系统本地ip查询

目次目次I前言II1范围12规范性引用文件13术语、定义和缩略语13.
1术语和定义13.
2缩略语24概述34.
1域名系统架构和基本要求34.
2公共域名服务系统安全要求45.
公共域名服务系统安全技术要求45.
1权威域名服务系统技术要求45.
2递归域名服务系统技术要求45.
3授权安全要求55.
4DNS数据备份要求56.
公共域名服务系统安全管理要求56.
1资产管理要求56.
2人员管理要求66.
3运行管理要求66.
4物理和环境管理要求66.
5设备管理要求66.
6通信和操作管理要求76.
7访问控制管理要求86.
8连续性管理要求8前言本标准按照GB/T1.
1-2009给出的规则起草.
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口;本标准起草单位:中国互联网络信息中心国家计算机网络应急技术处理协调中心本标准主要起草人:信息安全技术公共域名服务系统安全要求1范围本标准规定了公共域名服务系统的基本要求、技术要求以及管理要求.
本标准适用于顶级域名服务系统,其他各级域名服务系统、递归域名服务系统的开发和管理.
2规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
YD/T2091-2010公共域名解析系统安全要求YD/T2136-2010域名系统授权体系技术要求YD/T2137-2010域名系统递归服务器运行技术要求YD/T2138-2010域名系统权威服务器运行技术要求YD/T2142-2010基于国际多语种域名体系的中文域名总体技术要求YD/T2143-2010基于国际多语种域名体系的中文域名的编码处理技术要求YD/T2438-2012基于国际多语种域名体系的中文域名注册字表要求3术语、定义和缩略语术语和定义下列术语和定义适用于本文件.
域名DomainName域名系统名字空间中,从当前节点到根节点的路径上所有节点标记的点分顺序连接的字符串,如图1中对应的域名"www.
bj.
cn.
".
域Domain指域名系统名字空间中的一个子集,也就是树形结构名字空间中的一棵子树.
这个子树根节点的域名就是该域的名字,如图1中灰色圆圈所示的域"net.
cn".
顶级域TopLevelDomain指域名系统名字空间中根节点下最顶层的域.
顶级域分为国家及地区代码顶级域(CountryCodeTopLevelDomain,ccTLD)、通用类别顶级域(GenericTopLevelDomain,gTLD)和行业类别顶级域(sponsoredTopLevelDomain,sTLD)等三种不同类型.
如图1中"cn"为中国顶级域,"com"、"net"均为通用类别顶级域.
资源记录ResourceRecord指在域名系统中用于存储与域名相关的属性信息,简称RR.
每个域名对应的记录可能为空或者多条.
域名的资源记录由名字(NAME)、类型(TYPE)、种类(CLASS)、生存时间(TTL)、记录数据长度(RDLENGTH)、记录数据(RDATA)等字段组成.

域名系统DomainNameSystem一种将域名映射为某些预定义类型资源记录(ResourceRecord)的分布式互联网服务系统,网络中域名服务系统间通过相互协作,实现将域名最终解析到相应的资源记录.
域名服务系统DomainNameServiceSystem指提供域名解析服务的系统,由权威域名服务系统、递归域名服务系统组成.
权威域名服务系统AuthoritativeDomainNameServiceSystem指对于某个或者多个区具有可信数据功能的服务系统,权威域名服务系统保存着其所拥有区的原始域名资源记录信息.
递归域名服务系统RecursiveDomainNameServiceSystem指负责接收用户(解析器)的解析请求,并通过查询本地缓存或者执行从根域名服务系统到被查询域名所属权威服务系统的递归查询过程,获得解析结果并返回给用户的域名服务系统.
区文件ZoneFile某个区内的域名和资源记录及相关的权威起始信息(StartofAuthority,SOA)按照一定的格式进行组合,从而构成存储这些信息的文件.
其中,权威起始信息包含了区的管理员电子邮件地址(MailAddress)、序列号(Serial)、更新周期(Refresh)、重试周期(Retry)和过期时间(Expire)等信息.
主域名服务系统MasterDomainNameServiceSystem指被配置成区数据发布源的权威域名服务系统.
辅域名服务系统SlaveDomainNameServiceSystem指通过区传送协议来获取区数据的权威域名服务系统.
区传送ZoneTransfer指将区的资源记录内容从主服务系统向辅服务系统传送的过程,用于实现主、辅服务系统间的数据同步.
解析器Resolver指向名字服务系统发送域名解析请求,并且从名字服务系统返回的响应消息中提取所需信息的程序.
解析器软件通常集成到操作系统内核或者应用软件中.
缩略语下列缩略语适用于本标准.
ccTLDCountryCodeTopLevelDomain国家码类别顶级域DNSDomainNameSystem域名系统gTLDGenericTopLevelDomain通用类别顶级域IPInternetProtocol网际协议KSKKeySigningKey密钥签名密钥SOAStartofAuthority起始授权TCPTransmissionControlProtocol传输控制协议TTLTimetoLive生存时间TLDTopLevelDomain顶级域UDPUserDatagramProtocol用户数据报协议ZSKZoneSigningKey区签名密钥RFCRequestForComments请求注解4概述域名系统架构和基本要求域名解析服务是一种互联网应用层资源的寻址服务,是其他互联网络应用服务的基础.
常见的互联网络应用服务有web服务,电子邮件服务,ftp服务等,它们都是以域名服务为基础,来实现系统内部资源的寻址和定位的.

域名服务系统是以树型拓扑结构来定义的,由不同类别的域名服务系统服务机构负责不同级域名的解析服务.
其对应关系如下图1所示:图1全球域名服务体系结构图树的顶层是根域的服务器(Root),目前一共有13个根服务器遍布全球.
逻辑上每一个根服务器对外都为不同的IP地址,物理上每一个IP地址标识的根服务器则是通过任播(Anycast)技术,由若干台物理服务器构成.
接下来一层为顶级域(TLD)层,由国家及地区代码顶级域(ccTLD)、通用类别顶级域(gTLD)两类组成.
域名树型拓扑结构中顶级域下层的二级域、三级域,以及再下一层子域域名的解析服务,如".
com.
cn"、".
org.
cn"、".
bj.
cn"等,通常是由获得授权的权威名字服务器来完成.

整个域名服务系统从职能上看,包括两大类系统,即权威域名服务系统(AuthoritativeDNS)和递归域名解析服务(RecursiveDNS).
权威域名系统服务是指拥有某个区的域名信息,并为该区提供域名解析的服务.
权威域名系统通常面向的不是终端用户.
图1中,cn和bj.
cn的域名服务系统就属于权威域名系统.
递归域名系统则相反,它不针对某个区提供域名解析服务,而是直接面向终端用户,为终端用户提供递归的域名服务系统.

关于中文域名的注册、管理、DNS存储,应按照YD/T2438-2012、YD/T2142-2010和YD/T2143-2010标准中的相关规定.
针对上述域名服务系统的组成结构,本标准涵盖权威域名服务系统、权威域名服务器、递归域名服务系统以及递归域名服务器等方面的安全要求.
公共域名服务系统安全要求公共域名服务系统是为公众提供域名服务的系统,因此其安全性非常重要,涉及到互联网的稳定安全运行.
公共域名服务系统安全要求包括技术要求和管理要求,具体包括以下内容:公共域名服务系统的技术要求,包括但不限于:权威域名服务系统技术要求递归域名服务系统的技术要求授权安全要求DNS数据备份要求公共域名服务系统的管理要求,包括:资产管理要求人员管理要求运行管理要求物理和环境安全要求设备安全要求通信和操作安全要求访问控制要求连续性管理要求5.
公共域名服务系统安全技术要求权威域名服务系统技术要求功能和协议要求作为权威域名系统的权威服务器,应具备权威服务器的基本功能,即能够正常处理来自互联网络的任何客户端的域名查询请求,和该区的可信任辅服务器之间实现安全的区数据传送,支持DNS安全协议.
其实现必须按照YD/T2138-2010.
拓扑规划要求针对某个权威域,提供权威域解析的服务器数量应保证多台备份,提供权威域解析的服务器应部署在多个不同的自治域网络中,并且建议在地理上进行合理分配分布,达到抗自然灾害等灾备目的.
具体部署数量和分配要求规范参见YD/T2138-2010.
性能要求权威域名服务系统应保证业务处理能力,预留应对突发流量的处理能力,满足YD/T2138-2010中规定的解析性能要求以及域名数据同步要求.
权威域名服务器安全要求权威服务器的安全决定了权威服务的可靠性和稳定性,是整个域名服务系统安全的核心问题.
权威域名服务系统需要保证DNS服务的的数据安全、解析安全以及传输安全,具体要求参见YD/T2138-2010.
递归域名服务系统技术要求递归服务器是最终面对互联网用户的域名服务器,对于保障各种互联网应用的正常运行具有重要意义.
此外,针对递归服务器的各类攻击(缓存中毒、域名劫持、DNS放大攻击等)日益威胁互联网系统的安全.
因此,有必要对互联网中递归服务器的构建进行规范化.

协议要求作为递归域名系统的递归服务器,应具备递归服务器的基本功能,即能够安全的实现查询,缓存等功能.
其实现必须符合IETF相关RFC标准,符合必备的接口和安全协议,完整的安全要求和要求支持的RFC列表具体要求参见YD/T2137-2010.
拓扑规划要求针对某个自治域内,提供递归域解析的服务器数量应保证多台备份.
同一自治域内的不同递归服务器在部署上应该进行分布,同一用户访问两台服务器的路径上不存在单一故障点.
具体部署数量和要求参见YD/T2137-2010.
性能要求递归域名服务系统应保证业务处理能力,预留应对突发流量的处理能力,满足YD/T2137-2010中规定的解析性能要求以及域名数据同步要求.
递归域名服务器安全要求递归服务器的安全决定了其服务域内域名服务的可靠性和稳定性,是局部范围内域名服务系统安全的核心问题.
递归服务器应该保证安全远程管理和安全缓存清空等数据安全;保证解析软件和同步等解析安全,具体要求参见YD/T2137-2010.
中文域名支持要求递归服务器应配置对中文域名(CDN/IDN)的支持,比如.
中国,.
中國,.
网络,.
公司,.
網絡,.
公益,.
政务.
递归服务器的配置应确保通过其进行查询的用户能够正确解析相应的域名.
授权安全要求公共域名服务系统应符合YD/T2136-2010.
DNS数据备份要求日志存放形式域名解析日志应完全保存,并以冷备份的方式按日期存放.
冷备份的方式应有两种以上,包括硬盘、磁带、光盘等方式.
热备份是将日志存放在服务器的存储设备上.
日志存放时间冷备份应保留自域名服务起始的全部日志.
热备份的保留时间,应以满足域名管理者的日志分析需求为标准.
日志分析应建立解析服务日志的分析制度,以便于及时发现服务中的异常情况,并对非法访问采取必要的防范措施.
6.
公共域名服务系统安全管理要求资产管理要求资产清单应清晰的识别公共域名服务系统所涉及的资产,编制并维护公共域名服务系统的核心资产清单.
清单中应包括所有为从灾难中恢复而需要的资产,与公共域名服务系统相关的资产可能包括:信息资产、软件资产、物理资产、服务、人员、无形资产等.