一、金融行业背景

 

金融行业是新技术革命的主力军和急先锋,为了提高管理水平,满足客户日益增长的服务需要,行业的自身特点要求在推广和应用新技术方面时刻要走在时代的最前列,最先成为新技术的应用者,国家在推动金融电子化的现代步伐中,投入了大量的人力和物力,可以说金融系统所应用的设备和技术是在各行业中领先的,随着金融安全防范体制和理论的进一步完善和提高,势必要求金融行业最快最新地应用高新科技成果,带领全行业步入一个新的台阶,提供最安全最周到的服务保障,树立自己的行业形象。

 

保障金融系统正常运转的最核心问题就是安全保障,这是压倒一切的根本问题,国家在保障其安全性的问题上给予了最高的重视,但这一思想的贯彻实施是不能完全靠主观的能动性来保证的,必需建立一套完善的安全机制,用高科技手段武装起来,将安全体系建设得天衣无缝,逐步降低主观因素所带来的意外损失,这正是金融行业发展的必然,.传统的模拟的监控因其固有的弊病,最易受到主观因素的干扰,无法真正建立一套客观制约的安全机制,无论从技术和理论上都不再适应发展的需要,必将被历史所淘汰,新的以计算机为核心的多媒体监控,把管理权交给计算机, 不以人的主观意识为转移,同时其自身所固有的技术特性,为今后的发展提供了广阔的空间,随着全行业的数字化,网络化步伐的加快,传统模拟的监控系统必将被新一代数字化,网络化多媒体管理监控系统所取代。 

 

二、金融行业网络应用需求分析

 

一个典型的金融行业的网络拓扑结构图如下图所示：

 

由于金融行业存在着非常特殊的安全要求，因此金融行业的网络部署从物理上划分为办公网及生产网两个部分：

 

生产网用于金融行业对外的网上公共信息发布、为Internet用户提供金融行业网上应用，如：网上银行，网上证券等。

 

办公网则用于金融行业内部用户访问Internet上的资源。

 

2.1、广域网链路需求分析

 

网络连接方面的需求－多链路负载均衡技术

 

金融行业在网络连接方面的需求如下：

 

目前在国内由于多家ISP的竞争，Internet 接入链路的成本大幅降低，多链路Internet的接入已成为许多用户在的选择网络连接方面的需求。因此在Internet网络连接方面金融行业网络将存在如下要求：

 

提高Internet网络链路的可用性：

 

当金融行业网络中心具有多条Internet链路后，应提高Internet网络链路可用性的智慧检查，防止出现由于某一条Internet链路的失效造成整体网络的不可访问。

 

提高Internet链路的网络吞吐量：

 

提高网络中心的Internet网络链路的吞吐量，申请多条Internet链路屏蔽ISP接入商之间的互连互通问题 当采用两个或多个不同ISP接入商之后，提高访问位于不同接入商资源时的访问速度。

 

提高Internet网络链路的抗网络攻击的能力：

Internet上的各种各样的网络攻击首先影响的将会是Internet网络链路，因此应加强在Internet链路上的攻击防护。

 

2.2、 网络安全防护需求分析

 

网络安全方面的需求－防火墙、IDS、防病毒等安全网关设备负载均衡技术的需求

 

为了保证金融行业的网络在网络安全防护方面的高可用性、高性能和安全性，金融行业在网络安全方面的需求可以分为以下几部分：

 

提高网络安全设备的可用性：

网络中应具备安全设备的的可用性检查，避免单一的网络安全设备的单点失效性。

 

提高网络安全设备性能：

在网络中采用多台网络安全设备，避免网络安全设备带来的瓶颈，提高网络传输速度。

 

2.3、网络应用需求分析

 

网络应用方面的需求－应用服务器负载均衡技术的需求

 

为了保证金融行业的网络应用的高可用性、高性能和安全性，金融行业的网络应用存在下列需求：

 

提高网络应用的可靠性：

自动的网络应用可用性检查，保证网络应用的7x24 小时的持续性服务。

 

提高网络应用的性能：

如果网络中仅有单台服务器提供网络应用的服务，很难保证网络应用的性能，可以考虑增加相应的服务器数量，配合负载均衡技术来提高网络网络应用的性能。

 

网络应用的安全性较差：

制定针对具体的、特定的网络应用的特点而专门制定的基于网络7层防护的安全性防护机制；

 

三、金融行业网络应用解决方案

 

根据上述网络应用现状分析和用户的需求分析，结合Radware产品的技术实现和特点，我们建议的金融行业方案设计如下图所示：

 

 

3.1、广域网连接解决方案

 

如上图所示，我们建议在网络接入处，部署链路负载均衡设备，实现对多条 internet接入链路（最多100条）的负载均衡，可以同时实现outbound流量（内部办公用户访问internet）和inbound流量（internet用户访问内部服务器）双向的负载均衡。

同时使用动态就近性来保证进出的双向流量的智能的动态的就近性选择，大大提高用户访问的服务质量和访问效率。

 

3.2、网络安全解决方案

如上图所示，我们建议在网络接入处，部署入侵防御系统和防火墙，用于制定内部信息资源的不同访问策略，识别并实时抵御1500多种蠕虫、病毒、DOS攻击和异常的流量模式，保护内部用户和服务器的安全。保护数据中心的应用免受来自Internet的网络攻击。

同时，通过把入侵防御系统的端口两两静态绑定，虚拟成多台逻辑设备，分别部署在核心交换机和金融行业广域网之间保护入侵和攻击不致互相扩散。

使用一台入侵防御系统设备部署在核心交换机和服务器负载均衡之间，保护服务器群免受内部办公用户的非法攻击。

使用多台入侵防御系统设备部署在内部办公用户的不同网段（或者楼层）之间，保证非法入侵和攻击不致扩散到其它办公网段或者楼层。

 

3.3、网络应用解决方案

 

我们建议的应用解决方案部分，包括2款产品，服务器负载均衡设备，应用加速设备,每台设备简要功能描述如下：

 

服务器负载均衡位于核心交换机和各种IP应用服务器之间，主要实现所有基于IP协议的各种服务器的负载均衡功能，通过部署服务器负载均衡设备,可以实现服务器业务的7*24不间断的运行和保证业务的最佳服务器质量，从而实现了服务器所承载的业务的100％的高可用性和高性能。

 

应用加速与服务器负载均衡配合，为用户提供SSL加密加速服务。利用服务器负载均衡可以使Web服务器摆脱密集型处理的SSL密钥交换和加密/解密功能。为应用处理释放了服务器资源，并且使服务器的投资发挥最大效益。

 

应用加速通过WEB压缩和HTTP连接复用技术，大大提升internet用户对服务器的访问速度。较大地节省了internet的接入带宽，大大地降低了WEB服务器的处理资源消耗。