网上银行系统应用交付建设案例分析.docxVIP

CHISC.NET - 国内第一医疗信息化网站 ,为业内人士提供最强大的交流共享平台 第 PAGE 1 页 共 NUMPAGES 1 页 网上银行系统应用交付建设案例分析 随着互联网和电子商务的发展，越来越多的银行客户喜欢在网上操作银行业务，因此，在各大银行中，网上银行的建设都是重中之重的一个系统。并且，作为一个对Internet开放的电子渠道，在网上银行建设中会面临各种复杂的问题。本节就以银行网上银行建设作为一个案例，讨论应用交付网络在银行新一代数据中心建设中的主要作用以及建设规划。 在网上银行建设中，可能使用F5应用交付网络中的以下产品和技术： BIG-IP GTM:用于数据中心虚拟化建设，通过GTM的统一域名解析，提供网上银行用户的统一接入点。隐藏实际多个物理数据中心概念，实现多数据中心的并行处理和灾难备份。并且通过智能判断实现用户就近接入，提高客户体验。 BIG-IP LC：用于链路虚拟化建设，通过LC的统一域名解析和多链路接入处理，提供网上银行用户的统一接入点。隐藏实际多条物理线路的概念，实现多链路的并行处理和故障备份。并通过智能判断实现用户的优先链路选择，提高客户体验。 BIG-IP LTM：用于应用虚拟化建设，通过LTM对服务器应用的虚拟化处理，在同一数据中心中对网上银行用户提供同一的访问地址。隐藏实际多台物理服务器的概念，实现服务器的负载均衡处理和高可用性自动切换。 BIG-IP SAM：应用于大客户的远程安全接入，通过SAM安全接入控制器，位于Internet上的客户端可以安全的接入到银行的安全区。企业客户可以通过SAM建立一条直接与银行业务服务器之间的沟通渠道，起到替换原有专线接入的效果。 BIG-IP WA：用于应用优化处理，通过WA的硬件SSL加解密功能、HTTP页面压缩功能和动态内容加速功能，提高远程客户的访问速度，并减小网上银行系统的Internet接入带宽。在提高客户体验的同时节省银行的Internet接入带宽费用。 BIG-IP ASM：用于Web应用安全处理，通过ASM的被动和主动安全模式，可以对已知和未知的Web应用攻击进行应用层面的安全防护。实现代码级的应用安全。 网上银行系统结构规划 在大型银行的数据中心建设中，通常设计为2个或两个以上的数据中心，数据中心之间采用Gbps以上高速连接。 根据银行的网上银行发展战略的不同，通常情况下，网上银行的系统建设分为两种部署结构，初期建设时采用单站点结构，在进一步完善的时候采用多站点结构。 单站点结构 单站点结构主要用于在系统建设的初期，在数据同步、后台处理的技术手段尚不完善的情况下使用。 在单站点结构中，使用一个数据中心作为网银的中心接入点，在系统的最前端，使用多台GTM设备分布在每条链路上，作为用户访问流量选择的控制设备。 在链路的接入层采用一对BIG-IP 高端设备，并安装Link Controller模块，作为系统的接入点。负责处理链路接入、NAT和安全防护，并且和GTM配合，实现接入链路应用的最大优化。高端BIG-IP LTM的理论最高吞吐能力为36Gbps，可以在较长的一段时间内满足网上银行扩展需求。 在前端接入后，采用多台防火墙设备形成防火墙负载均衡结构，多台防火墙同时工作，并通过两端BIG-IP LTM实现负载均衡和高可用性。多台防火墙可以采用同一品牌或者不同品牌的防火墙实现安全和高可用性的最大化。 在防火墙负载均衡结构后，根据业务的类型，建议采用三对BIG-IP LTM高端设备分别处理Portal，对公和个人业务实现防火墙负载均衡和服务器负载均衡。这几对BIG-IP LTM的处理基本上为混合模式，既包含四层模式也包含七层工作模式，针对不同的应用采用不同的工作模式。余下的Proxy 、邮件等业务可以单独采用一对BIG-IP LTM 实现负载均衡。 在负载均衡处理的BIG-IP LTM后，可采用多台应用加速和应用安全设备（BIG-IP Web Accelerator和Application Security Manager等）实现应用加速系统，其中包括：SSL硬件加解密、HTTP页面压缩、Web应用加速等多项功能。这些设备主要以运行在七层工作模式为主，其主要目的为提高用户体验、节省带宽、减小服务器端压力和提高系统应用安全性。 在Web层到应用服务器层之间，可以选用一对F5 BIG-IP LTM设备实现对应用服务器的负载均衡，在这对BIG-IP LTM上主要以七层工作模式为主，主要实现对应用服务器的连接优化、七层会话保持等。考虑到系统的风险分担，也可以采用多台BIG-IP LTM按照业务类型进行分别处理。 多站点结构 当网银系统发展到一定规模时，则建议采用多站点分布式处理。 多站点分布式处理与