金融互联网出口流量调度解决方案
客户需求分析

随着金融机构多渠道服务的拓展,越来越多的服务及业务应用需要依赖互联网来完成。internet技术的飞速发展为用户获取金融 互联网化提供了有利条件,但网络中充斥着病毒、木马等安全威胁使用户也面临着巨大风险。如何在满足客户服务的同时,保证正常 业务的开展,有效对安全风险进行控制与管理,对用户访问体验提升,这是决策者在对金融互联网出进行新建或改造重点考虑的问题。

◆ 金融互联网出口都采用多运营商接入,运营商之间的互联互通一直存在巨大延迟,来自不同运营商的最终用户如何享受到持续稳 定、高效流畅的应用访问体验。

◆ 当在多链路的环境下时,由于传统防火墙、路由器设备自身不能主动探测域名记录的可用性和负荷情况,因此无法为最终用户端 选择解析响应最快的可用服务成员。

◆ 金融业务系统的数据多采用SSL加密方式传输,仅靠服务器自身的性能来做SSL的加解密操作,当业务产生大并发访问时,能明显 的感觉到服务器处理加解密数据时会影响到业务的访问体验。

◆ 针对在外业务拓展的内部人员,都通过VPN接入后,再访问内部资源。VPN设备流量调度未有效规划,通常采用主备方式工作, 备机的资源大部分时间处于闲置状态,未充利用,而主机长期处于负荷状态,主备机的资源调度未能得到合理的分配,在业务 高峰期将影响到访问体验。

◆ 内部工作人员在访问互联网获取资源时,出向流量如何智能调度,也是提升整体体验的关键。

解决方案

齐杉科技金融互联网出口流量调度解决方案具体如下:

◆ 在金融互联网出口部署齐杉Cedar ADC产品,负责多家运营商线路的接入,主要解决出站(金融内部用户和服务器主动访问互联 网的流量)和入站(外部用户主动对发部业务的访问)的流量调度问题,负责VPN业务双机工作(双机互备)流量调度;

■业务入向流量调度

通过Cedar ADC智能DNS功能解决入站流量调度方面的问题,首先将对外发部业务的域名解析功能指向齐杉科技Cedar ADC设备, 由Cedar ADC设备来进行域名A记录的解析。举个例子来说,当外网用户通过域名访问对外发布业务系统时,逐步通过外网用户的本 地DNS服务器、根DNS服务器,最终由Cedar ADC设备来进行域名的A记录解析。然后Cedar ADC设备就会通过智能DNS模块进行发起 访问外网用户的运营商归属分析,给外网用户返回对应的运营商访问地址,同时实现多条线路冗余,让外网用户得到最佳的访问IP地 址,提高访问效率,详细实现如下:

◆ 外网用户通过Cedar ADC访问后台业务服务器。

◆ 外网用户请求到达设备的路径有多条,设备的每个外网接口分别对应着不同运营商的链路。

◆ 外网用户访问域名时,设备对域名进行智能DNS解析,通过将域名解析为所属的运营商IP地址,返回给外网用户访问同属性运营商的IP地址,通过智能DNS技术让所属不同运营商网络的外网用户能通过相对应的路径完成业务请求的功能。

通过业务入向流量调度功能,能很好的应对金融对外发布业务,例如:网上银行、手机网银、微信网银、门户网站等,确保外网 用户的访问体验最优,可靠性最高,故障自愈能力最强。

■VPN流量调度

由Cedar NGFW承载金融的VPN业务,实现在外业务拓展的内部人员通过VPN与内部进行安全通信。前端通过Cedar ADC设备结合 智能DNS功能进行入站链路的选择,再根据ADC上配置的算法(轮询、加权轮询等)将VPN请求调度到后端其中一台NGFW上,由 NGFW与外网用户建立VPN隧道,进行数据通讯。Cedar ADC对于已建立VPN隧道的后续数据,通过会话保持方式,确保在会话超时前, 使终由固定的一台NGFW提供服务,保证VPN通道的稳定。若后端其中一台NGFW服务中断时,在ADC上能时实检测到VPN服务池成员 的健康状况,及时隔离无法正常提供VPN服务的设备,将业务调度到正常的设备上,保障业务的高可靠。

■出向流量调度

出口链路调度对应的功能是解决出站流量调度方面的问题。主要是由金融内部员工和服务器主动发起的对公网的访问,当这部分 流量到达Cedar ADC设备时,Cedar ADC设备会通过预先设定的好策略判断每条链路的健康状况、响应时延,并决定将流量调度到哪 条链路,然后数据包的源地址转换成对应运营商的公网地址,再将该数据包发出,响应数据包返回到设备时,设备将目的地址进行转 换之后将数据包发给内部员工或服务器。

■DNS透明代理

DNS透明代理实现方式,即内网用户在对外网的域名进行访问时,Cedar ADC设备针对DNS流量进行劫持后,再通过Cedar ADC 设备配合调度算法进行DNS解析调度,将域名解析成对应的对应运营商的服务器地址,以实现达到最优访问速度。

金融内部员工访问外网域名时,设备对域名进行解析,并保证解析的服务器地址所属的运营商类型,与当前连接外网的链路所属 的运营商类型相同。同时确保在内网与外网连接的链路发生切换时,内网员工仍能以最优速度访问外网。

■多种应用优化技术

通过Cedar ADC的连接复用、SSL卸载、缓存、内容压缩等优化技术,为对外发布业务访问提速。连接复用就是将多个连接合并为 一个连接来与服务器进行通信,减少与服务器三次握手的次数,提交数据交换的效率,达到提升用户访问的效果。SSL卸载是通过高性 能硬件加速芯片,对SSL协议进行加解密处理,从而减轻服务器的压力,提升服务器对请求的响应速度。缓存是通过缓存空间将一些常 被访问的静态文件,如图片、文档、视频等进行本地缓存,客户请求时,直接由Cedar ADC设备进行响应,提升请求响应效能。压缩 是通过HTTP压缩算法,提升带宽利用率,缩短下载时间,从而提升用户体验。

客户价值

◆ 高可靠。无论是从外向内的访问(访问基金交易系统、门户网站等),还是从内向外的访问(病毒库升级),均能实现最优的调 度,无感知的切换,真正满足网络7*24的高可靠。

◆ VPN负载。实现VPN设备实际流量负载分担工作,任何一台异常,VPN业务均满足无缝切换。

◆ 秒级业务故障自愈能力。