西安电子科技大学现有全日制在校生3.8万人，学校共接入电信、联通、教育网三家运营商链路，出口带宽总和超80Gbps，带宽的峰值利用率可达到70Gbps以上。学校校园网为自运营模式，所有师生上网全部由学校信息中心负责。

学校DNS业务现在采用两台华域智能DNS设备（分别承担name server的教育IP和电信IP）对全校师生提供DNS代理解析服务和权威域名发布服务，DNS业务日常平均QPS达到10000以上。DNS设备除承担学校DNS基础解析服务外，还实现了如下特殊需求：

• DNS设备集中管理

两台设备组成了集中管理架构，实现了设备配置信息统一管理（精细化统一管理可实现两台设备不同配置的统一管理）、业务数据实现了实时统一存储和统一分析。

实现了通过华域智能DNS的集中管理架构管理学校自建DNS（linux系统下自建Bind服务）的需求场景。

• 统一备案、通讯通知对接开发

DNS设备内所记有录值与学校统一通讯（统一通讯和企业微信）进行了深度定制开发，完成了学校域名记录资产统一备案和信息通知，从根本上解决了域名记录的责任人所属管制及限制报告需求。

现在学校域名记录申请，由学校的统一办事大厅建立流程，根据流程定义审批机制进行逐层审批，完成后自动写入DNS设备，DNS设备根据申请所携带信息进行域名记录有效期设置、管理员信息登记，并同时承担到期通知服务，到期停止记录解析服务。

• IPv4和IPv6带宽的流量调和

现阶段学校IPv6链路只有教育网已接入，递归解析一旦开启IPv6，将导致网络流量大部分倾斜于教育网的IPv6出口。DNS设备承担IPv6和IPv4的应用流量的调度工作（已精细至外网单个资源网站），最终对出口IPv6带宽进行了流量调和。

• 数据分析（正常数据分析、非法域名请求分析）

同时实现本地和外推（非结构话数据SYSLOG推送至学校数据治理设备，开启自分析数据的API接口供调用）两种模式下，针对域名解析数据的统一分析、统计及深度挖掘。

• 非法域名过滤

通过使用设备内安全联盟功能，实现了非法域名的解析过滤，限制用户对非法网站的访问。非法域名的库包含了挖矿、色情、钓鱼、恶意软件、僵尸木马网站等（数据库来源：华域威胁域名库、国家安全应急中心威胁域名库、教育网定期发布挖矿域名库组成）。

四川大学现有全日制在校生5.1万人，学校共接入电信、联通、移动、广电、教育网三家运营商链路，出口带宽总和超50Gbps。学校校园网由学校信息化建设与管理办公室下的网络与通讯科统一运营，DNS业务现在采用两台华域智能DNS设备组成集群模式，与学校两台老的DNS服务器，共4台设备提供DNS解析服务。

学校典型部署描述：

• IPv6分线路智能解析

由于中国互联网现在处于大力发展IPv6基础网络建设阶段，学校DNS业务解析发布必须接入IPv6授权体系。由于运营商DNS的IPv6部署已经相对完善，学校DNS在对IPv6客户端解析时被匹配到智能解析的通用线路。在此背景下使用华域智能DNS实现了IPv6环境下的分线路智能解析，提高了接入IPv6网络客户访问学校网站和系统的速度。

• DNS设备集中管理

所有华域DNS设备组成了集中管理架构，实现了设备配置信息统一管理（精细化统一管理可实现两台设备不同配置的统一管理）。学校老DNS设备将DNS解析数据推送至华域主DNS设备，实现了所有业务数据的实时统一存储和分析。

• 数据分析（正常数据分析、非法域名请求分析）

响应国家对挖矿网站封禁的号召，通过华域智能DNS的非法拦截功能，实现了学校用户对挖矿域名解析的过滤和分析工作。并在响应国家号召的同时对其它非法域名也做拦截过滤，例如色情、钓鱼、僵尸木马、钓鱼站点等。

对勒索病毒域名解析进行了有效的防御，实现了当用户的DNS解析数据包含勒索域名时，有针对性的对此用户进行排查，并实现了针对挖矿域名解析走势的针对性统计。

客户介绍

安徽农业大学坐落于安徽省省会合肥市中心城区，为安徽省属重点大学，由农业农村部、国家林业和草原局和安徽省人民政府三方共同建设，入选国家中西部高校基础能力建设工程、卓越工程师教育培养计划2.0、卓越农林人才教育培养计划，成为安徽省高等教育振兴计划首批四所“地方特色高水平大学建设项目”和“高水平大学奖补资金项目”支持高校之一，具有推荐免试研究生资格和副教授自审权，具有安徽省属高校第一个国家重点实验室、第一个国际合作联合实验室、第一个国家技术转移中心等国家级科技创新平台，被教育部列为中国政府奖学金来华留学生接收院校。

部署方案

本次智能DNS系统项目总体目标是：在科学、经济、合理的原则下，根据现有信息化系统的实际情况，采用两台智能DNS系统，作为支撑IT基础设施的技术平台，保障IT业务系统稳定、高效运行，提升域名服务的效率和质量，提高域名安全管理水平。示意拓扑如下：

采用华域智能DNS系统高可用性（HA）模式部署；建立以华域智能DNS设备为核心的DNS周边服务（数据挖掘分析、数据存储、业务扩展等）；利用华域智能DNS系统多种功能优化校园网用户域名访问体验；结合校园网络安全设备及华域智能DNS自身多种安全功能，有效域名网络安全；支持双栈环境，利于校园网IPv6网络的搭建以及扩容；结合校园网情况，限制非校园网用户递归解析业务，保障DNS服务安全。

项目效果

安徽农业大学通过华域智能DNS发布权威域，对外实现了CDN解析效果，优化递归查询，对内利用华域智能DNS独有的负载调度解析优化功能，实现资源访问的负载调度，提高用户访问效率。

利用华域智能DNS的高可靠和负载均衡功能，对服务进行健康检测和故障转移。

为学校权威域名部署了DNSSEC，解决了DNS欺骗和缓存污染问题，防止了恶意攻击者篡改域名解析结果。

客户介绍

西北工业大学（以下简称西工大）坐落于陕西西安，是我国唯一一所以同时发展航空、航天、航海（三航）人才培养和科学研究为特色的多科性、研究型、开放式大学，现隶属于工业和信息化部。新中国成立以来，西工大一直是国家重点建设的高校，1960年被国务院确定为全国重点大学，“七五”、“八五”均被国务院列为重点建设的全国15所大学之一，是全国首批设立研究生院的22所高校之一，1995年首批进入“211工程”，2001年进入“985工程”，2017年进入国家“一流大学”建设高校（A类），是“卓越大学联盟”成员高校，先后获得“全国文明单位”、“全国创先争优先进基层党组织”、“全国毕业生就业典型高校”、“全国文明校园”等荣誉称号和表彰奖励。

部署方案

学校拥有两台自建DNS设备，从安全和循序升级的角度考虑，保留原有DNS设备与华域专业DNS设备同时工作，增强整体DNS解析能力，是非常有必要的。整体部署由华域智能DNS将充当DNS解析系统的主配置设备的角色（开启华域设备独有同步协议模块），学校原有两台自建DNS设备通过标准同步协议，取得华域智能DNS设备的域名配置信息，并与其同时进行业务发布。

方案整体效果

• 整体系统解析可靠

方案保留了学校原有的两台DNS设备，和新增加的华域专业DNS设备融合共同组成DNS业务群组，大大提高了整体网络的冗余效果。

• 集中数据分析和挖掘

方案将网络中所有域名解析数据统一集中到华域智能DNS设备进行数据分析和挖掘。管理员只需登录华域智能DNS设备即可对整个网络中的域名解析数据进行综合分析。

• 整体系统扩展简单

方案的设计考虑到了后续的网络扩展， 采用并行部署方式，如果需要扩容DNS设备，只需要将新增加设备联网与原有设备关联即可。

• 分布式网络访问优化

在两个校区分别部署一台智能DNS设备，并为各自校区部署外部网站访问识别节点，始终可返回所访问资源在各个运营商内最快的CDN镜像，从而给出更优化的访问线路。在最大程度上对内网用户的出访优化进行考虑和解决。

• 资源负载调度
  

使用资源负载调度功能区分不同资源，根据类型选择出访链路。最终达到多线路的均衡使用。

• 安全防护

通过设备内置的防火墙、黑名单、防DDoS功能、递归解析限制等功能以及安全部署方式等，配置一系列适合于学校的安全策略，来抵御攻击行为。

部署基于网络层的单IP流量限速设置，抵御DNS洪水攻击行为。

• 系统预警应急处理

设备故障告警功能，在系统各项性能指标超安全警戒线的时候及时自动通过微信通知管理员，预防故障发生。