banner1

您的位置: 首页 > 项目案例 > 弱电机房 > 企业型机房 > IDC基础系统建设

IDC基础系统建设

(责任编辑: 钜兆数据) 发布日期: 2019-05-15 12:50:12

IDC基础服务系统建设全解析

IDC基础服务系统概述

在IDC前期建设中,首要任务之一是建设其基础服务系统。IDC的基础系统主要包括:

  • DNS系统 - 域名解析服务
  • 目录服务系统 - 用户和资源管理
  • 数据备份系统 - 数据安全保障
  • 安全系统 - 全方位防护体系

DNS系统建设

DNS基础原理

在Internet上,计算机和网络设备使用IP地址进行标识,但IP地址难以记忆,因此采用与IP地址相对应的域名(Domain)来表示主机和网络。

DNS(Domain Name Service)即域名服务,其主要功能是将主机名字和IP地址相互匹配,供Internet用户以主机域名的方式相互查询。DNS向用户提供域名查询或域名登录服务,并与Internet中的其他域名服务器共同形成全球域名服务体系。

DNS高可用架构

为确保DNS系统的高可靠性,通常采用两台或多台服务器运行:

  • 一台主服务器(Primary)
  • 一台或多台次服务器(Secondary)

当主服务器不可用时,次服务器可自动接管工作,主次服务器之间采用自动信息更新机制确保数据一致性。

IDC DNS系统特点

IDC的DNS系统不仅为IDC自身服务,还需为客户提供:

  • 域名定义服务
  • 虚拟域名服务

大型IDC可能需要管理上百个域名,每日处理海量查询请求。

Split DNS技术应用

为确保DNS系统的可靠性和安全性,我们采用Split DNS技术,将DNS系统划分为内部和外部两部分:

外部DNS系统

  • 位于公共服务区
  • 负责IDC对外解析工作
  • 处理IDC Web服务器及用户Web服务器解析

内部DNS系统

  • 负责解析IDC内部网络主机(如目录服务器、邮件服务器等)
  • 转发内部对Internet域名的查询请求

这种架构使Internet用户只能看到外部DNS服务器,有效隐藏内部网络结构,提升安全性。

DNS服务器配置方案

我们采用两台Sun E420R服务器作为外部DNS服务器,两台Sun E420R服务器作为内部DNS服务器,所有服务器以主次方式运行。DNS软件可采用Solaris系统自带或开源Bind软件。

DNS服务器 机器型号 配置 备注
外部DNS
主DNS服务器		 Sun E420R 2x450MHz UltraSPARC CPU
1GB Memory
2x18.2GB Internal Disk		 -
次DNS服务器 Sun E420R 2x450MHz UltraSPARC CPU
1GB Memory
1x18.2GB Internal Disk		 可选
内部DNS
主DNS服务器		 Sun E420R 2x450MHz UltraSPARC CPU
1GB Memory
2x18.2GB Internal Disk		 -
次DNS服务器 Sun E420R 2x450MHz UltraSPARC CPU
1GB Memory
2x18.2GB Internal Disk		 可选

IDC安全性建设

[IDC安全架构示意图]

注:此处应插入IDC安全架构图,展示网络层、主机层和应用层的安全防护措施

系统安全架构设计涵盖两个核心方面:

  1. 防止IDC网络外部用户对系统的攻击
  2. 防止IDC网络内部各子系统之间的攻击

多层次安全架构

1. 网络层安全

主要防范对整个网络的非法访问,通过防火墙实现:

  • 配置多级防火墙隔离IDC网络各组成部分
  • 不同级别防火墙可采用不同产品增强安全性
  • 允许合法访问通过,阻断非法入侵尝试

2. 主机/服务器系统安全

针对单台机器的安全防护:

  • 操作系统自身安全加固
  • 采用专业安全产品如SUN Security Manager、CA Unicenter TNG等

3. 应用层安全

从三个维度保障应用安全:

  • 增强应用服务器系统安全
  • 实施严格的身份认证机制
  • 采用数据加密和防病毒技术

操作系统安全规划

操作系统安全是整体安全的基础,主要包括:

用户管理

  • 账号口令策略管理
  • 设置账号有效期和口令存活期
  • 可限制用户登录时间段
  • 实施登录审计(audit)

超级用户管理

  • 严格限制普通用户提升为超级用户(如su、rlogin等命令)
  • 可使用CA Unicenter TNG等软件控制超级用户权限

文件系统安全管理

  • 控制用户对特殊文件的访问权限(特别是删除、移动等)
  • 对NFS系统采用kerberos认证

远程访问控制

  • 默认关闭telnet、ftp、r-系列命令(rsh、rlogin、rcp)
  • 为系统管理员保留必要的远程管理通道

防病毒体系

病毒主要通过电子邮件、Web浏览和内部文件共享传播。防病毒策略分为:

防病毒方式 实施位置 优点 适用场景
集中防病毒 主要服务器 统一防护,管理方便 IDC核心服务器群
分散防病毒 客户端 针对性防护 管理终端等客户端设备

IDC主要采用集中防病毒方法保护邮件和HTTP数据流,同时对管理终端等实施分散防护。

防火墙配置

防火墙(Firewall)是网络安全的核心组件,通过在网络间实施访问控制:

  • 保护网络不受外部攻击
  • 隔离风险区域与安全区域
  • 允许受控访问风险区域

防火墙主要功能包括:

  • 检查并过滤潜在威胁的IP数据包
  • 屏蔽存在安全漏洞的服务(如Telnet、FTP)
  • 控制Internet流入数据的流向(如仅允许访问指定DNS、WWW服务器)
  • 屏蔽对特定Internet站点的访问
  • 实现NAT(网络地址转换),隐藏内部网络结构
  • 记录访问日志(Access Log)

除IDC自身防火墙外,特定用户可在其应用前增设专用防火墙,根据实际需求定制防护策略。

网络和系统入侵监控

入侵检测系统通过以下方式实现:

  • 在网络部署专用扫描设备
  • 在关键服务器安装防入侵软件

防入侵软件两大核心功能:

  1. 安全漏洞扫描 - 在系统建立初期发现并修复安全问题
  2. 实时入侵监控 - 运行时检测异常数据流,防止黑客入侵

IDC具体实施方案:

  • 在每个重要服务网络入口部署探测器
  • 探测器截获异常流量并向管理服务器报警
  • 关键服务器安装类似探测器
  • 形成多层次的入侵防御体系
  • 上一篇: 返回列表   下一篇: IDC基础系统建设
    • 微信二维码

    技术支持 : 13828466009

    联系我们