1、备份DNS服务器的建设部署方案备份DNS服务器建设部署方案 (初稿) 一现网络环境环境分析与备份DNS服务器建设分析二建设风险分析及解决方案三建设方案四建设成本五建设实施方案一、网络环境环境分析与备份DNS建设分析 1.现有网络环境分析:现在大部分公司的域服务器与其他内网服务器对DNS服务器依赖性极强,一旦出现异常,将导致整个网络出现异常,无法正常工作。所以现建议公司投入一个备份DNS服务器。2.备份DNS建设分析:DNS备份服务器指在现有主DNS服务器异常时及时启用,解决DNS异常造成的损失,大大的减小由于DNS服务器出现问题时的风险。做好备份DNS 服务器 以便在主服务器出现故障时及时启用
2、,减少那些不必要的损失。二、建设风险分析及解决方案服务主要完成域名与地址间的转换及有关电子邮件的路由信息。使用超高速缓存将收到的有关映射信息存放在高速缓存中,以后有相同的请求就直接使用缓存中的信息,大大提高了解析的速度。由于本地存在高速缓存,所以,一旦高速缓存的信息被修改,就会产生错误的解析结果,这是潜在的安全问题之一,此外还许多其它方面的安全隐患。 的安全隐患有以下几个方面:缓冲区溢出漏洞允许远程控制计算机域名欺骗( )利用区传输造成信息泄密 ( )拒绝服务攻击无访问控制的递规查询反向查询缓冲区超时( ) 版本所衍生的安全问题动态更新和递规查询 欺骗( ):主要有以下三种形式。1击者在自己的
3、主机上安装网络侦听器,劫持域名查询请求,然后假冒的响应,返回一个错误解析地址,使发出该域名查询请求的客户机得到一个错误的解析地址;2攻击者通过污染的缓冲区( )将高速缓存内的信息修改。由于的解析过程是先从本地的缓存中查找要求解析的域名的地址,当本地的缓存内的信息被修改后,就会将一个被篡改后的地址发送给请求者,使请求者得到一个错误的解析地址。3攻击者侵入操作系统,获得管理员权限,直接修改数据文件。 针对域名服务器的拒绝服务()攻击:这种攻击主要有二种,一种是利用软件本身的漏洞(如:下使用,存在、等)进行攻击;另一种是用户端泛滥,攻击者仿造源地址,产生一个查询请求,使域名服务器忙于应付大量的无效回
4、应,而无法处理正常的用户请求。 利用区传输造成信息泄密:名字服务器通常含有域名空间中某一部分的完整信息,这一部分称为区。区的内容是从文件或其它名字服务器中加载过来的。在加载的过程中,黑客可以劫获传输的内容,造成整个区域的信息泄露,同时在加载的过程中,也会增加服务器的负载。 一旦系统被攻击成功,入侵者就会删除日志文件,销毁自己可能暴露的蛛丝马迹,然后在系统中安装程序,通过运行它获得管理员 权限,同时开始向外进行扫描,在几分钟内就可发现大量的存在相同漏洞的服务器,并可对之重复上述攻击,如此反复,后果不堪设想。及时更新版本和补丁:早期版本的都有漏洞,应及时更新到最新版本并打好相关版本的补丁,使因版本
5、低所带来的风险降至最低。 防止单点故障:为每个域提供多台域名服务器,不要将所有的域名服务器放在同一个子网中,将所有的域名服务器分别放在不同的路由器后面;所有的域名服务器不要使用同一条线路,避免因线路问题使所有的瘫痪;及时备份域名服务器,尽量将多个域名服务器运行在不同的操作系统上。 限制区域传输:区传输会暴露整个区域的信息并加重服务器负载,所以应该严格限制区传输,防止黑客列举区中的信息,了解网络中的主机数目、机器型号和用途。 专用服务器:在服务器上不要提供其它服务,如、等。对外只开放和端口,配置防火墙,对访问的流量进行过滤,只允许访问端口的流量经过,减轻的负载,降低风险。对外提供的服务越多,端口
6、开放的也就越多,危险性就越大。 限制动态更新和递规查询:动态更新,使得经过授权的升级者也能够删除和增加区的记录,所以要限制动态更新。应有选择地限制一些的查询请求,限制对权威资源的查询,尽量不使用递规,递归查询易使查询在多台域名解析服务器之间无限制地循环下去。 不以超级用户身份运行服务:监听端口不需要根用户权限,应该创建一个单独的小权限的用户来运行,这样即使遭受攻击,黑客也只能在该用户目录下,由于权限小,所以对系统构成的威胁相对就小。 使用数字签名来验证信息:使用时需要域名服务器之间的时间同步,首先在主域名服务器上产生密钥,然后以方式传递给辅助域名服务,设定辅助以密钥签署送往主的区传送请求,反之
7、亦然。 域名服务器放置于区:( )非军事区,是放置公共信息的最佳位置。用户、潜在用户和外部访问三、建设方案1、需购买一台专用服务器2、配置备份DNS服务器【IP:192.168.1.200】3、专用服务器也可配置其他备份服务器,减小现有网络负荷。4、专用服务器可随公司需求持续升级5、系统具备电信级的高可用性,系统设备及链路均具有一定的冗余度,不会应单台设备或单条链路故障而引起服务质量下降,同时系统具有容灾备份机制,能够不间断的对外提供服务。6、系统部署有完备的安全防护策略和一定的安全防护手段,能够实现安全风险的隔离 可控。7、系统具备平滑升级,扩容的能力,在保护已有投资的基础上易于实现容量及功
8、能的灵活扩展。设备要求 1、可用性高:系统平均无故障时间10000小时;设计时必须按所有设备的寿命在正常使用下不少于10年,所有设备(包括电源设备)在给定的性能指标下运行,连续4000小时内不需要人工调整和维护。2、要求主要部件冗余配置,为避免单点故障,采用双电源、双风扇、双网卡、系统镜像盘保护数据。3、主机系统的主要部件必须实现热插拔、热更换,包括热插拔的PCI I/O卡;热插拔内置硬盘驱动器;热更换冗余风扇。四、建设成本联想System x3650 M4(7915I51)专用服务器一台价格:2.65W产品重要参数:产品类别:机架式产品结构:2UCPU型号:Xeon E5-2650内存类型:
9、ECC DDR3内存容量:8GB五、建设实施方案DNS注册表信息备份打开注册表编辑器,在左侧列表中逐个点开HKEY-LOCAL-MACHINESystemCurrentControlset ServioesDNS,备份此键值下所有的数据。点击DNS项目单击文件菜单导出显示导出注册表文件对话框,制定备份文件的存放路径和文件名。提示:服务器在备份的时候,其实已经将绝大多数的数据备份好了,其中也包括DNS信息,不过为了减少备份和还原DNS数据的工作量和复杂性,对DNS数据进行单独备份还是有必要的。备份DNS Server 服务信息同上,打开注册表编辑器,在左侧列表中逐个点开HKEY-LOCAL-MA
10、CHINESoftwareMicrosoftWindows NTCurrentDNS Server,备份此键值下所有的数据。点击DNS项目单击文件菜单导出显示导出注册表文件对话框,制定备份文件的存放路径和文件名。DNS数据文件备份由于DNS注册表信息的备份只是部分注册表的信息,其中不包含域名解析时所使用的域名数据信息,所以还要对这部分内容单独备份。进入DNS服务器的资源管理器,打开C:Windowssystem32dns目录,把.dns后缀的所有文件复制出来即可。DNS数据还原当DNS服务器出现故障时,可以把备份好的两部分数据进行还原。直接运行备份的两个注册表文件,把它们全都导入到注册表中即可。然后把备份好的.dns后缀所有文件替换覆盖到C:Windowssystem32dns目录下所有的同名文件。这样就完成DNS服务器的备份了。(注:为避免公司正常工作,建议员工下班或双休日节假日进行DNS等服务器备份工作)
