客戶需求分析
在我國全面深化金融管理體制改革的制度下�����,金融行業(yè)加速向現(xiàn)代金融業(yè)轉(zhuǎn)型��,中國資本市場取得了急速發(fā)展�����,特別是中國的基
金業(yè)得到了迅猛發(fā)展�?���;鹦袠I(yè)的信息化建設(shè)也隨之進入跨越式發(fā)展的重要階段,伴隨著企業(yè)自身的發(fā)展壯大�,信息技術(shù)的不斷改造
進步,信息系統(tǒng)已經(jīng)成為基金行業(yè)重要的基礎(chǔ)設(shè)施�。特別是基金公司的IT安全優(yōu)化系統(tǒng)���,已經(jīng)成為基金行業(yè)的重要保障之一����。基金信
息化如同銀行���、保險信息化一樣����,在金融市場上扮演著越來越多的作用��?;鹱鳛榻鹑诘囊粋€分支,但是經(jīng)濟的發(fā)展���,金融行業(yè)的富
足���,由此而衍生了很多金融服務(wù)。
在基金公司進行新建時����,基本都采用租用IDC機柜環(huán)境,自行搭建網(wǎng)絡(luò)���、安全及業(yè)務(wù)系統(tǒng)����,這樣可以極大的縮短建設(shè)周期,減少
機房的運維管理成本���,提升業(yè)務(wù)系統(tǒng)運營環(huán)境的可靠性��。在業(yè)務(wù)支持方面�,網(wǎng)絡(luò)架構(gòu)及業(yè)務(wù)系統(tǒng)都相對固定成熟�����。但安全仍是老僧常
談的問題�����,是業(yè)務(wù)可靠運營的關(guān)鍵所在��,安全優(yōu)化需求可歸納如下:
◆ 基金業(yè)務(wù)系統(tǒng)面向所有公眾用戶開放�,首先應(yīng)考慮的是,安全區(qū)域的劃分����,安全策略的規(guī)劃,應(yīng)用層安全如何檢測和過濾��。
◆ 國內(nèi)特色的互聯(lián)網(wǎng)接入環(huán)境���,導(dǎo)致運營商之間的互聯(lián)互通后一直存在巨大延遲�,如何讓來自不同地域���、不同運營商的公眾用戶都
能最快訪問到業(yè)務(wù)系統(tǒng)�����。
◆ 基金業(yè)務(wù)大都采用https方式訪問�,僅靠服務(wù)器自身的性能來做SSL的加解密操作�,當(dāng)業(yè)務(wù)產(chǎn)生大并發(fā)訪問時,能明顯的感覺到服
務(wù)器處理加解密數(shù)據(jù)時會影響到業(yè)務(wù)的訪問體驗�����。
◆ 業(yè)務(wù)系統(tǒng)部署在第三方機房�����,運程運維是運維人員的常用運維手段�����,如何保障遠程運維的安全,也是建設(shè)時需重點考慮的����。
解決方案
齊杉科技基金公司安全優(yōu)化解決方案具體如下:
◆ 在基金公司業(yè)務(wù)出口部署齊杉Cedar ADC產(chǎn)品,負責(zé)多家運營商線路的接入���,主要解決出站(服務(wù)器主動訪問互聯(lián)網(wǎng)的流量)和
入站(外部用戶主動對發(fā)部業(yè)務(wù)的訪問)的流量調(diào)度問題����,負責(zé)VPN業(yè)務(wù)雙機工作(雙機互備)流量調(diào)度�����;
◆ 在Cedar ADC之下���,部署齊杉Cedar NGFW產(chǎn)品��,負責(zé)基金交易數(shù)據(jù)的訪問控制����、安全過濾���,七層深度安全檢查��,以及充當(dāng)遠程
安全運維時的VPN業(yè)務(wù)網(wǎng)關(guān)����。
■基金業(yè)務(wù)入向流量調(diào)度
通過Cedar ADC智能DNS功能解決入站流量調(diào)度方面的問題�,首先將對外發(fā)部的基金業(yè)務(wù)域名,最終解析功能指向齊杉科技Cedar
ADC設(shè)備��,由Cedar ADC設(shè)備來進行域名A記錄的解析�。舉個例子來說,當(dāng)外網(wǎng)用戶通過域名訪問對外發(fā)布的基金業(yè)務(wù)系統(tǒng)時��,逐步
通過外網(wǎng)用戶的本地DNS服務(wù)器���、根DNS服務(wù)器����,最終由Cedar ADC設(shè)備來進行域名的A記錄解析����。然后Cedar ADC設(shè)備就會通過智能
DNS模塊進行發(fā)起訪問外網(wǎng)用戶的運營商歸屬分析,給外網(wǎng)用戶返回對應(yīng)的運營商訪問地址�,同時實現(xiàn)多條線路冗余,讓外網(wǎng)用戶得
到最佳的訪問IP地址�����,提高訪問效率,詳細實現(xiàn)如下:
◆ 外網(wǎng)用戶通過Cedar ADC訪問后臺業(yè)務(wù)服務(wù)器��。
◆ 外網(wǎng)用戶請求到達設(shè)備的路徑有多條���,設(shè)備的每個外網(wǎng)接口分別對應(yīng)著不同運營商的鏈路����。
◆ 外網(wǎng)用戶訪問域名時�����,設(shè)備對域名進行智能DNS解析�����,通過將域名解析為所屬的運營商IP地址�,返回給外網(wǎng)用戶訪問同屬性運營商的IP地址,通過智能DNS技術(shù)讓所屬不同運營商網(wǎng)絡(luò)的外網(wǎng)用戶能通過相對應(yīng)的路徑完成業(yè)務(wù)請求的功能�。
通過基金業(yè)務(wù)入向流量調(diào)度功能,能很好的應(yīng)對基金對外發(fā)布業(yè)務(wù)�����,例如:門戶網(wǎng)站、基金交易系統(tǒng)等�,確保外網(wǎng)用戶的訪問體
驗最優(yōu),可靠性最高�����,故障自愈能力最強����。
■出向流量調(diào)度
出口鏈路調(diào)度對應(yīng)的功能是解決出站流量調(diào)度方面的問題����。主要是由基金病毒庫服務(wù)器主動發(fā)起的對公網(wǎng)的訪問,當(dāng)這部分流量
到達Cedar ADC設(shè)備時���,Cedar ADC設(shè)備會通過預(yù)先設(shè)定的好策略判斷每條鏈路的健康狀況���、響應(yīng)時延,并決定將流量調(diào)度到哪條鏈
路��,然后數(shù)據(jù)包的源地址轉(zhuǎn)換成對應(yīng)運營商的公網(wǎng)地址����,再將該數(shù)據(jù)包發(fā)出�����,響應(yīng)數(shù)據(jù)包返回到設(shè)備時����,設(shè)備將目的地址進行轉(zhuǎn)換之
后將數(shù)據(jù)包發(fā)給病毒庫服務(wù)器�。
■全面安全防御技術(shù)
通過Cedar NGFW把外網(wǎng)與內(nèi)部網(wǎng)絡(luò)進行隔離,通過基于狀態(tài)的包過濾技術(shù)�����,根據(jù)設(shè)定的安全策略���,過濾位于TCP/IP協(xié)議棧數(shù)據(jù)
鏈路層���、網(wǎng)絡(luò)層、應(yīng)用層中隱藏的安全威脅�����。Cedar NGFW可以根據(jù)每個數(shù)據(jù)包的源MAC地址�、目的MAC地址、源IP地址��、目的IP地
址、協(xié)議��、源端口����、目的端口、時間��、安全特征庫等為過濾依據(jù)���,決定是否對這個數(shù)據(jù)包給予放行或阻斷����。結(jié)合配備的特征庫����,對七
層業(yè)務(wù)數(shù)據(jù)進行逐一安全檢測�、過濾,確?����;饦I(yè)務(wù)的充分安全��。
■多種應(yīng)用優(yōu)化技術(shù)
通過Cedar ADC的連接復(fù)用、SSL卸載�、緩存、內(nèi)容壓縮等優(yōu)化技術(shù)����,為對外發(fā)布業(yè)務(wù)訪問提速。連接復(fù)用就是將多個連接合并為
一個連接來與服務(wù)器進行通信�,減少與服務(wù)器三次握手的次數(shù),提交數(shù)據(jù)交換的效率��,達到提升用戶訪問的效果��。SSL卸載是通過高性
能硬件加速芯片��,對SSL協(xié)議進行加解密處理��,從而減輕服務(wù)器的壓力����,提升服務(wù)器對請求的響應(yīng)速度。緩存是通過緩存空間將一些常
被訪問的靜態(tài)文件����,如圖片、文檔�����、視頻等進行本地緩存,客戶請求時���,直接由Cedar ADC設(shè)備進行響應(yīng)����,提升請求響應(yīng)效能����。壓縮
是通過HTTP壓縮算法,提升帶寬利用率���,縮短下載時間�����,從而提升用戶體驗。
客戶價值
◆ 高可靠�����。無論是從外向內(nèi)的訪問(訪問基金交易系統(tǒng)�����、門戶網(wǎng)站等),還是從內(nèi)向外的訪問(病毒庫升級)�����,均能實現(xiàn)最優(yōu)的調(diào)
度�����,無感知的切換��,真正滿足網(wǎng)絡(luò)7*24的高可靠����。
◆ 安全運維。通過VPN通道來承載遠程運維操作數(shù)據(jù)���,在滿足高效運維的同時確保運維操作不被它人監(jiān)聽和偽造����。
◆ 秒級業(yè)務(wù)故障自愈能力����。
