国产精品99久久久久久久女警-国产在线观看免费观看-一本久道久久综合狠狠爱-国精品无码一区二区三区左线

       IDC在前期建設中，首要任務之一是建設其基礎服務系統，IDC的基礎系統主要有DNS系統、目錄服務系統、數據備份系統、安全系統等。
 

DNS建設

       在Internet上計算機和網絡設備使用IP地址來表示的，但IP地址很難記憶，所以采用和IP地址相對應的域名(Domain)來表示主機和網絡，DNS(Domain Name Service)即域名服務就是把主機名字和IP地址作相互匹配，供Internet上用戶以主機域名的方式相互查詢。DNS是向用戶提供域名查詢或域名登錄服務，其與Internet中的其它域名服務器形成全球域名服務體系。通常DNS服務器采用兩臺或多臺的方式來運行，其中一臺主服務器（Primary），其它為次服務器（Second）,當主服務器不能工作時，有任何一臺次服務器來接管其工作，這樣保證了DNS系統運行的可靠性，主次服務器之間采用自動信息更新方式。
 

       IDC的DNS系統除了要為IDC自身服務之外，還要為其客戶提供相應的域名定義、為用戶開設虛擬域名服務等。所以在IDC的DNS服務器上可能要定義和管理上百個或更多域名，由于有如此多的域名，其每天接受的查詢量也是相當龐大的。
 

       為了保證IDC的DNS域名的可靠性和安全性，我們采用Split DNS技術來設計IDC的DNS系統，即把IDC的DNS系統劃分為內部和外部兩部分，其中外部DNS系統位于公共服務區，負責IDC正常對外解析工作，如IDC的Web服務器、IDC用戶的Web服務器等解析工作全由外部DNS服務器來完成；內部DNS系統主要有兩項工作，一是負責解析IDC內部網絡的主機，如目錄服務器、郵件服務器等，另一工作是負責當內部要查詢Internet上域名時，其把查詢任務轉發到外部DNS服務器上，然后由外部DNS服務器完成查詢任務，返回結果。由于把DNS系統分內外兩部分，Internet上用戶只能看到外部DNS系統中的服務器，而看不見內部的服務器，而且只有內外DNS服務器之間交換DNS查詢信息，從而保證了系統的安全性。

       我們采用兩臺Sun E420R服務器作為外部DNS服務器，兩臺Sun E420R服務器作為內部DNS服務器，所有兩臺服務器之間以主次方式運行，DNS軟件可采用Solaris系統中的，也可使用Internet上公開的Bind。具體的服務器配置如下表所示。

安全性建設
 

       系統安全架構的設計將包括兩個方面：防止IDC網絡外部用戶對IDC網絡系統可能的攻擊，以及防止IDC網絡內部各子系統之間可能的攻擊。這兩個方面所采用的技術和思路是一致的。
 

       系統安全架構將從三個層次來考慮：網絡層、主機/服務器系統及應用層。

       網絡層的安全主要是防范對于整個網絡的非法訪問，一般通過防火墻來實現。通過配置了多級防火墻，以隔離IDC網絡各個組成部分相互之間的非法訪問（合法訪問可以通過）；對于Internet用戶來講，如果想非法侵入IDC內部網絡，必須突破防火墻的防范。另外，各級防火墻可采用不同的產品，以提高網絡整體的安全性。
 

       主機/服務器系統的安全是針對個別機器的。除了主機/服務器的操作系統自身的安全性之外，目前有多種產品可供選擇，包括SUN公司的Security Manager和CA公司的Unicenter TNG等產品。
 

       應用層的安全將從三個方面來考慮：增強應用服務器系統的安全；采用身份認證機制，以保證應用的可靠性；采用數據加密技術和防病毒軟件，以保證應用的安全性。

 

1.操作系統的安全規劃

       操作系統的安全性建設應是整個系統安全性建設的基礎。操作系統的安全性建設主要包括用戶的管理、超級用戶的管理、文件系統安全管理、遠程對系統的訪問等。

用戶管理：對用戶的管理主要有用戶的賬號口令管理，設置用戶賬號的有效期，用戶賬號口令的存活期限等。如果需要可以規定用戶只能在指定的時間內才能登錄系統，并對登錄系統的用戶進行審核（audit）。
 

       超級用戶的管理：嚴格限制有普通用戶變成超級用戶（如使用su、rlogin等命令），如果需要可以使用如CA Unicenter TNG這樣的軟件來控制系統超級用戶的權限。

       文件系統的安全管理：控制用戶對系統內特殊文件的訪問權限，特別是刪除、移動等權限，對使用NFS系統可以采用kerberos方式認證。
 

       遠程對系統的訪問：封閉系統的telnet、ftp、r-訪問（rsh、rlogin、rcp）等功能；但可以對系統管理員開放相應的telnet、ftp功能，以便利于對系統的管理和維護。
 

2．防病毒(Anti-Virus)

       目前病毒在網絡和Internet上傳播主要以電子郵件和Web瀏覽的方式傳播，以及內部網絡上員工的共享文件的傳播。防病毒可以分為集中防病毒和分散防病毒兩種方法。集中防病毒的方法是在主要的服務器上安裝防病毒軟件，此軟件先對進出此服務器的數據進行檢查，然后再把通過檢查的數據發送給客戶；分散防病毒是只在客戶端安裝防病毒軟件，它只檢查進出客戶端的數據是否有病毒感染。
 

       由于IDC主要為客戶服務，數據主要集中在服務器上，所以在IDC系統的防病毒體系中主要采用集中防病毒方法，但同時對一些與服務器相交戶的內部客戶段（如管理客戶段）也采用分散的防病毒方法。集中防病毒主要是對進出的郵件和HTTP流數據進行防病毒；分散是保護內部網的單個終端用戶。
 

3．防火墻(Firewall)

       防火墻(Firewall)是保證網絡安全的重要手段之一，在建設IDC基礎網絡系統安全性時，首先是要考慮防火墻的建設。在Internet/Intranet上，通過防火墻來在兩個或多個網絡間加強訪問控制，其目的是保護一個網絡不受來自另一個網絡的攻擊，隔離風險區域與安全區域的連接，但不妨礙人們對風險區域的訪問。
 

防火墻要完成如下主要功能：

       通過對IP包的檢查，過濾對網絡安全有潛在威脅的IP數據包。

       屏蔽對于網絡不必要且有安全漏洞的服務，如Telnet、FTP等。

       控制從Internet上過來的IP數據的流向，如數據包其目的地址只能是某個區域的DNS、WWW等服務器。

       屏蔽對于某些Internet站點的訪問。

       完成系統內部IP地址到Internet合法IP地址的轉換，保證能夠從系統內部訪問Internet，隱藏內部網絡和主機的結構。

       訪問日記，即Access Log。

       IDC不僅要建設自己的防火墻系統，同時也要考慮特定的用戶需要建立起自己的防火墻系統，即用需要在其自己的應用前增設相應的防火墻系統來保護其應用的安全（這可根據用戶的實際需求再進行建設）。

4. 網絡和系統入侵監控

       網絡和系統的入侵檢測是在網絡上增加一臺掃描儀器和在主要服務器上增加相應的防入侵軟件來實現。此類防入侵軟件有兩個主要功能，一個掃描網絡和系統上的安全漏洞，以便在網絡和系統建立初期，就解決好安全問題，此功能也屬于安全保護范圍；另一個功能是在網絡和系統運行時，監控數據流，及時發現黑客入侵，從而做到防止黑客的入侵。
 

       在IDC系統中，在每個重要的服務取得網絡的入口處安放一個探測器，對每個進出此段網絡的數據流進行檢查探測，當其發現某一個數據流不是正常的數據流時，探測器把此數據流截獲住，并向位于管理區的管理服務器發送入侵信息和警告，然后由管理服務器在做相應的防御對策。
 

       同時在每個服務器上安裝有類似的探測器，所以當黑客入侵服務器系統時，也是采取上述動作。