IDC在科請前期建設中，首要任務之一是建設其基礎服務系統，IDC的街妹基礎系統主要有DNS系統、目錄服務系統、數據備份系統、安全系統時們等。
 

DNS建設

      &nbs路白p;在Internet上計算機和網絡設備使用I朋火P地址來表示的，但IP地址很難記憶，所以采用和喝秒IP地址相對應的域名(Domain)來表示主機和網絡，DNS(D笑來omain Name Service)即域名服務就是把主機名字和IP地址作相白短互匹配，供Internet上用戶以主機域名的方式相暗微互查詢。DNS是向用戶提供域名查詢或域名登吧嗎錄服務，其與Internet中的其它域名服務器技制(qì)形成全球域名服務體系。通(tōng)常DNS服務器(qì去務)采用兩台或多台的方式來運行，其中一台主服務器哥麗(qì)（Primary），其它為(wèi)次服務器(qì)（Second地多）,當主服務器(qì)不(bù)能工(gōng)作站電時(shí)，有任何一台次服務器(qì)來接管其工(gōng湖廠)作，這樣保證了DNS系統運行的可靠性，主次服務器(qì)之間花聽采用自動信息更新方式。
 

      &nb國和sp;IDC的DNS系統除了要為(wèi)IDC自身服務之外，還要為(wè站門i)其客戶提供相應的域名定義、為(wèi)用戶開(kāi)設虛拟域名服務東數等。所以在IDC的DNS服務器(qì)上可能要定義和管理上百個或更多市討域名，由于有如(rú)此多的域名，其每天接受的查呢鐘詢量也是相當龐大(dà)的。
 

       為(wèi)了保證IDC的DNS域名的可靠性和安全性，我們(men)采用Sp國算lit DNS技術來設計IDC的DNS系統，即把IDC的DNS系統劃分姐答為(wèi)内部和外部兩部分，其中外部DNS系統位于公共服務區，負責IDC正常喝土對外解析工(gōng)作，如(rú)IDC的Web服南玩務器(qì)、IDC用戶的Web服務器(qì)等解要化析工(gōng)作全由外部DNS服務器(qì)來完成；内部DNS系統主要讀家有兩項工(gōng)作，一是負責解析IDC内部網絡的主機，如(rú請湖)目錄服務器(qì)、郵件服務器(qì)站子等，另一工(gōng)作是負責當内部要查詢Internet上媽化域名時(shí)，其把查詢任務轉發到外部DNS服務器(qì)上術我，然後由外部DNS服務器(qì)完成查詢任務，返回結果。由于把DNS系統分内一技外兩部分，Internet上用戶隻能看到外部DNS系員鄉統中的服務器(qì)，而看不(bù)見内部的服務器(qì)，而且隻有内外DN爸遠S服務器(qì)之間交換DNS查詢信息，從而保證了系統的安全性。光水

       照能我們(men)采用兩台Sun E420R服務器(了如qì)作為(wèi)外部DNS服務器(qì)，兩台Sun E42視光0R服務器(qì)作為(wèi)内部DNS服務器(qì)，所有兩務但台服務器(qì)之間以主次方式運行，DNS軟件可采用Solaris鐵微系統中的，也可使用Internet上公開(k小日āi)的Bind。具體的服務器(qì)配置如(rú)下表中少所示。

安全性建設
 

       系統安全架構的設計将包括兩個方面：防止IDC網絡外部用戶對IDC網絡系統又影可能的攻擊，以及防止IDC網絡内部各子(zǐ)系統之間可能的攻擊放志。這兩個方面所采用的技術和思路是一緻的。
 

       系統安全架構将從三個層次來考慮：網絡層、主機/服務器(q分北ì)系統及應用層。

       網絡層的安全主要是防範對于整個網絡的非法訪問，一般通(tōng)過防火牆來白我實現。通(tōng)過配置了多級防火牆，以隔可開離(lí)IDC網絡各個組成部分相互之間的非法訪問（能了合法訪問可以通(tōng)過）；對于Internet用戶來科北講，如(rú)果想非法侵入IDC内部網絡，必須突破防火牆的防書刀範。另外，各級防火牆可采用不(bù)同的産品，以提高網絡兒飛整體的安全性。
 

      &nbs員日p;主機/服務器(qì)系統的安全是針對個别機器(qì)的。除了主機/服務器(q吃河ì)的操作系統自身的安全性之外，目前有多種産品可供選擇，包括SUN公司的Se拍歌curity Manager和CA公司的Unicen著場ter TNG等産品。
 

      &外姐nbsp;應用層的安全将從三個方面來考慮：增強應用服近什務器(qì)系統的安全；采用身份認證機制，以保證應用的可靠性件資；采用數據加密技術和防病毒軟件，以保證應用的安全性。

 

1.操作系統的安全規劃

       操作系統的安全性建設應是整個系統安全性建設藍暗的基礎。操作系統的安全性建設主要包括用戶的管理、超級森理用戶的管理、文件系統安全管理、遠程對系統的訪問等。

用戶管理：對用戶的管理主要有用戶的賬号口令管理，設置用戶賬習家号的有效期，用戶賬号口令的存活期限等。如(rú)果需要可以規定用戶隻能在指什子定的時(shí)間内才能登錄系統，并對登錄系統的用戶進行審核（audi業亮t）。
 

     高業  超級用戶的管理：嚴格限制有普通(tōng)用戶變成超級用戶（如(rú)使用s呢的u、rlogin等命令），如(rú)果需要可以使用如(rú)C和兵A Unicenter TNG這樣的軟件來熱上控制系統超級用戶的權限。

       笑說文件系統的安全管理：控制用戶對系統内特殊文件的訪問權限，特别是删除、移動等權限，訊美對使用NFS系統可以采用kerberos方式認證。
 

       遠程對系統的訪問：封閉系統的telnet、ftp、r-訪問（r玩事sh、rlogin、rcp）等功能；但可以對系統管理員開(kāi)放妹年相應的telnet、ftp功能，以便利于對系統的管理和維護。
 

2．防病毒(Anti-Virus)

       目前病毒在網絡和Internet上傳播主要以電子(zǐ)郵件和Web浏覽的方去水式傳播，以及内部網絡上員工(gōng)的共享文件的傳播。防病毒可以分從火為(wèi)集中防病毒和分散防病毒兩種方法。集對鐵中防病毒的方法是在主要的服務器(qì)上安裝防為木病毒軟件，此軟件先對進出此服務器(qì)的數據進行檢查，然後再把通(tōng)開快過檢查的數據發送給客戶；分散防病毒是隻在客戶端安裝防病毒軟件，它隻檢查進費內出客戶端的數據是否有病毒感染。
 

      &nbs音海p;由于IDC主要為(wèi)客戶服務，數據主要集中在服務器鄉門(qì)上，所以在IDC系統的防病毒體系中主要采用集中防病毒方法，但同時(線明shí)對一些與服務器(qì)相交戶的内部客戶段機雜（如(rú)管理客戶段）也采用分散的防病毒方法。集中防病毒主要是對呢公進出的郵件和HTTP流數據進行防病毒；分散是保護内部網的單個終端用戶。
 

3．防火牆(Firewall)

       防火牆(Firewall)是保證網絡安全的重要手段之火很一，在建設IDC基礎網絡系統安全性時(shí)，首線計先是要考慮防火牆的建設。在Internet/Int很影ranet上，通(tōng)過防火牆來在兩個或多個網絡間加強訪問控制姐事，其目的是保護一個網絡不(bù)受來自另一歌你個網絡的攻擊，隔離(lí)風險區域與安全區域的連接，但不(bù)妨礙人件醫們(men)對風險區域的訪問。
 

防火牆要完成如(rú)下主要功能：

       看個;通(tōng)過對IP包的檢查，過濾對網絡安全有潛在威脅的IP區他數據包。

       屏蔽對于網絡不(bù)必要且有安全漏洞的服務，如(rú)Telnet、F光讀TP等。

      &n裡山bsp;控制從Internet上過來的IP數據的流向，如(rú)數據包其目的地址隻能是紅錯某個區域的DNS、WWW等服務器(qì)。

       屏蔽對于某些Internet站點的訪問。

       完成系統内部IP地址到Internet合法IP地址的轉換，保證能夠從系統内老跳部訪問Internet，隐藏内部網絡和主機的結機友構。

       訪問日記，即Access Log。

      &nbs愛章p;IDC不(bù)僅要建設自己的防火牆系統，同時(sh舊為í)也要考慮特定的用戶需要建立起自己的防火牆系統，即用需要在其自己的應用前增設冷鐵相應的防火牆系統來保護其應用的安全（這可根據用戶的實際需求再進行建設）。

4. 網絡和系統入侵監控

       網絡和系統的入侵檢測是在網絡上增加一台掃描儀器(qì)和在主要服務器(qì)空到上增加相應的防入侵軟件來實現。此類防入侵軟件有兩個主要學厭功能，一個掃描網絡和系統上的安全漏洞，以便在網絡和系統建立初期服什，就解決好(hǎo)安全問題，此功能也屬于安全保護範圍；另一個影窗功能是在網絡和系統運行時(shí)，監控數報醫據流，及時(shí)發現黑客入侵，從而做到防農花止黑客的入侵。
 

       在IDC系統中，在每個重要的服務取得(de)網絡的入口處安放一個探測器(q新明ì)，對每個進出此段網絡的數據流進行檢查探測，當其發現某新書一個數據流不(bù)是正常的數據流時(shí)，探測器(q船線ì)把此數據流截獲住，并向位于管理區的管理服務器(qì)發劇兵送入侵信息和警告，然後由管理服務器(qì)在做相應的防件技禦對策。
 

       同時(shí)在每個服務器(qì)上安裝有類似的探測器(qì)，所以行影當黑客入侵服務器(qì)系統時(shí)，也是采取上述動作。