DNS系统技术要求.doc

DNS系统技术要求中国移动通信集团公司网络部2010-03-31前言随着移动互联网业务的迅速发展，DNS系统的重要性日益突出。为此，集团公司网络部结合电信级标准和业务需求，考虑DNS系统架构、网管、安全、配置等方面，编写了DNS系统的相关技术要求。本文是骨干及各省的各级DNS系统后续建设和改造的指导性文件。一、范围本规范规定了中国移动DNS系统组网架构、数据配置、安全保护和性能指标的配置要求，供中国移动内部使用。二、相关标准和文档下列标准所包含的条文，通过在本规范中的引用而成为本规范的条文。随着下列标准的更新，本规范也将结合中国移动DNS实际情况和发展趋势，进行不断探讨和补充。n 中国移动网络安全总体技术要求n 中国移动操作系统安全功能和配置规范n 中国移动BIND域名解析软件安全配置规范n 中国移动数据网设备命名规范n BIND9管理员参考手册三、DNS概述中国移动DNS系统是面向多种数据业务和用户、提供正向和反向域名解析服务的业务系统，以保障中国移动的高质量和高安全、可靠性的互联网接入类服务质量。域名是internet上用来寻找网站（主机）所用的名字，是internet上的重要标识。 互联网上每台主机都对应一个IP地址，为方便记忆，用域名来代替IP地址，如可能指代6。域名与IP地址是一一对应的。在英文国际域名中，域名可以英文字母和阿拉伯数字以及横杠组成，最长可达67个字符（包括后缀），并且字母的大小写没有区别，每个层次最长不能超过22个字母。在国内域名中，三级域名长度不得超过20个字，并且中文域名也已得到应用。DNS域名系统(Domain Name System)，是一种组织域层次结构的计算机和网络服务命名系统。当用户输入域名开始访问时，DNS服务会将此名称解析为对应的IP 地址信息。比如：上网输入，会被自动转换为2进行访问。DNS 域名系统实际上一个分布式的数据库，该数据库是以域名为索引的，每个域名就是一棵很大的逆向树中的路径，这棵逆向树称为域名空间（domain name space），如图所示。树的每个分支采用“”分割，树的最大深度不得超过127 层，树中每个节点都有一个可以长达63 个字节的文本标号，域名的长度不得超过255个字节。四、术语和定义本规范应用了下列术语定义如下：1、 NS（name server），名字服务器：是一个存储着域名资源信息的程序，它会响应来自叫resolver 的程序的请求，resolver 类似于一个客户端程序。NS 的基本功能就是通过回答查询请求来提供网络信息。2、 Zone，域：整个的域名空间可以被分成多个区域，一个zone，开始于一个顶级domain，一直到一个子domain 或是其它domain 的开始，zone 通常表示管理界限的划分。3、 forwarding server，转发服务器：一台缓存名服务器自身不能完成全部的递归查询时，会向其它缓存服务器转发这些查询请求。4、 A记录：一个域名的IP指向 A (Address) 记录，即确定了该主机名（或域名）对应的IP地址记录（在IPv6中相应定义为4A记录，因地址长度是IPv4的4倍）。5、 反向解析：通过IP地址反向查询其对应的域名记录。五、DNS系统的组网原则1、 DNS系统应最少由四台DNS服务器组成，其中两（多）台为授权服务器，负责提供省网范围内权威域名的解析服务，两（多）台为缓存服务器，负责为省内用户提供域名递归解析服务。建议授权服务器和缓存服务器划分到不同vlan。2、 各缓存服务器之间应采用负载均衡策略，或在其之前部署负载均衡设备（包括ANYCAST等）。当单台设备出现异常时，其他设备可自动承担其业务。3、 DNS系统各节点和路由设置应符合“双节点双路由”原则，避免单点故障。六、DNS系统的可管理性原则1、设备应至少提供SNMP、Syslog、FTP、Telnet、SSH等管理通信接口。设备逻辑管理接口应支持标准开放的管理接口，标准符合中国移动数据网设备网管接口技术规范及中国移动数据网设备网管接口数据要求；网管模块的运行不应对DNS业务处理产生影响。2、设备应支持完备的日志管理功能。支持syslog功能，支持日志的本地保存和远程保存。本地日志应保存在非易失性的介质上，系统重启或宕机时日志数据不会消失。设备输出的日志应分为系统日志、解析日志和操作日志三部分。系统日志应包括系统硬件、软件运行状态。解析日志信息中应至少包括用户源地址、请求域名、请求接受时间和处理时延、域名解析结果IP、解析结果代码等。操作日志应记录登录者对DNS的所有操作情况（至少详细到文件级别）。三类日志要求应存储至少三个月。3、DNS设备应接入数据网管系统，并至少提供以下监控指标：l 设备运行指标：服务器的CPU、内存、主要进程、磁盘空间等， 并提供5分钟粒度的实时指标曲线呈现和告警呈现；l 业务相关指标：DNS业务解析成功率（系统解析成功率定义参见文末附录）、最大并发请求数QPS 和DNS业务量，并提供5分钟粒度的实时指标曲线呈现和告警呈现。*有关DNS网管接口相关规范，集团后续将另行制订下发。除以上基本指标外，建议各省结合业务需求，进一步深挖DNS日志信息，提供更多的业务层面指标，如域名解析热点排名、各类解析结果分类统计、用户请求分布时间等。七、DNS设备数据配置的基本原则DNS配置包括：操作系统安装、应用软件安装和DNS服务配置。7.1 操作系统安装1、 操作系统应使用主流的系统，如Unix（HPUX、AIX、Solaris等）、Linux（RH、CentOS、Fedora、Suse等）；2、 操作系统安装前应对分区进行细致规划，建议单独划分应用程序、日志系统分区，日志分区应支持较大的存储；3、 操作系统安装完毕后，应按照中国移动操作系统安全功能和配置规范的要求进行安全加固；4、 操作系统安全加固完毕后，校对系统时间，确保时间与本地标准时间误差不超过1分钟，有条件的可以启用NTP服务。7.2 应用软件安装1、 系统在安装或编译时要支持对Ipv6的域名解析；2、 对有多CPU的处理器，开启多线程支持；3、 安装过程中，对安装目录进行良好规划，建议安装目录名称由程序+版本号组成，同时创建快捷方式（符号链接），指向当前使用版本，此种安装方式，便于软件版本的控制和升级；4、 对于支持chroot环境的操作系统，可以根据实际情况，考虑使用chroot环境确保软件运行安全；5、 安装完毕后，注意对目录和文件的权限进行设定；调测启动和关闭脚本，并重启系统检测是否应用可以自动启动。7.3 DNS服务配置（以Bind为例）1、 DNS服务配置应以安全性、最简性、规范性为基本原则；2、 DNS服务配置文件主要包括named.conf文件和.zone文件等；3、 DNS服务器配置的规范化要求包括：l DNS服务器名称应符合中国移动数据网设备命名规范要求；l DNS版本应根据集团网络部有关入网要求，保持全网统一。l forwarders配置：在省网DNS配置中，取消指向集团CMNET根DNS的forwarders配置，避免大量解析请求发往集团CMNET根DNS，造成集团根DNS负荷过高；l 中文域名配置：服务器中按集团要求，配置规范的中文域名解析。*关于反向域名解析的业务数据申请和配置流程，集团后续将另行制订下发。4、 DNS服务器配置的安全性要求包括：l 隐藏BIND的版本号；避免透露服务器信息。l 关闭DNS服务器的glue fetching选项。l 使用非root权限、chroot和setuid运行BIND，有效降低缓冲区溢出攻击所带来的危险。l 严格控制区域传输。l 授权服务器关闭递归查询功能，缓存服务器分开设置对外的服务IP和递归查询IP。l 禁用动态更新。*其他安全性配置要求，请参考中国移动BIND域名解析软件安全配置规范。八、DNS系统基本安全防护要求1、 攻击防护：针对DNS攻击进行防护，包括零日攻击、DDoS攻击、毒药片攻击、缓存投毒、主机信息探测等，对攻击流量进行过滤，保证正常的DNS请求不受干扰。2、 解析管控：利用过滤条件，从协议层面对解析请求进行相应的操作，如丢弃、重定向、拒绝等；利用黑名单机制从域名层面对解析请求进行相应的操作。3、 根据系统的整体安全策略和安全目标，在系统边界规划、设置正确的安全过滤规则，审核IP数据包的内容：包括协议、端口、源地址、目的地址、流向等项目，如对互联网仅开放TCP和UDP协议53端口的标准DNS解析服务、过滤所有私网地址的解析请求、缓存服务器配置为只允许来自中国移动网内或特定要求的IP地址进行查询、限制远程管理服务器的IP地址并使用SSH保密协议进行传输加密。4、 DNS 服务器应具备支持标准DNSSEC 协议的功能，并可根据集团要求启用部署的能力。5、 管理员应周期性的对DNS服务的安全状况进行评估检查。*关于更详细的DNS安全防护要求，集团后续将专门发文。九、各业务系统的DNS服务器配置要求为提高域名解析效率，保障全网域名解析业务的稳定、安全，配置使用各级DNS服务器时有如下要求：l 各业务系统使用DNS时，主用应为本省省网DNS服务器，备用可选择本省其他DNS服务器或集团根DNS服务器。如业务系统有自建DNS提供专用服务（如GPRS的APN解析等），则按业务需求自行配置。l 各省应掌握省内各系统的DNS配置情况，并根据集团后续要求及时调整。附录：DNS解析响应字段分析（以Bind为例）# tail -f ./named.stats + Statistics Dump + (1247725519)success 923789378referral 49658722nxrrset 219649830nxdomain 254679730recursion 387663583failure 316022895duplicate 16099620dropped 2605824- Statistics Dump - (1247725519)其中：success：这是名字服务器处理的成功的查询数目。成功的查询是那些不以指向别的名字服务器或者错误为结果的查询。referral：这是名字服务器处理的以指向别的名字服务器为结果的查询的个数。nxrrset：这是名字服务器处理的一种查询的数目，这种查询的结果是响应会说：对于指定的域名没有所要求的记录类型。nxdomain：这是名字服务器处理的结果为查询者所指定的域名不