YDT - 域名系统权威服务器运行技术要求.docx-道客多多

资源描述

1、ICS 35.100.70L79 YD中华人民共和国通信行业标准YD/T 域名系统权威服务器运行技术要求Technical specifications for DNS authoritative server operations-发布 -实施中华人民共和国工业和信息化部发布 YD/T 目次目次I前言.II域名系统权威服务器运行技术要求 11 范围 12 规范性引用文件 13 术语、定义和缩略语 13.1 术语和定义 13.2 缩略语 14 构建权威域名服务的技术要求 14.1 功能和协议

2、要求 24.2 权威服务器性能要求 24.3 权威服务系统的安全要求 35 权威服务运行管理要求 45.1 权威服务器要求 45.2 服务监控要求 45.3 故障维护要求 55.4 日志管理要求 55.5 服务运行环境要求 5IYD/T 前言本标准是“域名系统运行技术规范体系”系列标准之一，该系列标准的结构和名称预计如下： 1) 域名系统运行总体技术要求2) 域名系统权威服务器运行技术要求3) 域名系统递归服务器运行技术要求4) 域名服务安全框架技术要求5) IPv6网络域名

3、服务技术要求 6) 域名系统授权体系技术要求7) 公共域名解析系统安全标准8) 域名系统安全防护技术要求9) 域名系统安全防护检测要求本标准由中国通信标准化协会提出并归口。本标准起草单位：中国互联网络信息中心、北龙中网（北京）科技有限责任公司。本标准主要起草人：李晓东、毛伟、金键、王伟、张跃冬、卢文哲。IIYD/T 1域名系统权威服务器运行技术要求1 范围本标准描述了构建权威域名服务的基本技术要求以及权威域名服务运行管理要求。本标准适用于权威域名服务系统。2 规范性引用文件下列文件对于本文件的应用是必不可少

4、的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。YD/T2052-2009 域名系统安全防护技术要求 YD/T XXXX 域名系统运行总体技术要求 IETF RFC1034 域名概念和设施IETF RFC1035 域名执行和规范IETF RFC1305 网络时间协议规范、部署和分析IETF RFC1995 域名系统增量区传送 IETF RFC1996 区内容变化快速通知机制 IETF RFC2136 域名系统动态更新IETF RFC4033 域名系统安全介绍和要求 IETF RFC4034 域名

5、系统安全扩展资源记录 IETF RFC4035 域名系统安全扩展协议修改 IETF RFC4431 DNSSEC中的 DLV记录IETF RFC5074 域名系统安全扩展的旁路认证3 术语、定义和缩略语3.1 术语和定义YD/T XXXX 域名系统运行总体技术要求界定的术语和定义适用于本文件。3.2 缩略语下列缩略语适用于本文件。CPU Central Process Unit 中央处理器DNS Domain Name System 域名系统DNSSEC DNS Security Extension 域名系统安全扩

6、展gTLD Generic Top Level Domain 通用类别顶级域MEM Memory 内存NTP Network Time Protocol 网络时间协议SNMP Simple Network Management Protocol 简单网络管理协议SOA Start of Authority 起始权威TCP Transmission Control Protocol 传输控制层协议TSIG Transaction Signature 事务签名UDP User Datagram Protocol 用户数据报协议4 构建权威域名服务的技术要求YD/T 24.1 功能和协议要求互联网络

7、的域名服务质量很大程度上依赖于权威域名服务的正确、安全和可靠的运行，特别是顶级域的安全运行对于整个互联网的发展和建设来说至关重要。因此，有必要对互联网中权威域名服务器的构建进行规范化。作为域名系统的权威服务器，其实现必须符合表1中所列出的标准，具备权威服务器的基本功能。包括：1) 能够处理来自互联网络的任何客户端的域名查询请求；2) 能够和该区的可信任辅服务器之间实现安全的区数据传送；3) 支持 DNS安全协议扩展（ DNSSEC）及 DNSSEC旁路认证（ DLV）。具体的协议如表1所示：表1 域名服务系统接口协议要求列表协议名

8、称相关标准IETF RFC1034、 IETF RFC1035DNS协议 DNSSEC协议 IETF RFC4033、 IETF RFC4034、 IETF RFC4035DLV协议 IETF RFC4431、 IETF RFC5074域名系统增量区传送协议 IETF RFC1995区变更通知协议 IETF RFC1996同时，为确保域名服务运行的正确性，建议提供域名服务的服务器设备，均应配置时间服务器，通过网络时间协议（ NTP，见 IETF RFC1305）进行时间同步。4.2 权威服务器性能要求作为互联网基础设施，权威域名服务系统

9、是影响互联网各项应用性能的重要环节，所以保障权威域名服务系统的性能关系到：1) 稳定的域名解析服务是基于互联网业务正常运行的基础；2) 高速的域名解析服务可以直接提升基于互联网的应用访问速度；3) 由多台域名解析服务器提供某一个域解析服务的情况下，单台域名解析服务器的性能将影响互联网用户对该服务器本身的的访问流量分布。一般来说，如果越快的域名解析服务器得到的访问请求越多，则可更好地辐射周边地区，提升周边区域互联网应用的访问速度；4) 域名解析系统的更新效率直接影响到基于互联网的应用实时性，并且影响着业务的准确性。随着注册域名数量的增加，会导致域名服务访问量的上升，从

10、而使得域名服务系统承受的压力也不断上升。因此，注册域名数量的上升，必然会对域名服务系统的解析性能和网络带宽等提出更高的要求。性能要求将主要划分为对于域名解析性能和域名数据同步两部分组成，解析服务过程中，应保证提供本标准要求的数据水平或者更高的服务质量。4.2.1 权威域名解析性能要求由于域名服务系统是互联网络的重要基础设施之一，而域名解析系统是域名服务系统中的重要组成部分，因此要尽最大努力确保域名解析系统的服务可用性。一般来说，公开的解析服务可用性需要达到 99.999 。具体

11、实施过程中，应利用多点冗余的部署实施方法，满足服务系统的高可用性要求。权威域名解析系统应保证具备负载最重节点请求峰值的3倍请求量的处理能力，以应对可能针对域名系统的突发访问或服务攻击。域名解析系统的最低响应时间应在50 0毫秒之内。具体如表 2所示：YD/T 3表2 权威域名解析系统性能要求列表DNS 解析标准要求服务可用性 99.999%处理能力负载最重节点请求峰值的三倍请求量响应时间 95的请求在=500 毫秒内完成计划停运不允许详细要求见 YD/T2052-2009 域名系统

12、安全防护技术要求。4.2.2 数据同步域名数据同步是域名辅服务器得到主服务器的更新通知后，获取主服务器的最新版本区文件的过程，这是一个数据传输过程。数据同步时间直接影响到新注册域名信息的生效时间。理论上，域名被注册以后，该域名解析生效过程一定要在域名管理者所公布的域名注册信息生效时间周期内完成，也就是在该时间段内，解析记录会被更新到该域所有对应的权威服务器上。数据同步的时间要限定在 24h以内。权威服务器一般应该能够支持dns update协议（ IETF RFC2136），进行局部数据动态更新操作

13、。因此，权威服务器应该能够定时进行整个的区文件增量更新操作。4.3 权威服务系统的安全要求4.3.1 数据安全1) 权威服务器应该只提供 TCP 协议和 UDP 协议 53 端口的标准 DNS 解析服务。2) 在权威域名服务器其它 TCP/UDP 端口上提供的服务应该限制在该服务系统内部的服务器之间进行。3) 应该禁止除管理员之外的其他人或其他服务器从域名解析服务器上下载区文件。4) 权威服务器自身不应提供除了域名服务之外的其他服务，比如 HTTP、Telnet、 Rlogin、 FTP 等等。5) 服务器必须通过一种安全机制来进行远程管理

14、和维护。6) 服务器所在的局域网内不能放置容易被攻破的主机。7) 服务器所在的局域网应该有包过滤机制，以阻断来自域名服务端口以外的端口访问。8) 应采用隐藏的主服务器作为一个权威域名服务系统的数据源。9) 域名数据的更新应该在一些必要的更新错误检测之后进行。一旦更新失败，需要人为干预。当发生严重的网络故障时，每个权威服务器都应该有替换办法（备份网络通道或者非网络途径）来更新域名数据。10) 权威服务器应该维护和记录全局的统计数据（包括用户查询日志等），以便于进行数据分析，发现安全隐

15、患。4.3.2 解析安全1) 语法检查在权威服务器提供域名解析服务前，必须采取措施对每一次生成的域名数据进行语法检查和数据匹配检查。a) 语法检查，检查区文件格式是否符合域名解析软件的格式要求。语法检查应在区文件生成之后，区数据的传送开始之前完成；b) 匹配检查，全量 /随机检查区文件与数据库注册数据信息的一致性。匹配检查的时间应保证在域名注册生效时间周期内完成。2) 域名解析软件安全域名解析软件应经过安全检验，避免业已发现的漏洞造成域名劫持或域名篡改等安全事件。YD/T 43) 反向解析为确保解析服务的

16、安全性，域名注册管理机构、域名注册服务机构以及网络互联单位的域名解析服务器，在允许的情况下，应提供in-addr.arpa反向域名解析服务。4) 时间同步域名权威辅服务器与主服务器应保持时间上的同步，建议采用N TP协议或其他技术手段实现时间同步。4.3.3 传输安全1) 主辅权限权威名字服务器不应该信任被指定信任的服务器之外的服务器，这是基于认证、密钥以及其他访问安全问题的考虑。域名解析主服务器与辅服务器之间的信任关系，只限于区文件

17、传输。域名解析主、辅服务器的网络远程控制，应只对信任 IP 地址和端口打开权限。2) 加密传输域名解析服务数据的同步（区传送），建议采用 DNSSEC或 TSIG等技术，确保更新数据的完整性，以及数据更新源身份的合法性。具体要求见 YD/T XXXX 域名服务安全框架技术要求中的规定。5 权威服务运行管理要求5.1 权威服务器要求1）服务器数量针对某个域，提供权威域解析的服务器数量应不低于

18、2台，建议独立的名字服务器数量为5台。2）部署要求提供权威域解析的服务器应至少部署于 2个不同的网络中，并且建议在地理上进行分布。5.2 服务监控要求1）网络环境需对域名服务器边界网络设备的流量、包数进行监控，监控方式可基于监听、 SNMP、 NetFlow等网管技术和协议。对流量和包数的监控，有助于判断服务是否遭受非正常访问。2）服务端口域名服务系统的正常运行，要求对所有涉及到的服务

19、进行监控，具体需要监控的服务及对应端口如表 3所示：表3 域名服务系统服务端口监控列表服务名称对应端口号DNS解析服务 UDP协议的 53端口DNS解析服务 TCP协议的 53端口服务端口的监控要求以不低于五分钟一次的频率进行轮询扫描。监控结果应保存24h以上，便于审查。3）服务除对服务端口的生存状态进行监控外，还应该对服务协议是否正常进行监控，即

20、利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求，分析服务器返回的结果，以判断当前服务是否正常以及内存数据是否变动。YD/T 5同时，还建议权威域名服务器能够支持如下的信息查询：当前每秒处理的查询数量、启动时间、内存占用量、根据配置指定的域名 24h内被查询的数量。基于服务协议的监控要求以不低于5 min一次的频率进行轮询扫描。监控结果应保存24h以上，便于审查。4） SOA检查通过使用D NS工具软件如D IG、 NSLOOKUP等，检查域名解析服务配置中S OA的正确性。5）负载情况对

21、于提供域名解析服务的服务器的负载情况进行监控，主要包括处理器（ CPU）、内存（ MEM）、硬盘存储空间及网络带宽等资源使用情况的监控。对服务器资源使用情况的监控要求以不低于5 min一次的频率进行轮询扫描。监控结果应保存 24h以上，便于审查。5.3 故障维护要求域名解析服务作为互联网的基础服务，决定了对于故障维护的及时性有很高的要求。因此对极为重要的权威域建议进行如下的维护要求：1） 724的维护人员机制保障；2）应急响应

22、到场时间不迟于 30min；3）建立完善数据备份机制，可在第一时间恢复解析数据的正确性。4）建立故障日志，记录每次故障原因以及故障处理过程。5.4 日志管理要求1) 日志存放形式域名解析日志应进行保存，并以冷 /热备份的方式按时间存放。冷备份的方式应有两种以上，包括硬盘、磁带、光盘等方式。冷备份数据应存放在两个以上不同的物理地点。热备份应将日志存放在服务器的存储设备上。2) 日志存放时间冷备份应保留最新的 3个月

23、的全部日志。并建议进行永久保留。热备份的保留时间，应以满足域名管理者的日志分析需求为标准。3) 日志分析应建立解析服务日志的分析制度，以便于及时发现服务中的异常情况，并对非法访问采取必要的防范措施。5.5 服务运行环境要求1）机房具有火警检测及防火、防水设施，以及合适的温湿度（建议为温度为20 2，湿度为 30 60 ）；2）置于独立机柜；3）处于机房视频监控范围之内，提供不低于一个月的视频监控记录；4）服务器机笼或/和机柜均设锁，钥匙设两份；5）机柜需保证双路电源输入，每路供电不低于 16A；6）电源供应稳定，保证不间断供电，确保有 2h以上的 UPS电源设施；7）具有不低于 100Mbps的独享接入带宽，其接口应具有立时可扩充带宽的能力；8）服务器机房有专人管理，有 7x24的值班响应和安全保证服务。

展开阅读全文