需求与挑战

• 客户背景与特点

某银行是中华人民共和国的中央银行，在国务院的领导下，制定和实施货币政策，防范和化解金融风险，维护金融稳定。

金融行业域名资产是重要资产，互联网金融服务严重依赖域名服务。因此域名的权威解析安全事关业务的正常与安全。金融数据、网络的安全管理是及其复杂的工作，通常情况下是按照其组织结构或网络安全域的划分进行管理。DNS、IP地址管理以及DHCP服务通常也需要按照这个安全域进行功能和职责划分进行管理。基于高级别安全机构要求，IT基础设施必须具备事前预警，事中处置，事后审计的能力。

• 面临的问题与挑战

该银行原有互联网DNS系统，采用“PC服务器+开源软件”的结构，组成DNS服务器为*.gov.cn域名提供权威解析并对总行互联网用户提供递归解析服务。银行内部各个部门办公终端近*千台的地址分配、管理、审计需要提供一套高效管理方法。

处理域名系统、IP地址管理复杂性的一个途径是使用能让管理员集中式地管理服务的系统，而不是一台一台主机地进行管理，使用图形用户界面将管理员从令人费解的易错的配置和数据文件格式中解放出来。

• • 性能问题

首先基于开源软件的DNS服务面临性能问题，在遇到攻击或大并发业务量时很容停止服务。DNS缓存、递归、授权集中于单节点内，除了安全问题外，也是性能问题的关键因素。作为DNS缓存，由于性能拖累，解析时延过大，严重影响办公上网体验。

该银行是制定和实施货币政策，防范和化解金融风险，维护金融稳定的国家机构，IT基础设施的安全是首要关注的问题。DNS、DHCP作为网络基础设施，在高级别安全要求机构中面临如下方面的挑战：

高级别安全要求机构需要专门的针对性服务，不宜混在在公众服务中，避免公众服务安全事件拖累所需服务。

• • 安全性挑战

银行是制定和实施货币政策，防范和化解金融风险，维护金融稳定的国家机构，IT基础设施的安全是首要关注的问题。DNS、DHCP作为网络基础设施，在高级别安全要求机构中面临如下方面的挑战：

• • • 专业可信安全

DNS、DHCP服务的实现需要可信、可控，不宜采用开源软件或境外设备、软件。需要采用专业的安全防护设备或软件，不宜采用通用安全设备及软件。

• • • 服务范围

高级别安全要求机构需要专门的针对性服务，不宜混在在公众服务中，避免公众服务安全事件拖累所需服务。

• • 稳定性要求

作为IT基础设施，尤其关联金融业务的域名服务，需要一个超级稳定，能够提供99.99%可靠性服务。

• • 灵活、高效管理要求

解决方案与实施

• 牙木解决方案

牙木SmartDDI系列产品，全部自主研发并获得超过6项软件著作权及十几项国内发明专利，并通过第三方专业测评机构（赛宝）全面测试，产品部分技术已达到国际领先水准。系列产品在国内有广泛应用基础，获得用户的一致好评，产品稳定性、可靠性已达到运营商级设备(99.99%)。针对该银行的需求与挑战牙木提供了如下解决方案：

• • 权威服务与办公DNS服务分节点建设；

避免权威与缓存、递归的相互影响，为针对性安全策略提供分业务管理条件。SmartDDI采用工业级专用硬件，基于牙木专利技术的YMOS操作系统，配置牙木专利技术的权威、缓存/递归软件，提供高性能、高可靠性服务。办公DNS服务节点同时服务内部授权域名。

• • 提供基于专利技术的DNS专业安全防护模块；

SmartDDI专用设备内配置基于牙木专利技术的DNS防护模块，多层次专项防护技术对于DNS系统和服务的防护是全方位多维度的。提供除了基本的协议防护外，还提供基于数据包的过滤；IP地址、域名请求限速；服务用户范围限定；后端递归限速、ＤＤｏｓ反射攻击防护等等。

• • 节点内采用HA部署方式；

依照网络基础设施安全性、可靠性解决方案要求，SmartDDI支持HA或Anycast部署方式，提供设备热备和双活能力，彻底解决传统DNS服务设备的单点故障问题。

• • YamuCloud提供面向高端企业的云解析服务；

牙木DNS云服务是一种高可用性、高可扩展的权威DNS服务和DNS管理服务。主要服务范围是高安全级别要求的企业或机构。ＹａｍｕＣｌｏｕｄ采用全球领先的DNS集群技术，提供多个国内、外云集群节点，分布于多运营商在同时提供专业解析服务。通过ＹａｍｕＣｌｏｕｄ云解析服务，为银行权威服务提供灾备服务的能力。

• • DNS、DHCP、IPAM可视集中管理；

牙木SmartDDI产品将DNS、DHCP、IP地址等系统集成在一个工业级超高稳定的硬件设备中，提供基于Web的图形化展示、配置界面，简化了系统的使用难度，提供系统管理效率。提供DNS、DHCP、ＩＰ地址管理的策略配置、业务数据的实时展示，业务使用情况的数据统计以及数据审计等等。

• 项目实施情况

  • 权威解析节点

部署2台中牙木SmartDDI-2500作为*.gov.cn域名的授权解析，互为主备，HA架构部署。配置SecurePro（安全防护）、AuthPro（授权解析）。

• • 办公DNS服务节点

部署2台牙木SmartDDI-2200作为银行内部办公网内上网解析使用。HA架构部署。配置SecurePro（安全防护）、CachePro（高速缓存）、AuthPro（授权解析）、RecurPro（递归查询）、DHCP模块、IPAM模块。

• • ＹａｍｕＣｌｏｕｄ云解析服务

采用牙木云解析平台作为授权解析的灾备服务。

部署拓扑示意图

效果与优势

• 实施效果

• • DNS、DHCP、IPAM集中可视化、自动化管理，提高了管理效率;
  • DNS缓存高性能，解析时延降低至２０ｍｓ以内，改善了用户体验;
  • 设备、服务稳定可靠;
  • 自主专利技术可信、可控安全;
  • 具备了IP地址使用的审计能力
  • 安全可信的域名权威解析灾备能力

• 解决方案优势

牙木DNS凭借优秀的体系架构、超强的安全防护能力和超高的业务处理能力赢得了市场，在中国超过25个省的电信运营商部署了牙木DNS系统，每天有3亿用户通过牙木DNS系统访问互联网，日请求量高达1万亿次。牙木ＤＮＳ具备如下几个方面的优势：

• • 电信运营商基础YMOS
  • All in One
  • 分权分域管理
  • 数据安全同步
  • 支持HA/N+1灵活部署
  • 全球分布稳定安全的YamuCloud服务
  • 丰富的APIs