【YD通讯标准】 域名系统权威服务器运行技术要求

ICS 35.100.70
中华人民共和国通信行业标准
YD/T 2138-2010
域名系统权威服务器运行技术要求Technical specifications forDNS authoritative serveroperations2010-12-29 发布
2011-01-01实施
中华人民共和国工业和信息化部　发布前
2规范性引用文件…
3术语，定义和缩略语
3.1 术语和定义
3.2缩略语·
4构建权威域名服务的技术要求.4.1
功能和协议要求
权威服务器性能要求
4.3权威服务系统的安全要求·
5权威服务运行管理要求
权威服务器要求
服务监控要求
故障维护要求·
日志管理要求
服务运行环境要求
THKAMiKAca
YD/T 213B-2010
YD/T2138-2010
本标准是“域名系统运行技术规范体系”系列标准之一，该系列标准的结构和名称预计如下：1）《域名系统运行总体技术要求》2）《域名系统权威服务器运行技术要求》3）《域名系统递归服务器运行技术要求》4）（域名服务安全框架技术要求》《Pv6网络域名服务技术要求》
域名系统授权体系技术要求》
7）《公共域名解析系统安全标准》8）《域名系统安全防护技术要求》9）《域名系统安全防护检测要求》本标准由中国通信标推化协会提出并归。本标准起草单位：中国互联网络信息中心、北龙中网（北京）科技有限责任公司。本标准主要起草人：李晓东、毛伟、金　键、王　伟、张跃冬、卢文节。H
1范围
域名系统权威服务器运行技术要求本标准描述了构建权威域名服务的基本技术要求以及权威域名服务运行管理要求，本标准适用于权威域名服务系统。2规范性引用文件
YD/T2138-2010
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。YD/T2052-2009
YD/T 2135-2010免费标准下载网bzxz
IETF RFC 1034
IETF RFC 1035
IETF RFC 1305
IETF RFC 1995
IETF RFC 1996
IETF RFC 2136
IETF RFC 4033
IETF RFC 4034
IETF RFC 4035
IETF RFC 4431
IETF RFC 5074
3术语、定义和缩略语
3.1术语和定义
域名系统安全防护技术要求
域名系统运行总体技术要求
域名一 概念和设施
域名一执行和规范
网络时问协议规范、部署和分析域名系统增量区传送
区内容变化快速通知机制
域名系统动态更新
域名系统安全介绍和要求
域名系统安全扩展资源记录
域名系统安全扩展协议修改
DNSSEC中的DLV记录
域名系统安全扩展的旁路认证
YD/T2135-2010域名系统运行总体技术要求》界定的术语和定义适用于本文件。3.2缩略语
下列缩略语适用于本文件。
DNSSEC
Central Process Unit
Domain Name System
DNS Security Extension
Generic Top Level Domain
Memory
Network Time Protoca
Simple Network Management ProtocolStart of Authority
中央处理器
域名系统
域名系统安全扩展
通用类别顶项级域
网络时问协议
简单网络管理协议
起始权威
THKAMiKAca
YD/T 2138-2010
Transmission Cantrol ProtocolTransaction Signature
User Datagram Protocol
4构建权威域名服务的技术要求
4.1功能和协设要求
传输控制层协议
事务签名
用户数据报协议
互联网络的域名服务质量很大程度上依赖于权威域名服务的正确、安全和可靠的运行，特别是顶级域的安全运行对于整个互联网的发展和建设来说至关重要。因此，有必要对互联网中权威域名服务器的构建进行规范化。
作为域名系统的权威服务器，其实现必须符合表1中所列出的标准，具备权威服务器的基本功能。包括：
1）能够处理来自互联网络的任何客户端的域名查询请求：2）能够和该区的可信任辅服务器之间实现安全的区数据传送：3）支持DNS安全协议扩展（DNSSEC）及DNSSEC旁路认证（DLV）。具体的协议见表1。
表1域名服务系统接口协议要求
协议名称
DNS协设
DNSSEC协议
DLV协设
域名系统增量区传送协议
区变更通知协议
1ETF RFC 1034、IETF RFC 1035相关标准
IETFRFC4033.IETFRFC4034.IETFRFC4035IETF RFC 4431、IETF RFC5074
IETF RFC 1995
IETF RFC L996
同时，为确保域名服务运行的正确性，建议提供域名服务的服务器设备，均应配置时间服务器，通过网络时间协议（NTP，见IETFRFC1305）进行时间同步。4.2权威服务器性能要求
作为互联网基础设施，权戚域名服务系统是影响互联网各项应用性能的重要环节，所以保障权威域名服务系统的性能关系到：
1）稳定的域名解析服务是基于互联网业务正常运行的基础：2）高速的域名解析服务可以直接提升基于互联网的应用访问速度：3由多台域名解析服务器提供某一个域解析服务的情况下，单台域名解析服务器的性能将影响上联网用户对该服务器本身的的访问流量分布。一般来说，如果越快的域名解析服务器得到的访问请求越多，则可更好地辐射周边地区，提升周边区域互联网应用的访问速度；4）域名解析系统的更新效率直接影响到基下互联网的应用实时性，并且影响荐业务的准确性。随着注册域名数量的增加：会导致域名服务访问量的上升，从而使得域名服务系统承受的压力也不断上升。因此，注册域名数量的上升，必然会对域名服务系统的解析性能和网络带宽等提出更高的要求。性能要求将主要划分为对丁域名解析性能和域名数据同步两部分组成，解析服务过程中，应保证提供本标准要求的数据水平或者更高的服务质量。4.2.1权威域名解析性能要求
YD/T2138-2010
由丁域名服务系统是互联网络的重要基础设施之一，而域名解析系统是域名服务系统中的重要组成部分，因此要尽最大势力确保域名解析系统的服务可用性。一般来说，公开的解析服务可用性需要达到99.999%。具体实施过程中，应利用多点亢余的部署实施方法，满足服务系统的商可用性要求。权威域名解析系统应保证其备负载最重节点请求峰值的3倍请求量的处理能力，以应对可能针对域名系统的突发访问或服务攻击。域名解析系统的最低响应时问应在500毫秒之内。具体见表2。表2权威域名解折系统性能要求
DNS解折
服务可用性
处理能力
嘀应时间
计划停运
负载最重节点请求峰值的3倍请求量95%的请求在≤500ms内完成
不充许
标准要求
详细要求见YD/T2052-2009《域名系统安全防护技术要求》。4.2.2数据同步
域名数据同步是域名辅服务器得到主服务器的更新通知后，获取主服务器的最新版本区文件的过程，这是一个数据传输过程。数据同步时间直接影响到新注册域名信息的生效时间。理论上，域名被注册以后，该域名解析生效过程一定要在域名管理者所公布的域名注册信息生效时问周期内完成，也就是在该时问段内，解析记录会被更新到该域所有对应的权威服务器上。数据同步的时间要限定在24h以内，
权威服务器一般应该能够支持dnsupdate协议（IETFRFC2136），进行局部数据动态更新操作。因此，权威服务器应该能够定时进行整个的区文件增量更新操作。4.3权威服务系统的安全要求
4.3.1数据安全
1）权威服务器应该只提供TCP协议和UDP协议53端口的标准DNS解析服务。2）在权威域名服务器其他TCP/UDP端口上提供的服务应该限制在该服务系统内部的服务器之间进行。
3）应该禁止除管理员之外的其他人或其他服务器从域名解析服务器上下载区文件。4）权威服务器自身不应提供除了域名服务之外的其他服务，比如HTTP、Telnet、Rlogin、FTP等等。5）服务器必须通过一种安全机制求进行远程管理和维护。6）服务器所在的局域网内不能放置容易被攻破的主机。7）服务器所在的局域网应该有包过滤机制，以阻断来自域名服务端口以外的端口访问。8）应采用隐藏的土服务器作为一个权威域名服务系统的数据源。9）域名数据的更新应该在一些必要的更新错误检测之后进行。一旦更新失败，需要人为干预。当发生严重的网络故障时，每个权威服务器都应该有替换办法（备份网络通道或者非网络途径）来更新域名数据。
10）权威服务器应该维护和记录全局的统计数据（包括用户查询日志等），以便于进行数据分析，发现安隐志。
4.3.2解析安全
1）语法检查
THKAMiKAca
YD/T2138-2010
在权威服务器提供域名解析服务前，必须采取措施对每-·次生成的域名数据进行语法检查和数据匹配检。
）语法检查，检查区文件格式是否符合域名解析软件的格式要求。语法检查应在区文件尘成之后，区数据的传送开始之前完成；
b）匹配检查，全量/随机检查区文件与数据库注册数据信息的一致性。匹配检查的时间应保证在域名注册生效时间周期内完成。
2）域名解析软件安全
域名解析软件应经过安全检验，避免业已发现的漏洞造成域名劫持或域名改等安全事件。3）反向解析
为确保解析服务的安全性，域名注册管理机构、域名注册服务机构以及网络互联单位的域名解析服务器，在允许的情况下，应提供in-addr.arpa反向域名解析服务。4）时间同步
域名权威辅服务器与主服务器应保持时间上的同步，建议采用NTP协议或其他技术手段实现时问向步。
4.3.3传输安全
1）主辅权限
权威名字服务器不应该信任被指定信任的服务器之外的服务器，这是基于认证、密钥以及其他访问安全问题的考忠。域名解析主服务器与辅服务器之间的信任关系，只限于区文件传输。域名解析十、辅服务器的网络远程控制，应只对信任P地止和端口打开权限。2）加密传输
域名解析服务数据的同步（区传送），建议采用DNSSEC或TSIG等技术，确保更新数括的完整性，以及数据更新源身份的合法性。具体要求见YD/T2140-2010“域名系统安全框架技术要求》中的规定。5权威服务运行管理要求
5.1权威服务器要求
1）服务器数量
针对某个域，提供权威域解析的服务器数量应不低于2台，建议独立的名字服务器数量为5台。2）部署要求
提供权威域解析的服务器应至少部署丁2个不同的网络中，并且建议在地理上进行分布。5.2服务监控要求
1）网络环境
需对域名服务器边界网络设备的流量、包数进行监控，监控方式可基于监听、SNMP、NctFlow等网管技术和协议。对流量和包数的监控，有助于下判断服务是否遵受非正常访问。2）服务端口
域名服务系统的正常运行，要求对所有涉及到的服务进行监控，其体需要监控的服务及对应端口见表3。
服务名称
DNS解折服务
DNS解析服务
表3域名服务系统服务端口监控
对应端口号
UDP协议的53端口
TCP协议的53端口
YD/T2138-2010
服务端口的监控要求以不低于5min一次的频率进行轮询扫描。监控结果应保存24h以上，便于审查。3）服务
除对服务端口的生存状态进行监控外，还应该对服务协议是否正常进行监控，即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求，分析服务器返回的结果，以判断当前服务是否正常以及内存数据是否变动。
同时，还建议权威域名服务器能够支持如下的信息查询：当前每秒处理的查询数量、启动时间、内存占用量、根据配置指定的域名24h内被查询的数量。基于服务协议的监控要求以不低于5min一欢的频率进行轮询扫描。监控结果应保存24h以上，便下审查。
4）SOA检查
通过使用DNS工具软件如DIG、NSLOOKUP等，检查域名解析服务配置中SOA的正确性。负载情况
对于提供域名解析服务的服务器的负载情况进行监挖，主要包括处理器（CPU）、内存（MEM）硬盘存储空间及网络带宽等资源使用情说的监控。对服务器资源使用情况的监控要求以不低于5mil一次的频率进行轮询扫描。监控结果应保存24h以上，便丁审查，
5.3故障维护要求
域名解析服务作为互联网的基础服务，决定了对于故障继护的及时性有很高的要求。因此对极为重要的权威域建议进行如下的维护要求：1）7×24h的维护人员机制保障：2）应急响应到场时间不迟于30min：3）建立完善数据备份机制，可在第一时问恢复解析数据的正确性：4）建立故障H志，记录每次故障原因以及故障处理过程，5.4日志管理要求
1）日志存放形式
域名解析口志应进行保存，并以冷/热备份的方式按时间存放。冷备份的方式应有两种以上，包括硬盘、磁带，光盘等方式。冷备份数据应存放在两个以上不同的物理地点。热备份应将日志存放在服务器的存储设备上。2）日志存放时间
冷备份应保留最新的3个月的全部日志。并建议进行永久保留。热备份的保留时间，应以满足域名管理者的月志分析需求为标准。3）日志分析
应建立解析服务白志的分析制度，以便于及时发现服务中的异常情况，并对非法访问采取必要的防范措施。
THiKAMiKAca
YD/T2138-2010
5.5服务运行环境要求
1）机房具有火检测及防火、防水设施，以及合适的温湿度（建议为温度为20±2℃，湿度为30%~～60%）
2）置于独立机柜；
3）处于机房视频监控范围之内：提供不低于一个月的视频监控记录：4）服务器机笼或/和机柜均设锁，钥匙设两份：5）机柜需保证双路电源输入，每路供电不低丁16A：6）电源供应稳定，保证不间断供电，确保有2h以上的UPS电源设施：7）具有不低于100Mbit/s的独享接入带宽，其接口应具有立时可扩充带宽的能力：8）服务器机房有专人管理，有7×24h的值班响应和安全保证服务。6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。