客戶需求分析
隨著金融機構(gòu)多渠道服務(wù)的拓展�,越來越多的服務(wù)及業(yè)務(wù)應(yīng)用需要依賴互聯(lián)網(wǎng)來完成����。internet技術(shù)的飛速發(fā)展為用戶獲取金融
互聯(lián)網(wǎng)化提供了有利條件�,但網(wǎng)絡(luò)中充斥著病毒、木馬等安全威脅使用戶也面臨著巨大風險����。如何在滿足客戶服務(wù)的同時,保證正常
業(yè)務(wù)的開展�,有效對安全風險進行控制與管理,對用戶訪問體驗提升�,這是決策者在對金融互聯(lián)網(wǎng)出進行新建或改造重點考慮的問題。
◆ 金融互聯(lián)網(wǎng)出口都采用多運營商接入�����,運營商之間的互聯(lián)互通一直存在巨大延遲�����,來自不同運營商的最終用戶如何享受到持續(xù)穩(wěn)
定、高效流暢的應(yīng)用訪問體驗��。
◆ 當在多鏈路的環(huán)境下時��,由于傳統(tǒng)防火墻���、路由器設(shè)備自身不能主動探測域名記錄的可用性和負荷情況���,因此無法為最終用戶端
選擇解析響應(yīng)最快的可用服務(wù)成員。
◆ 金融業(yè)務(wù)系統(tǒng)的數(shù)據(jù)多采用SSL加密方式傳輸�,僅靠服務(wù)器自身的性能來做SSL的加解密操作,當業(yè)務(wù)產(chǎn)生大并發(fā)訪問時�����,能明顯
的感覺到服務(wù)器處理加解密數(shù)據(jù)時會影響到業(yè)務(wù)的訪問體驗�。
◆ 針對在外業(yè)務(wù)拓展的內(nèi)部人員,都通過VPN接入后��,再訪問內(nèi)部資源�����。VPN設(shè)備流量調(diào)度未有效規(guī)劃��,通常采用主備方式工作,
備機的資源大部分時間處于閑置狀態(tài)��,未充利用�,而主機長期處于負荷狀態(tài),主備機的資源調(diào)度未能得到合理的分配�,在業(yè)務(wù)
高峰期將影響到訪問體驗。
◆ 內(nèi)部工作人員在訪問互聯(lián)網(wǎng)獲取資源時�,出向流量如何智能調(diào)度,也是提升整體體驗的關(guān)鍵�����。
解決方案
齊杉科技金融互聯(lián)網(wǎng)出口流量調(diào)度解決方案具體如下:
◆ 在金融互聯(lián)網(wǎng)出口部署齊杉Cedar ADC產(chǎn)品����,負責多家運營商線路的接入���,主要解決出站(金融內(nèi)部用戶和服務(wù)器主動訪問互聯(lián)
網(wǎng)的流量)和入站(外部用戶主動對發(fā)部業(yè)務(wù)的訪問)的流量調(diào)度問題���,負責VPN業(yè)務(wù)雙機工作(雙機互備)流量調(diào)度;
■業(yè)務(wù)入向流量調(diào)度
通過Cedar ADC智能DNS功能解決入站流量調(diào)度方面的問題�����,首先將對外發(fā)部業(yè)務(wù)的域名解析功能指向齊杉科技Cedar ADC設(shè)備,
由Cedar ADC設(shè)備來進行域名A記錄的解析��。舉個例子來說���,當外網(wǎng)用戶通過域名訪問對外發(fā)布業(yè)務(wù)系統(tǒng)時��,逐步通過外網(wǎng)用戶的本
地DNS服務(wù)器��、根DNS服務(wù)器�����,最終由Cedar ADC設(shè)備來進行域名的A記錄解析�����。然后Cedar ADC設(shè)備就會通過智能DNS模塊進行發(fā)起
訪問外網(wǎng)用戶的運營商歸屬分析�,給外網(wǎng)用戶返回對應(yīng)的運營商訪問地址��,同時實現(xiàn)多條線路冗余�,讓外網(wǎng)用戶得到最佳的訪問IP地
址,提高訪問效率��,詳細實現(xiàn)如下:
◆ 外網(wǎng)用戶通過Cedar ADC訪問后臺業(yè)務(wù)服務(wù)器。
◆ 外網(wǎng)用戶請求到達設(shè)備的路徑有多條�����,設(shè)備的每個外網(wǎng)接口分別對應(yīng)著不同運營商的鏈路�。
◆ 外網(wǎng)用戶訪問域名時,設(shè)備對域名進行智能DNS解析���,通過將域名解析為所屬的運營商IP地址���,返回給外網(wǎng)用戶訪問同屬性運營商的IP地址,通過智能DNS技術(shù)讓所屬不同運營商網(wǎng)絡(luò)的外網(wǎng)用戶能通過相對應(yīng)的路徑完成業(yè)務(wù)請求的功能�����。
通過業(yè)務(wù)入向流量調(diào)度功能����,能很好的應(yīng)對金融對外發(fā)布業(yè)務(wù)��,例如:網(wǎng)上銀行���、手機網(wǎng)銀�、微信網(wǎng)銀、門戶網(wǎng)站等����,確保外網(wǎng)
用戶的訪問體驗最優(yōu),可靠性最高���,故障自愈能力最強��。
■VPN流量調(diào)度
由Cedar NGFW承載金融的VPN業(yè)務(wù)����,實現(xiàn)在外業(yè)務(wù)拓展的內(nèi)部人員通過VPN與內(nèi)部進行安全通信���。前端通過Cedar ADC設(shè)備結(jié)合
智能DNS功能進行入站鏈路的選擇���,再根據(jù)ADC上配置的算法(輪詢、加權(quán)輪詢等)將VPN請求調(diào)度到后端其中一臺NGFW上���,由
NGFW與外網(wǎng)用戶建立VPN隧道�,進行數(shù)據(jù)通訊�����。Cedar ADC對于已建立VPN隧道的后續(xù)數(shù)據(jù),通過會話保持方式����,確保在會話超時前,
使終由固定的一臺NGFW提供服務(wù)�����,保證VPN通道的穩(wěn)定�����。若后端其中一臺NGFW服務(wù)中斷時��,在ADC上能時實檢測到VPN服務(wù)池成員
的健康狀況����,及時隔離無法正常提供VPN服務(wù)的設(shè)備,將業(yè)務(wù)調(diào)度到正常的設(shè)備上����,保障業(yè)務(wù)的高可靠����。
■出向流量調(diào)度
出口鏈路調(diào)度對應(yīng)的功能是解決出站流量調(diào)度方面的問題。主要是由金融內(nèi)部員工和服務(wù)器主動發(fā)起的對公網(wǎng)的訪問,當這部分
流量到達Cedar ADC設(shè)備時�,Cedar ADC設(shè)備會通過預(yù)先設(shè)定的好策略判斷每條鏈路的健康狀況、響應(yīng)時延�,并決定將流量調(diào)度到哪
條鏈路,然后數(shù)據(jù)包的源地址轉(zhuǎn)換成對應(yīng)運營商的公網(wǎng)地址�����,再將該數(shù)據(jù)包發(fā)出���,響應(yīng)數(shù)據(jù)包返回到設(shè)備時��,設(shè)備將目的地址進行轉(zhuǎn)
換之后將數(shù)據(jù)包發(fā)給內(nèi)部員工或服務(wù)器�。
■DNS透明代理
DNS透明代理實現(xiàn)方式�����,即內(nèi)網(wǎng)用戶在對外網(wǎng)的域名進行訪問時���,Cedar ADC設(shè)備針對DNS流量進行劫持后�,再通過Cedar ADC
設(shè)備配合調(diào)度算法進行DNS解析調(diào)度��,將域名解析成對應(yīng)的對應(yīng)運營商的服務(wù)器地址���,以實現(xiàn)達到最優(yōu)訪問速度��。
金融內(nèi)部員工訪問外網(wǎng)域名時��,設(shè)備對域名進行解析��,并保證解析的服務(wù)器地址所屬的運營商類型���,與當前連接外網(wǎng)的鏈路所屬
的運營商類型相同����。同時確保在內(nèi)網(wǎng)與外網(wǎng)連接的鏈路發(fā)生切換時����,內(nèi)網(wǎng)員工仍能以最優(yōu)速度訪問外網(wǎng)。
■多種應(yīng)用優(yōu)化技術(shù)
通過Cedar ADC的連接復用��、SSL卸載����、緩存、內(nèi)容壓縮等優(yōu)化技術(shù)��,為對外發(fā)布業(yè)務(wù)訪問提速���。連接復用就是將多個連接合并為
一個連接來與服務(wù)器進行通信����,減少與服務(wù)器三次握手的次數(shù)���,提交數(shù)據(jù)交換的效率�,達到提升用戶訪問的效果�����。SSL卸載是通過高性
能硬件加速芯片���,對SSL協(xié)議進行加解密處理�,從而減輕服務(wù)器的壓力���,提升服務(wù)器對請求的響應(yīng)速度����。緩存是通過緩存空間將一些常
被訪問的靜態(tài)文件��,如圖片�、文檔��、視頻等進行本地緩存�����,客戶請求時���,直接由Cedar ADC設(shè)備進行響應(yīng),提升請求響應(yīng)效能���。壓縮
是通過HTTP壓縮算法���,提升帶寬利用率,縮短下載時間���,從而提升用戶體驗���。
客戶價值
◆ 高可靠。無論是從外向內(nèi)的訪問(訪問基金交易系統(tǒng)�、門戶網(wǎng)站等),還是從內(nèi)向外的訪問(病毒庫升級)��,均能實現(xiàn)最優(yōu)的調(diào)
度��,無感知的切換,真正滿足網(wǎng)絡(luò)7*24的高可靠���。
◆ VPN負載。實現(xiàn)VPN設(shè)備實際流量負載分擔工作�,任何一臺異常,VPN業(yè)務(wù)均滿足無縫切換�����。
◆ 秒級業(yè)務(wù)故障自愈能力�。
