)據(jù)流���,及時發(fā)現(xiàn)黑客入侵����,從而做到防止黑客的入侵����。
在IDC系統(tǒng)中,在每個重要的服務(wù)取得網(wǎng)絡(luò)的入口處安放一個探測器�����,對每個進出此段網(wǎng)絡(luò)的數(shù)據(jù)流進行檢查探測,當其發(fā)現(xiàn)某一個數(shù)據(jù)流不是正常的數(shù)據(jù)流時��,探測器把此數(shù)據(jù)流截獲住�����,并向位于管理區(qū)的管理服務(wù)器發(fā)送入侵信息和警告��,然后由管理服務(wù)器在做相應(yīng)的防御對策���。
同時在每個服務(wù)器上安裝有類似的探測器���,所以當黑客入侵服務(wù)器系統(tǒng)時,也是采取上述動作�。
手機登錄
