上海大数据局联合互联网域名系统国家工程研究中心(ZDNS),运用自主可控的下一代DNS技术,致力推动IPv6应用深度融合,夯实网络空间安全,以新一代信息技术为引擎,发挥信息技术行业发展驱动作用,强化数字政府安全保障能力。携手加快建设高速泛在、安全可靠、绿色健康、可管可控的网络环境。
本文摘自《下一代DNS优秀实践案例》
2023年中央网信办、国家发展改革委、工业和信息化部联合印发《深入推进IPv6规模部署和应用2023年工作安排》通知,要求不断强化安全防护,扎实推动IPv6规模部署和应用向纵深发展,进一步推动政务应用IPv6演进升级。对于政府机构而言,IPv6+规模部署既是建设网络强国的重要国家战略,又是业务云化数字化转型的必经之路,充满机遇和挑战。为此上海大数据局制定了以IPv6+为内核的新一代网络架构演进路线,致力于完善“IPv6+”创新生态和标准体系,不断巩固IPv6网络安全防护能力。全方位支撑上海大数据局数字化业务发展的统一融合、智能稳固、聚焦体验的新时代网络。
夯实基础,重点突破,完善“IPv6+”创新生态和标准体系建设
上海大数据局准确把握新发展阶段、新发展服务理念和新发展格局,以推动高质量发展为主题,深化供给侧结构,通过加强标准体系建设,夯实基础,重点突破,整体完善“IPv6+”创新生态。
统筹统建,提质增效
此次为全面加强IPv6应用信息资源的有序汇聚,实现统筹规划和域名体系顶层标准体系建设,按照“谁开设、谁申请、谁使用、谁负责”的原则,通过线上域名注册审批流转方式,实现域名分权分域管理。按需创建不同权限、分管不同区域的账号,所有的域名申请、注册、审批、变更、退出全部线上进行,域名审批流程线上流转,为不同部门、不同的业务的域名需要进行流程可视化审批,审批通过后可自动生效配置,快速建立域名台账管理能力,简化运维管理工作。
融合开放,深度挖掘
完善的日志、丰富的数据报表,实现业务系统的访问行为分析,梳理业务的访问场景,整理域名访问关系,了解业务系统的流量高峰低谷情况。同时通过多种标准协议,无缝对接第三方系统。不但提升了网络管理能力、增强了信息安全,更是提升了现有信息系统的管理范围和能力,起到了1+1大于2的效果。
融合创新,协同推进,强化技术智能管理和防护手段建设
在整体建设过程中,智能DNS系统改造最为关键,上海大数据局与ZDNS基于IPv6技术创新和改造项目总结积累,深入交流相关经验、探索安全可管理、防护有手段,满足多中心智能调度的可复制方式。
聚焦关键防护环节,加强安全防御纵深能力
每台DNS服务器均具备安全防护能力,能够对DOS/DDoS攻击、递归攻击、DNS放大攻击等攻击类型进行有效防护,在设定防护策略后不需要手动配置即可对攻击进行自动防御。同时,针对个别域名和源IP地址,还可设定精细的限速防护策略,具备极高的灵活性,保障DNS系统的可用性和业务的永续性访问。
多维立体业务感知,精细化服务流程调度
DNS按照算法将用户体验最佳的服务地址返还用户,以提高用户使用体验,当某资源无法提供服务时,DNS服务器会将不可用的IP地址从域名解析结果中删除,并通知网内所有DNS服务服务器,全网用户均能够获得可用的解析结果,确保用户不会访问到不可用的资源节点。当资源节点恢复时,可用性监测功能会自动探测感知,恢复该资源节点使用。保证用户使用的连续性,减少故障对业务的影响,提高最终用户使用体验。