信息服务“巧备案”

■

引言

为了加强CERNET信息管理和促进互联网健康发展，CERNET网络中心要求各CERNET接入单位自行“上报ICP备案信息”及“上报本单位上联CERNET的网关信息”。尽管只涉及到学校一级域名、特殊域名和IP地址的上报备案，但作为学校信息业务主管部门的网络中心，仍需负责对校园网所有对外发布信息进行控制。为此，学校网络中心应该对校园网服务器做信息服务备案，监管好校园网的信息来源，为CERNET的健康发展尽一份责任。

服务器可以基于双栈技术搭建，配置静态IPv4/IPv6地址，为了便于访问资源，有些还提供域名。信息服务备案就是针对这些IP地址和域名来进行。

图1 用户管理系统入网管理界面

我们校园网通过一台边界防火墙与CERNET互联，防火墙放行与内网客户有关报文，限制接收外网服务请求报文，放行内网服务回应报文，也即校园网用户可以访问外网，但只有备案信息才允许对外发布。要实现这些功能，就得在该防火墙上配置合适的ACL来实施相应的访问控制策略，一般网站域名由校园网DNS做域名解析，某些特殊网站域名允许由其他服务提供商DNS做域名解析。也就是说，这里的“备案”除了进行服务器资料登记与管理外，还要进行相关网络设备的命令配置。

备案过程

我校网络中心服务器备案过程大致如下：

当用户要对校外提供信息服务时，先向网络中心提出申请，填写校园网服务器资料登记表，表中内容包括所属部门、管理员姓名、联系电话、E－Mail、放置地点、服务器的IPv4/IPv6地址、主机域名、信息服务类型（使用TCP/UDP端口号表示）等，然后交由本部门（部、处、学院）领导审批；部门领导加上审批意见、签名和日期、并盖上公章表示同意；用户将获得“同意”的登记表交到网络中心，办理服务器备案手续。

注：校园网为用户提供二级域名注册，不建议在其他服务提供商那里注册个性化域名，否则要自行去CERNET备案，若不然CERNET会对没有备案的域名所对应的IP地址进行过滤。

服务部（前台）收到登记表后，交由业务主管审核，复印一份主管审核过的登记表交给运维部，并将该登记表原件存档。

运维部（后台）在接到服务器备案请求后，依照既定的备案策略在校园网边界防火墙上做相应的ACL配置、在DNS服务器上做相应的域名解析配置，之后回复前台。

前台收到后台完成备案配置的回复后，通过电话或电子邮件让用户确认备案是否生效。

备案过的服务器，每年都要例行年审，过期不办理的一律视作自动注销。

在进行信息服务备案时，前台负责处理政策性方面的工作，后台负责技术性方面的工作，整个过程要求前台、后台相互配合，多人参与共同完成。

解决方案

本方案采用的技术路线是，对原有的用户管理系统进行修改，增加信息服务备案功能，使前台可以按目前已定型的用户管理模式来进行校园网服务器资料登记表的数据录入与管理，并将后台的技术性工作交由perl脚本程序自动完成，而外置的这些脚本程序定时查询该系统相关数据表，判断是否有等待受理的信息服务需要进行ACL和DNS的相关配置。

在申请信息服务备案时，一定是先按校园网客户身份来申请IP地址，再在此基础上进行与信息服务相关的处理。目前，我们使用的用户管理系统是基于Oracle自主开发的，用于IPv4地址分配与管理，可实现用户办理入网时所需的受理、变更、查询和统计等功能（如图1），并基于该系统相关数据表通过第三方程序对用户实行网络接入控制，例如，对学生用户采用802.1X认证，对其他用户采用IP与MAC一对一绑定。由于IPv6还处于试用阶段，没有对用户做任何接入控制，可以免费使用，但利用IPv6提供的信息服务同样要加以限制。

网络中心规定，对外提供信息服务的用户必须是单位用户，其IP地址是固定不变的。原有的用户管理系统所处理的数据项属于IP地址的客户属性。显然，IP地址的服务器属性除了包含这些客户属性外，还要有域名、信息服务类型和受理时间等数据项。为了能够按原有的用户管理架构进行信息服务备案管理，可以对该系统加以改进，通过增加域名、信息服务类型和受理时间等数据项，仍采用相同的操作界面，提供备案管理的受理、变更、查询和统计等功能。

因为不是所有的IP地址都需要服务器属性，为了减少数据冗余，不变动原来数据库的客户数据表结构，再创建一个服务器数据表，其表结构包括IPv4、IPv6、域名、TCP端口号列表、UDP端口号列表、受理日期、使用状态等字段。令两表中的IPv4地址字段为关键字字段，用于关联两个数据表，这样就可以通过服务器数据表来判断该IP地址提供了哪些服务。为了使该系统对客户的管理功能同样适用于管理服务器，可以将其处理方法移植到对服务器的管理上。这里的IPv6信息服务只适用于采用双栈技术搭建的、配置有IPv4地址的服务器。

图2 IPv4 ACL配置

图3 IPv6 ACL配置

ACL配置说明

根据信息等保要求，边界防火墙使用国产华为防火墙。在该防火墙上通过ACL控制外网用户访问内网服务，针对网络中存在的双栈服务器，分别配置IPv4 ACL和IPv6 ACL。假定用户申请备案服务器的IPv4/6地址分别是202.116.65.123和2001:250:3002:2015::123，提供WWW服务，允许所有外网用户访问，则在边界防火墙连接外网接口的入方面上应用ACL，其中IPv4 ACL配置如图2所示。

相应地，IPv6 ACL配置如图3所示。

在ACL配置处理时，ACL配置程序依据备案数据，按格式（1）和（3）分别生成相应的IPv4 ACL和IPv6 ACL表项后，远程登录到防火墙，在IPv4 ACL配置模式中，将ACL新表项插入到ACL中最后一条拒绝所有流量的rule deny ip表项之前。如此重复处理，让该程序向防火墙逐条输入新的ACL表项，即时生效。删除指定的ACL表项的处理过程类似，不再赘述。相同做法也适用于配置IPv6 ACL，但要注意，如格式（2）所示的表项是不能缺少的，因为IPv6的NDP（邻居发现协议）使用ICMP报文，需要在ACL中放行ICMP报文。

域名解析配置说明

校园网DNS负责解析在校内注册的网站域名，因为校园网一级域名sysu.edu.cn已在CERNET备案，所以将校园网一级域名作为其后缀的网站域名都是合法的。校园网运行一台主DNS服务器和多台辅助DNS服务器，假定为前面提到的那台服务器提供test.sysu.edu.cn域名，则需更改主DNS服务器的正、反向域名解析区域文件。

对应zone "sysu.edu.cn"的正向解析区域文件是sysu.zone，如图4所示。

对应zone "65.116.202.ip-addr.arpa"的IPv4反向解析区域文件是202.116.65.revzone，如图5所示。

对 应zone "5.1.0.2.2.0.0.3.0.5.2.0.1.0.0.2.ipv 6.int"的IPv6反向解析区域文件是2001:250:3002:2015.revzone。

在域名解析配置时，DNS配置程序远程登录到双栈主DNS服务器，打开正、反向域名解析区域文件，按（5）-（8）格式分别在相应文件中添加正反解析域名记录项。这三个文件的头部格式相同，其中Serial域的值是DNS配置序列号，每次更改记录后，应增大Serial值来触发辅助DNS服务器与其同步。完成文件编辑后，重启DNS服务器守护进程named，使修改过的配置生效。

结束语

图4 正向解析区域文件

图5 IPv4反向解析区域文件

该方案从实际应用出发，对原有用户管理系统加以改造，使之具有信息服务备案的管理功能，通过脚本程序定时检测该系统的备案状态，并根据检测结果进行ACL和DNS相关配置，让自动化处理尽可能贯穿整个信息服务备案过程，减轻工作强度、提高工作效率。

征稿函

栏目定位：

基础设施管理包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制。

同时也征集您在网络管理方面遇到的问题、疑惑。

文章选材（不限于以下议题，可自由发挥）：

1.设备运维：介绍、分析硬件设备的维修、保养、管理、配置、优化的经验技巧。

2.网管软件：介绍网络管理工作中相关的工具软件，使用方法、实现目的、网络情况的前后对比效果。

3.网管经验：在以往的网络管理工作中的设计、实施、经验教训。

4.机房与数据中心（实用性）：对企业和数据中心中的IT基础设施以及硬件设备的维修、保养、管理、配置、优化的经验技巧。文章强调实用性，可操作性和可靠性，有总结的内容。

5.机房与数据中心（概念性）：机房与数据中心中UPS、布线、路由交换、监控管理、机柜机架、空调制冷、规章制度等的说明、总结与展望，可对现有情况进行总结和对新技术、新产品的评定、评测等。投稿信箱：micsun@365master.com