近年來，隨著眾多知名的大型IT企業(yè)或域名注冊商遭遇域名攻擊或劫持事件，使得域名安全問題凸顯出來并開始受到業(yè)界的關(guān)注。據(jù)了解，微軟、宏碁、沃達(dá)豐、UPS、騰訊、百度、華夏名網(wǎng)這些知名企業(yè)均遭遇過域名攻擊或劫持，這一方面導(dǎo)致用戶無法訪問網(wǎng)站，另一方面為企業(yè)的在線交易造成巨大的損失。面對域名攻擊技術(shù)不斷發(fā)展，域名安全事件頻繁發(fā)生的嚴(yán)峻現(xiàn)狀，在線運(yùn)營企業(yè)該如何選擇最佳的域名安全解決方案？如何保障企業(yè)網(wǎng)站安全穩(wěn)定的運(yùn)行？

（一）企業(yè)互聯(lián)網(wǎng)域名管理急需解決的問題

在互聯(lián)網(wǎng)高度普及且深入發(fā)展的今天，互聯(lián)網(wǎng)不僅成為企業(yè)自我展示的平臺和電子商務(wù)的窗口，而且成為企業(yè)命運(yùn)發(fā)展的關(guān)鍵所在。而位于互聯(lián)網(wǎng)基礎(chǔ)資源層的域名系統(tǒng)（DNS）則對企業(yè)網(wǎng)站的正常運(yùn)行起到至關(guān)重要的作用，一旦域名解析出現(xiàn)問題，企業(yè)網(wǎng)站就自行消失了，這比任何黑客攻擊都來得直接和徹底！

據(jù)CINNIC最新發(fā)布的互聯(lián)網(wǎng)報告顯示，當(dāng)前我國網(wǎng)站數(shù)量達(dá)到183萬個，域名總數(shù)為786萬個。細(xì)心的網(wǎng)民會發(fā)現(xiàn)，某些網(wǎng)站往往會出現(xiàn)暫時性消失，也就是當(dāng)訪問指定網(wǎng)站時，要么無法訪問，要么會被自動跳轉(zhuǎn)到無關(guān)的頁面。普通網(wǎng)民對此可能不會太在意，也不會深究其背后的原因，而一些具備網(wǎng)絡(luò)技術(shù)背景的網(wǎng)民很容易猜到這可能是域名出現(xiàn)故障所致。

上述的事件在近期就發(fā)生一例。9月5日上午，包括微軟、宏碁、沃達(dá)豐和UPS在內(nèi)的眾多知名網(wǎng)站都遭遇了域名劫持。當(dāng)用戶訪問上述網(wǎng)站時，要么無法訪問，要么會被跳轉(zhuǎn)到黑客自己設(shè)立的頁面。盡管很多網(wǎng)站迅速恢復(fù)了服務(wù)，但有的域名系統(tǒng)卻需要長達(dá)72小時才能啟用新的設(shè)置，導(dǎo)致部分網(wǎng)站仍然無法訪問。

企業(yè)的域名解析出現(xiàn)問題，中斷了服務(wù)，就相當(dāng)于企業(yè)在互聯(lián)網(wǎng)世界中消失了，輕則給用戶體驗帶來負(fù)面的影響，重則給企業(yè)帶來巨大的經(jīng)濟(jì)損失，尤其對于電子商務(wù)、搜索引擎、在線游戲、門戶類網(wǎng)站，以及網(wǎng)上銀行、證券交易等在線運(yùn)營企業(yè)來說，一旦網(wǎng)站消失，企業(yè)的"生命線"也就隨之中斷。

位于互聯(lián)網(wǎng)基礎(chǔ)資源層的域名系統(tǒng)被喻為互聯(lián)網(wǎng)的中樞神經(jīng)，是企業(yè)網(wǎng)站穩(wěn)定運(yùn)行的基礎(chǔ)保障，因此域名管理對于企業(yè)來說至關(guān)重要。為了探究當(dāng)前企業(yè)域名管理中所遇到的問題，致力于域名服務(wù)發(fā)展行業(yè)的中網(wǎng)公司（knet.cn）對數(shù)十位企業(yè)技術(shù)高管進(jìn)行了域名安全的問卷調(diào)查，此次調(diào)查結(jié)果顯示，CTO/CIO們認(rèn)為DNS管理急需解決或改善的問題主要集中在以下幾大方面：一是如何簡化運(yùn)維的復(fù)雜度；二是如何減少運(yùn)行成本；三是如何提高運(yùn)營水平；四是如何面對未來互聯(lián)網(wǎng)。

首先，如何簡化域名運(yùn)維復(fù)雜度？我國企業(yè)互聯(lián)網(wǎng)域名管理大多都是委托給域名注冊商來管，但由于域名注冊商等主流域名解析托管服務(wù)在功能、性能、安全性、穩(wěn)定性、可維護(hù)性等方面無法滿足需求，眾多互聯(lián)網(wǎng)企業(yè)紛紛轉(zhuǎn)向自建域名解析平臺，但用戶自建的域名系統(tǒng)規(guī)模小、運(yùn)維不專業(yè)，存在很大的安全隱患，這就加大了域名運(yùn)維的復(fù)雜度，當(dāng)企業(yè)域名遭受攻擊時，企業(yè)需要花很大的精力來修復(fù)和解決，因此也分散了企業(yè)對核心業(yè)務(wù)的專注度，無法聚焦于核心業(yè)務(wù)。

二是如何減少域名運(yùn)行成本？上文已經(jīng)提到，在注冊商域名服務(wù)水平有限的情況下，大多數(shù)企業(yè)選擇DNS自建的方式，但這需要企業(yè)在全國范圍內(nèi)大規(guī)模部署節(jié)點(diǎn)，既造成了資源利用效率的低下，而且對于大型企業(yè)來說也是沉重的投資負(fù)擔(dān)，更不用說IT設(shè)施投入有限的中小企業(yè)了。而且自建DNS之后的運(yùn)維投入對企業(yè)來說也是不小的負(fù)擔(dān)，因為企業(yè)平均每周需要花近8個小時來管理DNS系統(tǒng)，還要不斷提升硬件的能力。

三是如何提高域名運(yùn)營水平？企業(yè)域名委托給注冊商管理，其運(yùn)營水平自然維持在較低的水平，并且承擔(dān)著域名解析隨時中斷的風(fēng)險。那么企業(yè)自建DNS就能夠提升域名運(yùn)營水平了嗎？據(jù)調(diào)查問卷的統(tǒng)計結(jié)果顯示，一些DNS自建的企業(yè)依然面臨大規(guī)模DDOS攻擊防范、系統(tǒng)監(jiān)測、統(tǒng)計分析、節(jié)點(diǎn)少、性能、安全等問題，這意味著企業(yè)域名系統(tǒng)無論是托管還是自建，都無法實現(xiàn)較高的運(yùn)營水平。

四是如何面對未來互聯(lián)網(wǎng)的發(fā)展？互聯(lián)網(wǎng)技術(shù)日新月異，DNSSEC、IPv6、IDN等新技術(shù)的應(yīng)用已是大勢所趨，這對于企業(yè)域名系統(tǒng)來說意味著新的挑戰(zhàn)。假設(shè)企業(yè)原有域名系統(tǒng)無法支持下一代互聯(lián)網(wǎng)技術(shù)，將意味著企業(yè)網(wǎng)站在新的網(wǎng)絡(luò)平臺上無法使用。因此如何讓當(dāng)前的域名系統(tǒng)適應(yīng)下一代互聯(lián)網(wǎng)平臺，是企業(yè)需要站在長遠(yuǎn)角度思考的問題。

以上四大問題是企業(yè)CTO/CIO們在域名管理中所遇到的難題，從中可以看到，企業(yè)不僅希望域名系統(tǒng)能夠保障企業(yè)網(wǎng)站的穩(wěn)定安全運(yùn)行，還希望域名系統(tǒng)能夠幫助企業(yè)減少投資成本，增強(qiáng)企業(yè)靈活性，以及適應(yīng)新一代網(wǎng)絡(luò)平臺的需求。#p#

（二）企業(yè)域名選擇自建還是托管？

作為互聯(lián)網(wǎng)基礎(chǔ)的域名解析，在20多年的發(fā)展歷程中經(jīng)歷了"自建-托管-自建"的輪回方式，其間也出現(xiàn)了"半自建半托管"。但無論哪種方式，企業(yè)都不能盲目選擇，也不應(yīng)面對當(dāng)前域名系統(tǒng)一成不變，而應(yīng)該尋求適合自身企業(yè)信息系統(tǒng)特點(diǎn)的域名搭建方式。

對于企業(yè)來說DNS自建和托管不能一概而論，這需要企業(yè)根據(jù)自身信息系統(tǒng)建設(shè)的特點(diǎn)來選擇，下文就是針對不同類型的企業(yè)所提出的不同的域名解決方案。

一是如果企業(yè)規(guī)模比較大，已經(jīng)建立了完善的信息系統(tǒng)，擁有自己有域名服務(wù)器，具備域名解析的能力，這類企業(yè)無需放棄原有的域名服務(wù)設(shè)備，只需在專業(yè)的第三方域名服務(wù)商那里增加一項遠(yuǎn)程備份服務(wù)。專業(yè)域名服務(wù)商的服務(wù)節(jié)點(diǎn)相比企業(yè)來說較多，企業(yè)原來可能只有一、兩個節(jié)點(diǎn)，在服務(wù)商那里備份之后，企業(yè)就相當(dāng)于在原來的節(jié)點(diǎn)基礎(chǔ)上增加了幾個節(jié)點(diǎn)，當(dāng)企業(yè)的域名解析在某一節(jié)點(diǎn)出現(xiàn)問題的時候，其域名解析不但不會受到影響，而且應(yīng)對訪問請求的解析能力會提高，服務(wù)能力得到增強(qiáng)。備份除了讓企業(yè)域名的安全性得到提高以外，還能夠?qū)崿F(xiàn)讓用戶就近訪問，提高訪問的速度。

二是對域名安全有較高要求的企業(yè)來說，可以把域名解析完全托管到第三方域名服務(wù)商那里，如果企業(yè)并沒有在域名解析這方面的投資，比較經(jīng)濟(jì)的方式也是托管。域名很重要，但是企業(yè)自己建一個好的域名解析平臺所消耗的人力和財力比較大，采用托管方式不僅投資小，維護(hù)起來也更加方便，省去了多點(diǎn)運(yùn)維、定期維護(hù)的麻煩。目前國內(nèi)提供域名解析服務(wù)的廠商有中網(wǎng)(knet.cn)、萬網(wǎng)、新網(wǎng)、DNSPod、有孚網(wǎng)絡(luò)、中國電信等，其中中網(wǎng)(knet.cn)是專業(yè)的商用域名解決方案提供商，主要面向大中型高端企業(yè)客戶；萬網(wǎng)、新網(wǎng)屬于域名注冊商，以賣域名為主，提供的是免費(fèi)的域名解析服務(wù)；DNSPod提供免費(fèi)的智能DNS解析服務(wù)，主要面向低端客戶；有孚網(wǎng)絡(luò)和中國電信屬于增值電信運(yùn)營商，主要提供服務(wù)器租賃服務(wù)。

三是對于網(wǎng)站域名安全沒有特別要求的中小型企業(yè)，這些企業(yè)可能大部分沒有設(shè)置域名解析服務(wù)器，有些企業(yè)的網(wǎng)站空間還租用的是虛擬主機(jī)，那么域名解析可以仍然采用域名注冊商提供的免費(fèi)域名解析服務(wù)。不過，隨著企業(yè)不斷發(fā)展壯大，當(dāng)域名安全、網(wǎng)站訪問速度等對于企業(yè)的業(yè)務(wù)拓展、品牌塑造越來越重要時，企業(yè)就應(yīng)該考慮把域名解析服務(wù)托管在專業(yè)的第三方域名服務(wù)商那里。

總之，企業(yè)無論是采用自建、托管，還是備份，都需要根據(jù)企業(yè)規(guī)模、信息建設(shè)等方面的現(xiàn)狀進(jìn)行部署，但總的來說，域名托管是比較明智的選擇。據(jù)了解，在美國市場上，企業(yè)越來越接受把DNS外包，請專業(yè)的運(yùn)維服務(wù)商來幫助運(yùn)維管理，這主要是因為自建的DNS服務(wù)器的可靠率不高，發(fā)生宕機(jī)的機(jī)率是第三方提供DNS服務(wù)器的2倍。#p#

（三）企業(yè)域名采用開源軟件和商用軟件的性能對比

企業(yè)域名選擇自建或是托管，這是域名建設(shè)策略層面的問題，而從技術(shù)層面來說，企業(yè)域名系統(tǒng)該如何選擇DNS基礎(chǔ)軟件呢？

通常企業(yè)域名采用的軟件包括三種，一是開源軟件，如BIND；二是基于開源軟件二次開發(fā)的系統(tǒng)；三是商用軟件。根據(jù)域名安全調(diào)查報告的統(tǒng)計結(jié)果顯示，企業(yè)自建DNS所采用的軟件大部分是開源軟件系統(tǒng)BIND，其次是二次開發(fā)系統(tǒng)，采用商用軟件的占有很少的比例。

中國國家信息安全漏洞庫（CNNVD）統(tǒng)計的近幾年BIND的重大安全漏洞，平均15個/年。

實際上，域名系統(tǒng)所用的基礎(chǔ)軟件極其重要，如果因配置不當(dāng)或升級延遲，軟件存在的漏洞很容易被黑客利用，這也是域名系統(tǒng)面臨的重要安全問題。

近幾年來，開源并且免費(fèi)的軟件BIND被廣泛使用，在國內(nèi)的應(yīng)用率達(dá)到了80%以上。眾所周知，開源軟件的很多漏洞在業(yè)內(nèi)是公開的，很容易遭受攻擊，據(jù)了解，目前BIND存在的歷史漏洞已有40個之多，近年影響較大的漏洞包括ISC BIND 9遠(yuǎn)程動態(tài)更新消息拒絕服務(wù)漏洞、DNS緩存中毒和拒絕服務(wù)漏洞等。因此采用開源軟件的域名系統(tǒng)很容易面臨崩潰的危險。除此之外，采用開源軟件的域名系統(tǒng)不支持圖形化界面，全部基于命令行實現(xiàn)，維護(hù)起來非常復(fù)雜，給運(yùn)維人員帶來了很大的煩惱。

而基于開源軟件二次開發(fā)的系統(tǒng)，雖然相較于開源軟件安全性更強(qiáng)一些，但由于底層技術(shù)的安全隱患，在域名系統(tǒng)遭到強(qiáng)大攻擊時也難逃崩潰的危險。

因此，企業(yè)重要的域名解析應(yīng)該采用商軟件。首先，商用軟件是經(jīng)過安全加固的，具有很強(qiáng)的攻擊防護(hù)能力，從本質(zhì)上改變了開源BIND存在的安全風(fēng)險，這也意味著域名系統(tǒng)的基礎(chǔ)層面是安全牢固，攻不可破的。其次，采用商用軟件的域名系統(tǒng)能夠?qū)崿F(xiàn)圖形化界面，讓運(yùn)維人員一目了然，操作起來非常方便。第三，雖然商用軟件是收費(fèi)的，但企業(yè)買單之后往往還能享受到軟件商所提供的后續(xù)服務(wù)，需要注意的是，企業(yè)在采用商用軟件之后，一定要定期關(guān)注軟件商發(fā)布的最新安全漏洞，定期升級軟件系統(tǒng)。

采用開源軟件和商用軟件性能對比：

 #p#

（四）企業(yè)采用第三方域名需要考慮哪些因素

前文已經(jīng)提到，隨著企業(yè)發(fā)展規(guī)模的壯大，企業(yè)域名的增多，選擇第三方域名服務(wù)商進(jìn)行域名管理將是明智的選擇。那么企業(yè)選擇第三方域名管理需要考慮哪些因素呢？

首先需要考量第三方DNS服務(wù)的企業(yè)在域名方面的資質(zhì)、技術(shù)能力、企業(yè)綜合實力等等。據(jù)了解，國際上擁有域名技術(shù)實力的域名服務(wù)商大概有三四家，包括Verisign、Neustar、Afilias等，國內(nèi)具有實力的域名服務(wù)商有CNNIC（中國互聯(lián)網(wǎng)信息中心）、中網(wǎng)(knet.cn)，這兩家排在第一梯隊，第二梯隊則以DNSPod為首。

CNNIC是互聯(lián)網(wǎng)地址資源注冊管理機(jī)構(gòu)，國家政府背景。今年6月30日，CNNIC宣布推出國家域名云解析服務(wù)，為.cn和.中國域名的用戶提供技術(shù)服務(wù)，這一服務(wù)將永久免費(fèi)。國家域名云解析服務(wù)具有高性能的服務(wù)節(jié)點(diǎn)、完備的協(xié)議兼容性、快速的數(shù)據(jù)更新技術(shù)和先進(jìn)的安全檢測方案，可實現(xiàn)域名批量管理、DNS流量監(jiān)測分析以及向下一代互聯(lián)網(wǎng)無縫升級。但比較遺憾的是，如果網(wǎng)站域名是.com或者.net，那就用不上CNNIC域名云解析服務(wù)。

中網(wǎng)(knet.cn)脫胎于CNNIC，是國內(nèi)唯一域名整體解決方案提供者，擁有專用設(shè)備、商用軟件和域名云服務(wù)。中網(wǎng)依托中科院研發(fā)能力，繼承國家域名系統(tǒng)14年建設(shè)與運(yùn)維經(jīng)驗，參與制定了9項域名國家行業(yè)標(biāo)準(zhǔn)，承擔(dān)國家發(fā)改委信息安全專項，其自主研發(fā)的ZDNS系列專用域名設(shè)備已經(jīng)通過全球IPv6金牌驗證和中國DNSSEC驗證。今年7月，中網(wǎng)還推出了面向中高端企業(yè)用戶的域名云服務(wù)，該服務(wù)具備智能解析、多維度監(jiān)控、DDOS云防御、支持下一代互聯(lián)網(wǎng)等特點(diǎn)，在海內(nèi)外和國內(nèi)各大運(yùn)營商布置了十多個節(jié)點(diǎn)。

DNSPod主要為個人站長提供電信、網(wǎng)通、教育網(wǎng)雙線或者三線的免費(fèi)DNS解析，并提供IPv6的支持和動態(tài)域名解析的功能，另外還支持DNS輪詢、URL轉(zhuǎn)發(fā)、API接口、批量修改管理等先進(jìn)功能，并且所有功能都是免費(fèi)提供。動態(tài)域名解析和URL轉(zhuǎn)發(fā)大大方便個人站長，因而備受青睞，但卻是在打政策擦邊球，因為政策是不允許域名隨意跳轉(zhuǎn)的。

以上三家域名服務(wù)商面向不同層面的企業(yè)，免費(fèi)服務(wù)和商用服務(wù)所體現(xiàn)的價值自然存在很大差異，企業(yè)可根據(jù)需求進(jìn)行選擇。

其次，需要考量第三方DNS服務(wù)的運(yùn)行能力和客戶服務(wù)能力。域名托管不僅考驗域名服務(wù)商的技術(shù)硬能力，更要考驗域名服務(wù)商的軟能力，這就需要企業(yè)具體考量域名服務(wù)商的以下幾個方面：首先，是否具備為國家重大項目提供重點(diǎn)域名保障的經(jīng)驗；其次，是否具備7*24*365的全方位服務(wù)監(jiān)控能力；第三，是否具備專業(yè)的團(tuán)隊負(fù)責(zé)安全事務(wù)及應(yīng)急事件的處理；第四，是否推行國際標(biāo)準(zhǔn)的服務(wù)品質(zhì)協(xié)議（SLA）。

第三，需要考量DNS智能解析、多維度監(jiān)控、DDOS防御等主體功能。在智能解析方面，要看服務(wù)商的平臺是否具備BGP & IP Anycast技術(shù)和精準(zhǔn)的地址數(shù)據(jù)庫，BGP & IP Anycast能夠做到最大程度上的就近訪問，而精準(zhǔn)的地址數(shù)據(jù)庫則能助力企業(yè)實現(xiàn)業(yè)務(wù)分流、過載流量調(diào)度，以實現(xiàn)帶寬的保證；在多維度監(jiān)控方面，要看服務(wù)商是否具備實施7*24*365的服務(wù)監(jiān)控的能力，是否對平臺服務(wù)可用性、節(jié)點(diǎn)服務(wù)可用性到域名服務(wù)可用性等不同維度進(jìn)行監(jiān)控；在DDOS防御方面，也是要考量服務(wù)商是否具備BGP & IP Anycast技術(shù)，通過該技術(shù)，可將DDOS攻擊流量有效分散到全球的各個節(jié)點(diǎn)，充分利用個節(jié)點(diǎn)的流量清洗資源，做到化整為零，各個擊破。

四是，需要考量第三方DNS是否具備統(tǒng)計分析、支持下一代互聯(lián)網(wǎng)等附加功能。企業(yè)要想對域名服務(wù)狀態(tài)了然于胸，就需要域名服務(wù)商提供詳細(xì)的統(tǒng)計分析，包括網(wǎng)站性能監(jiān)測報告、網(wǎng)站運(yùn)行故障及報警報告、網(wǎng)站可用性、訪問速度的體驗報告等。而第三方平臺能否支持下一代互聯(lián)網(wǎng)也是非常重要的指標(biāo)，如果其提供的平臺僅能夠滿足當(dāng)前的運(yùn)營環(huán)境，而無法支持IPv6,IDN,DNSSEC等新技術(shù)，將會制約未來發(fā)展。

以上是企業(yè)選擇第三方域名服務(wù)商需要重點(diǎn)考慮的因素。在企業(yè)已成規(guī)?；蚋咚侔l(fā)展的階段，企業(yè)CTO/CIO們需要以建設(shè)性和前瞻性的思維，根據(jù)企業(yè)信息系統(tǒng)現(xiàn)狀，從安全、穩(wěn)定、兼容、服務(wù)等各個角度選擇最佳的域名安全解決方案，只有互聯(lián)網(wǎng)底層架構(gòu)牢固了，才能保障企業(yè)網(wǎng)站的安全穩(wěn)定運(yùn)行，也才能保障企業(yè)在互聯(lián)網(wǎng)時代健康長遠(yuǎn)的發(fā)展！