當前我國網站數量達到183萬個,域名總數為786萬個。細心的網民會發現,某些網站往往會出現暫時性消失,也就是當訪問指定網站時,要么無法訪問,要么會被自動跳轉到無關的頁面。普通網民對此可能不會太在意,也不會深究其背后的原因,而一些具備網絡技術背景的網民很容易猜到這可能是域名出現故障所致。
上述的事件在近期就發生一例。9月5日上午,包括微軟、宏碁、沃達豐和UPS在內的眾多知名網站都遭遇了域名劫持。當用戶訪問上述網站時,要么無法訪問,要么會被跳轉到黑客自己設立的頁面。盡管很多網站迅速恢復了服務,但有的域名系統卻需要長達72小時才能啟用新的設置,導致部分網站仍然無法訪問。
企業的域名解析出現問題,中斷了服務,就相當于企業在互聯網世界中消失了,輕則給用戶體驗帶來負面的影響,重則給企業帶來巨大的經濟損失,尤其對于電子商務、搜索引擎、在線游戲、門戶類網站,以及網上銀行、證券交易等在線運營企業來說,一旦網站消失,企業的"生命線"也就隨之中斷。
位于互聯網基礎資源層的域名系統被喻為互聯網的中樞神經,是企業網站穩定運行的基礎保障,因此域名管理對于企業來說至關重要。為了探究當前企業域名管理中所遇到的問題,致力于域名服務發展行業的中網公司(knet.cn)對數十位企業技術高管進行了域名安全的問卷調查,此次調查結果顯示,CTO/CIO們認為DNS管理急需解決或改善的問題主要集中在以下幾大方面:一是如何簡化運維的復雜度;二是如何減少運行成本;三是如何提高運營水平;四是如何面對未來互聯網。
首先,如何簡化域名運維復雜度?我國企業互聯網域名管理大多都是委托給域名注冊商來管,但由于域名注冊商等主流域名解析托管服務在功能、性能、安全性、穩定性、可維護性等方面無法滿足需求,眾多互聯網企業紛紛轉向自建域名解析平臺,但用戶自建的域名系統規模小、運維不專業,存在很大的安全隱患,這就加大了域名運維的復雜度,當企業域名遭受攻擊時,企業需要花很大的精力來修復和解決,因此也分散了企業對核心業務的專注度,無法聚焦于核心業務。
二是如何減少域名運行成本?上文已經提到,在注冊商域名服務水平有限的情況下,大多數企業選擇DNS自建的方式,但這需要企業在全國范圍內大規模部署節點,既造成了資源利用效率的低下,而且對于大型企業來說也是沉重的投資負擔,更不用說IT設施投入有限的中小企業了。而且自建DNS之后的運維投入對企業來說也是不小的負擔,因為企業平均每周需要花近8個小時來管理DNS系統,還要不斷提升硬件的能力。
三是如何提高域名運營水平?企業域名委托給注冊商管理,其運營水平自然維持在較低的水平,并且承擔著域名解析隨時中斷的風險。那么企業自建DNS就能夠提升域名運營水平了嗎?據調查問卷的統計結果顯示,一些DNS自建的企業依然面臨大規模DDOS攻擊防范、系統監測、統計分析、節點少、性能、安全等問題,這意味著企業域名系統無論是托管還是自建,都無法實現較高的運營水平。
四是如何面對未來互聯網的發展?互聯網技術日新月異,DNSSEC、IPv6、IDN等新技術的應用已是大勢所趨,這對于企業域名系統來說意味著新的挑戰。假設企業原有域名系統無法支持下一代互聯網技術,將意味著企業網站在新的網絡平臺上無法使用。因此如何讓當前的域名系統適應下一代互聯網平臺,是企業需要站在長遠角度思考的問題。
以上四大問題是企業CTO/CIO們在域名管理中所遇到的難題,從中可以看到,企業不僅希望域名系統能夠保障企業網站的穩定安全運行,還希望域名系統能夠幫助企業減少投資成本,增強企業靈活性,以及適應新一代網絡平臺的需求。
(二)企業域名選擇自建還是托管?
作為互聯網基礎的域名解析,在20多年的發展歷程中經歷了"自建-托管-自建"的輪回方式,其間也出現了"半自建半托管"。但無論哪種方式,企業都不能盲目選擇,也不應面對當前域名系統一成不變,而應該尋求適合自身企業信息系統特點的域名搭建方式。
對于企業來說DNS自建和托管不能一概而論,這需要企業根據自身信息系統建設的特點來選擇,下文就是針對不同類型的企業所提出的不同的域名解決方案。
一是如果企業規模比較大,已經建立了完善的信息系統,擁有自己有域名服務器,具備域名解析的能力,這類企業無需放棄原有的域名服務設備,只需在專業的第三方域名服務商那里增加一項遠程備份服務。專業域名服務商的服務節點相比企業來說較多,企業原來可能只有一、兩個節點,在服務商那里備份之后,企業就相當于在原來的節點基礎上增加了幾個節點,當企業的域名解析在某一節點出現問題的時候,其域名解析不但不會受到影響,而且應對訪問請求的解析能力會提高,服務能力得到增強。備份除了讓企業域名的安全性得到提高以外,還能夠實現讓用戶就近訪問,提高訪問的速度。
二是對域名安全有較高要求的企業來說,可以把域名解析完全托管到第三方域名服務商那里,如果企業并沒有在域名解析這方面的投資,比較經濟的方式也是托管。域名很重要,但是企業自己建一個好的域名解析平臺所消耗的人力和財力比較大,采用托管方式不僅投資小,維護起來也更加方便,省去了多點運維、定期維護的麻煩。目前國內提供域名解析服務的廠商有中網(knet.cn)、萬網、新網、DNSPod、有孚網絡、中國電信等,其中中網(knet.cn)是專業的商用域名解決方案提供商,主要面向大中型高端企業客戶;萬網、新網屬于域名注冊商,以賣域名為主,提供的是免費的域名解析服務;DNSPod提供免費的智能DNS解析服務,主要面向低端客戶;有孚網絡和中國電信屬于增值電信運營商,主要提供服務器租賃服務。
三是對于網站域名安全沒有特別要求的中小型企業,這些企業可能大部分沒有設置域名解析服務器,有些企業的網站空間還租用的是虛擬主機,那么域名解析可以仍然采用域名注冊商提供的免費域名解析服務。不過,隨著企業不斷發展壯大,當域名安全、網站訪問速度等對于企業的業務拓展、品牌塑造越來越重要時,企業就應該考慮把域名解析服務托管在專業的第三方域名服務商那里。
總之,企業無論是采用自建、托管,還是備份,都需要根據企業規模、信息建設等方面的現狀進行部署,但總的來說,域名托管是比較明智的選擇。據了解,在美國市場上,企業越來越接受把DNS外包,請專業的運維服務商來幫助運維管理,這主要是因為自建的DNS服務器的可靠率不高,發生宕機的機率是第三方提供DNS服務器的2倍。
(三)企業域名采用開源軟件和商用軟件的性能對比
企業域名選擇自建或是托管,這是域名建設策略層面的問題,而從技術層面來說,企業域名系統該如何選擇DNS基礎軟件呢?
通常企業域名采用的軟件包括三種,一是開源軟件,如BIND;二是基于開源軟件二次開發的系統;三是商用軟件。根據域名安全調查報告的統計結果顯示,企業自建DNS所采用的軟件大部分是開源軟件系統BIND,其次是二次開發系統,采用商用軟件的占有很少的比例。
實際上,域名系統所用的基礎軟件極其重要,如果因配置不當或升級延遲,軟件存在的漏洞很容易被黑客利用,這也是域名系統面臨的重要安全問題。
近幾年來,開源并且免費的軟件BIND被廣泛使用,在國內的應用率達到了80%以上。眾所周知,開源軟件的很多漏洞在業內是公開的,很容易遭受攻擊,據了解,目前BIND存在的歷史漏洞已有40個之多,近年影響較大的漏洞包括ISC BIND 9遠程動態更新消息拒絕服務漏洞、DNS緩存中毒和拒絕服務漏洞等。因此采用開源軟件的域名系統很容易面臨崩潰的危險。除此之外,采用開源軟件的域名系統不支持圖形化界面,全部基于命令行實現,維護起來非常復雜,給運維人員帶來了很大的煩惱。
而基于開源軟件二次開發的系統,雖然相較于開源軟件安全性更強一些,但由于底層技術的安全隱患,在域名系統遭到強大攻擊時也難逃崩潰的危險。
因此,企業重要的域名解析應該采用商軟件。首先,商用軟件是經過安全加固的,具有很強的攻擊防護能力,從本質上改變了開源BIND存在的安全風險,這也意味著域名系統的基礎層面是安全牢固,攻不可破的。其次,采用商用軟件的域名系統能夠實現圖形化界面,讓運維人員一目了然,操作起來非常方便。第三,雖然商用軟件是收費的,但企業買單之后往往還能享受到軟件商所提供的后續服務,需要注意的是,企業在采用商用軟件之后,一定要定期關注軟件商發布的最新安全漏洞,定期升級軟件系統。
(四)企業采用第三方域名需要考慮哪些因素
前文已經提到,隨著企業發展規模的壯大,企業域名的增多,選擇第三方域名服務商進行域名管理將是明智的選擇。那么企業選擇第三方域名管理需要考慮哪些因素呢?
首先需要考量第三方DNS服務的企業在域名方面的資質、技術能力、企業綜合實力等等。據了解,國際上擁有域名技術實力的域名服務商大概有三四家,包括Verisign、Neustar、Afilias等,國內具有實力的域名服務商有CNNIC(中國互聯網信息中心)、中網(knet.cn),這兩家排在第一梯隊,第二梯隊則以DNSPod為首。
CNNIC是互聯網地址資源注冊管理機構,國家政府背景。今年6月30日,CNNIC宣布推出國家域名云解析服務,為.cn和.中國域名的用戶提供技術服務,這一服務將永久免費。國家域名云解析服務具有高性能的服務節點、完備的協議兼容性、快速的數據更新技術和先進的安全檢測方案,可實現域名批量管理、DNS流量監測分析以及向下一代互聯網無縫升級。但比較遺憾的是,如果網站域名是.com或者.net,那就用不上CNNIC域名云解析服務。
中網(knet.cn)脫胎于CNNIC,是國內唯一域名整體解決方案提供者,擁有專用設備、商用軟件和域名云服務。中網依托中科院研發能力,繼承國家域名系統14年建設與運維經驗,參與制定了9項域名國家行業標準,承擔國家發改委信息安全專項,其自主研發的ZDNS系列專用域名設備已經通過全球IPv6金牌驗證和中國DNSSEC驗證。今年7月,中網還推出了面向中高端企業用戶的域名云服務,該服務具備智能解析、多維度監控、DDOS云防御、支持下一代互聯網等特點,在海內外和國內各大運營商布置了十多個節點。
DNSPod主要為個人站長提供電信、網通、教育網雙線或者三線的免費DNS解析,并提供IPv6的支持和動態域名解析的功能,另外還支持DNS輪詢、URL轉發、API接口、批量修改管理等先進功能,并且所有功能都是免費提供。動態域名解析和URL轉發大大方便個人站長,因而備受青睞,但卻是在打政策擦邊球,因為政策是不允許域名隨意跳轉的。
以上三家域名服務商面向不同層面的企業,免費服務和商用服務所體現的價值自然存在很大差異,企業可根據需求進行選擇。
其次,需要考量第三方DNS服務的運行能力和客戶服務能力。域名托管不僅考驗域名服務商的技術硬能力,更要考驗域名服務商的軟能力,這就需要企業具體考量域名服務商的以下幾個方面:首先,是否具備為國家重大項目提供重點域名保障的經驗;其次,是否具備7*24*365的全方位服務監控能力;第三,是否具備專業的團隊負責安全事務及應急事件的處理;第四,是否推行國際標準的服務品質協議(SLA)。
第三,需要考量DNS智能解析、多維度監控、DDOS防御等主體功能。在智能解析方面,要看服務商的平臺是否具備BGP & IP Anycast技術和精準的地址數據庫,BGP & IP Anycast能夠做到最大程度上的就近訪問,而精準的地址數據庫則能助力企業實現業務分流、過載流量調度,以實現帶寬的保證;在多維度監控方面,要看服務商是否具備實施7*24*365的服務監控的能力,是否對平臺服務可用性、節點服務可用性到域名服務可用性等不同維度進行監控;在DDOS防御方面,也是要考量服務商是否具備BGP & IP Anycast技術,通過該技術,可將DDOS攻擊流量有效分散到全球的各個節點,充分利用個節點的流量清洗資源,做到化整為零,各個擊破。
四是,需要考量第三方DNS是否具備統計分析、支持下一代互聯網等附加功能。企業要想對域名服務狀態了然于胸,就需要域名服務商提供詳細的統計分析,包括網站性能監測報告、網站運行故障及報警報告、網站可用性、訪問速度的體驗報告等。而第三方平臺能否支持下一代互聯網也是非常重要的指標,如果其提供的平臺僅能夠滿足當前的運營環境,而無法支持IPv6,IDN,DNSSEC等新技術,將會制約未來發展。
以上是企業選擇第三方域名服務商需要重點考慮的因素。在企業已成規模或高速發展的階段,企業CTO/CIO們需要以建設性和前瞻性的思維,根據企業信息系統現狀,從安全、穩定、兼容、服務等各個角度選擇最佳的域名安全解決方案,只有互聯網底層架構牢固了,才能保障企業網站的安全穩定運行,也才能保障企業在互聯網時代健康長遠的發展!
京公網安備 11010502049343號