您的位置: 首頁 > 項目案例 > 弱電機房 > 企業型機房 > DC基礎系統建設
IDC在前期建設中(zhōng),首要任務之一(yī)是建設其基礎服務系統,IDC的基礎系統主要有DNS系統、目錄服務系統、數據備份系統、安全系統等。
DNS建設
在Internet上計算機和網絡設備使用IP地址來表示的,但IP地址很難記憶,所以采用和IP地址相對應的域名(Domain)來表示主機和網絡,DNS(Domain Name Service)即域名服務就是把主機名字和IP地址作相互匹配,供Internet上用戶以主機域名的方式相互查詢。DNS是向用戶提供域名查詢或域名登錄服務,其與Internet中(zhōng)的其它域名服務器形成全球域名服務體(tǐ)系。通常DNS服務器采用兩台或多台的方式來運行,其中(zhōng)一(yī)台主服務器(Primary),其它爲次服務器(Second),當主服務器不能工(gōng)作時,有任何一(yī)台次服務器來接管其工(gōng)作,這樣保證了DNS系統運行的可靠性,主次服務器之間采用自動信息更新方式。
IDC的DNS系統除了要爲IDC自身服務之外(wài),還要爲其客戶提供相應的域名定義、爲用戶開(kāi)設虛拟域名服務等。所以在IDC的DNS服務器上可能要定義和管理上百個或更多域名,由于有如此多的域名,其每天接受的查詢量也是相當龐大(dà)的。
爲了保證IDC的DNS域名的可靠性和安全性,我(wǒ)們采用Split DNS技術來設計IDC的DNS系統,即把IDC的DNS系統劃分(fēn)爲内部和外(wài)部兩部分(fēn),其中(zhōng)外(wài)部DNS系統位于公共服務區,負責IDC正常對外(wài)解析工(gōng)作,如IDC的Web服務器、IDC用戶的Web服務器等解析工(gōng)作全由外(wài)部DNS服務器來完成;内部DNS系統主要有兩項工(gōng)作,一(yī)是負責解析IDC内部網絡的主機,如目錄服務器、郵件服務器等,另一(yī)工(gōng)作是負責當内部要查詢Internet上域名時,其把查詢任務轉發到外(wài)部DNS服務器上,然後由外(wài)部DNS服務器完成查詢任務,返回結果。由于把DNS系統分(fēn)内外(wài)兩部分(fēn),Internet上用戶隻能看到外(wài)部DNS系統中(zhōng)的服務器,而看不見内部的服務器,而且隻有内外(wài)DNS服務器之間交換DNS查詢信息,從而保證了系統的安全性。
我(wǒ)們采用兩台Sun E420R服務器作爲外(wài)部DNS服務器,兩台Sun E420R服務器作爲内部DNS服務器,所有兩台服務器之間以主次方式運行,DNS軟件可采用Solaris系統中(zhōng)的,也可使用Internet上公開(kāi)的Bind。具體(tǐ)的服務器配置如下(xià)表所示。
DNS服務器 | 機器型号 | 配 置 | 備 注 | |
外(wài)部DNS | 主DNS服務器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk |
|
次DNS服務器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 1x18.2GB Internal Disk | 可 選 | |
内部DNS | 主DNS服務器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk |
|
次DNS服務器 | Sun E420R | 2x450MHz UltraSPARC CPU 1GB Memory 2x18.2GB Internal Disk | 可 選 |
安全性建設
系統安全架構的設計将包括兩個方面:防止IDC網絡外(wài)部用戶對IDC網絡系統可能的攻擊,以及防止IDC網絡内部各子系統之間可能的攻擊。這兩個方面所采用的技術和思路是一(yī)緻的。
系統安全架構将從三個層次來考慮:網絡層、主機/服務器系統及應用層。
網絡層的安全主要是防範對于整個網絡的非法訪問,一(yī)般通過防火(huǒ)牆來實現。通過配置了多級防火(huǒ)牆,以隔離(lí)IDC網絡各個組成部分(fēn)相互之間的非法訪問(合法訪問可以通過);對于Internet用戶來講,如果想非法侵入IDC内部網絡,必須突破防火(huǒ)牆的防範。另外(wài),各級防火(huǒ)牆可采用不同的産品,以提高網絡整體(tǐ)的安全性。
主機/服務器系統的安全是針對個别機器的。除了主機/服務器的操作系統自身的安全性之外(wài),目前有多種産品可供選擇,包括SUN公司的Security Manager和CA公司的Unicenter TNG等産品。
應用層的安全将從三個方面來考慮:增強應用服務器系統的安全;采用身份認證機制,以保證應用的可靠性;采用數據加密技術和防病毒軟件,以保證應用的安全性。
1.操作系統的安全規劃
操作系統的安全性建設應是整個系統安全性建設的基礎。操作系統的安全性建設主要包括用戶的管理、超級用戶的管理、文件系統安全管理、遠程對系統的訪問等。
用戶管理:對用戶的管理主要有用戶的賬号口令管理,設置用戶賬号的有效期,用戶賬号口令的存活期限等。如果需要可以規定用戶隻能在指定的時間内才能登錄系統,并對登錄系統的用戶進行審核(audit)。
超級用戶的管理:嚴格限制有普通用戶變成超級用戶(如使用su、rlogin等命令),如果需要可以使用如CA Unicenter TNG這樣的軟件來控制系統超級用戶的權限。
文件系統的安全管理:控制用戶對系統内特殊文件的訪問權限,特别是删除、移動等權限,對使用NFS系統可以采用kerberos方式認證。
遠程對系統的訪問:封閉系統的telnet、ftp、r-訪問(rsh、rlogin、rcp)等功能;但可以對系統管理員(yuán)開(kāi)放(fàng)相應的telnet、ftp功能,以便利于對系統的管理和維護。
2.防病毒(Anti-Virus)
目前病毒在網絡和Internet上傳播主要以電子郵件和Web浏覽的方式傳播,以及内部網絡上員(yuán)工(gōng)的共享文件的傳播。防病毒可以分(fēn)爲集中(zhōng)防病毒和分(fēn)散防病毒兩種方法。集中(zhōng)防病毒的方法是在主要的服務器上安裝防病毒軟件,此軟件先對進出此服務器的數據進行檢查,然後再把通過檢查的數據發送給客戶;分(fēn)散防病毒是隻在客戶端安裝防病毒軟件,它隻檢查進出客戶端的數據是否有病毒感染。
由于IDC主要爲客戶服務,數據主要集中(zhōng)在服務器上,所以在IDC系統的防病毒體(tǐ)系中(zhōng)主要采用集中(zhōng)防病毒方法,但同時對一(yī)些與服務器相交戶的内部客戶段(如管理客戶段)也采用分(fēn)散的防病毒方法。集中(zhōng)防病毒主要是對進出的郵件和HTTP流數據進行防病毒;分(fēn)散是保護内部網的單個終端用戶。
3.防火(huǒ)牆(Firewall)
防火(huǒ)牆(Firewall)是保證網絡安全的重要手段之一(yī),在建設IDC基礎網絡系統安全性時,首先是要考慮防火(huǒ)牆的建設。在Internet/Intranet上,通過防火(huǒ)牆來在兩個或多個網絡間加強訪問控制,其目的是保護一(yī)個網絡不受來自另一(yī)個網絡的攻擊,隔離(lí)風險區域與安全區域的連接,但不妨礙人們對風險區域的訪問。
防火(huǒ)牆要完成如下(xià)主要功能:
通過對IP包的檢查,過濾對網絡安全有潛在威脅的IP數據包。
屏蔽對于網絡不必要且有安全漏洞的服務,如Telnet、FTP等。
控制從Internet上過來的IP數據的流向,如數據包其目的地址隻能是某個區域的DNS、WWW等服務器。
屏蔽對于某些Internet站點的訪問。
完成系統内部IP地址到Internet合法IP地址的轉換,保證能夠從系統内部訪問Internet,隐藏内部網絡和主機的結構。
訪問日記,即Access Log。
IDC不僅要建設自己的防火(huǒ)牆系統,同時也要考慮特定的用戶需要建立起自己的防火(huǒ)牆系統,即用需要在其自己的應用前增設相應的防火(huǒ)牆系統來保護其應用的安全(這可根據用戶的實際需求再進行建設)。
4. 網絡和系統入侵監控
網絡和系統的入侵檢測是在網絡上增加一(yī)台掃描儀器和在主要服務器上增加相應的防入侵軟件來實現。此類防入侵軟件有兩個主要功能,一(yī)個掃描網絡和系統上的安全漏洞,以便在網絡和系統建立初期,就解決好安全問題,此功能也屬于安全保護範圍;另一(yī)個功能是在網絡和系統運行時,監控數據流,及時發現黑客入侵,從而做到防止黑客的入侵。
在IDC系統中(zhōng),在每個重要的服務取得網絡的入口處安放(fàng)一(yī)個探測器,對每個進出此段網絡的數據流進行檢查探測,當其發現某一(yī)個數據流不是正常的數據流時,探測器把此數據流截獲住,并向位于管理區的管理服務器發送入侵信息和警告,然後由管理服務器在做相應的防禦對策。
同時在每個服務器上安裝有類似的探測器,所以當黑客入侵服務器系統時,也是采取上述動作。
周經理 : 02031601545
廣州迅億信息科技有限公司
地址:廣州市天河區車(chē)陂西華大(dà)街安樂裏9号102鋪
咨詢電話(huà):02031601545
售後服務:02031601545
QQ:479501206
郵箱:479501206@qq.com