当前位置:首页
> 网络技术 > 技术研讨
 

浙江省教育计算机网DNS系统建设要求



2014-06-23 信息来源:浙江省教育技术中心浏览次数:字体:[ ]

    一、范围
    本规范规定了浙江省教育计算机网DNS系统组网架构、数据配置、安全保护等要求,供全省教育系统内部使用。
    二、DNS概述
    DNS系统是面向多种数据业务和用户、提供正向和反向域名解析服务的业务系统,以保障用户的高质量和高安全、可靠性的互联网接入类服务质量。
    域名是internet上用来寻找网站(主机)所用的名字,是internet上的重要标识。 互联网上每台主机都对应一个IP地址,为方便记忆,用域名来代替IP地址,如mydomain.com可能指代112.123.202.86。域名与IP地址是一一对应的。在英文国际域名中,域名可以英文字母和阿拉伯数字以及横杠"-"组成,最长可达67个字符(包括后缀),并且字母的大小写没有区别,每个层次最长不能超过22个字母。
    DNS域名系统(Domain Name System),是一种组织域层次结构的计算机和网络服务命名系统。当用户输入域名开始访问时,DNS服务会将此名称解析为对应的IP 地址信息。比如:上网输入http://www.zjedu.gov.cn会被自动转换为相应的IP地址进行访问。
    DNS 域名系统实际上一个分布式的数据库,该数据库是以域名为索引的,每个域名就是一棵很大的逆向树中的路径,这棵逆向树称为域名空间(domain name space)。树的每个分支采用“• ”分割,树的最大深度不得超过127 层,树中每个节点都有一个可以长达63 个字节的文本标号,域名的长度不得超过255个字节。
    三、术语和定义
    本规范应用了下列术语定义如下:
    1、NS(name server),名字服务器:是一个存储着域名资源信息的程序,它会响应来自叫resolver 的程序的请求,resolver 类似于一个客户端程序。NS 的基本功能就是通过回答查询请求来提供网络信息。
    2、Zone,域:整个的域名空间可以被分成多个区域,一个zone,开始于一个顶级domain,一直到一个子domain 或是其它domain 的开始,zone 通常表示管理界限的划分。
    3、forwarding server,转发服务器:一台缓存名服务器自身不能完成全部的递归查询时,会向其它缓存服务器转发这些查询请求。
    4、A记录:一个域名的IP指向 A (Address) 记录,即确定了该主机名(或域名)对应的IP地址记录(在IPv6中相应定义为4A记录,因地址长度是IPv4的4倍)。
    5、反向解析:通过IP地址反向查询其对应的域名记录。
    四、DNS服务器配置要求
    DNS服务器配置包括:操作系统安装、应用软件安装和DNS服务配置。
    4.1 操作系统安装
    操作系统建议使用主流的系统,如Unix(HPUX、AIX、Solaris等)、Linux(RH、CentOS、Fedora、Suse等);
    操作系统安装前应对分区进行细致规划,建议单独划分应用程序、日志系统分区,日志分区应支持较大的存储;
    操作系统安全加固完毕后,校对系统时间,确保时间与本地标准时间误差不超过1分钟,有条件的可以启用NTP服务。
    4.2应用软件安装
    1、 系统在安装或编译时要支持对Ipv6的域名解析;
    2、 对有多CPU的处理器,开启多线程支持;
    3、安装过程中,对安装目录进行良好规划,建议安装目录名称由程序+版本号组成,同时创建快捷方式(符号链接),指向当前使用版本,此种安装方式,便于软件版本的控制和升级;
    4、对于支持chroot环境的操作系统,可以根据实际情况,考虑使用chroot环境确保软件运行安全;
    5、安装完毕后,注意对目录和文件的权限进行设定;调测启动和关闭脚本,并重启系统检测是否应用可以自动启动。
    4.3  DNS服务配置要求(以Bind为例)
    1、默认forwarders地址指向本地互联网出口提供商的DNS。
    2、将zjedu.gov.cn、zjedu.org、zjer.cn、zjedu.tv等省级应用域名的forwarders地址指向210.32.109.196(10.254.201.196) (省级DNS服务器地址);
    3、需要跨县(市、区)或跨设区市互访的应用,由各级逐级上报统一协调。
    五、DNS系统基本安全防护要求
    1、各地要对DNS服务器进行安全防护,包括零日攻击、DDoS攻击、毒药片攻击、缓存投毒、主机信息探测等,对攻击流量进行过滤,保证正常的DNS请求不受干扰。
    2、DNS服务器应与其它业务系统隔离,提供单独区域。
    3、DNS服务器建议接入本地区统一运维管理平台,及时监控服务器CPU、内存、主要进程、磁盘空间等信息。
    4、管理员应定期对DNS服务的安全状况进行检查评估。

 

浙ICP备05000083号 主办:浙江省教育技术中心 版权所有: 浙江省教育技术中心
E-mail:web@zjedu.org 联系电话:88833416 88887059 传真:87880816 地址:杭州市学院路35号浙江教育综合大楼

Produced By 大汉网络 大汉版通发布系统