1. 基于DNS客户端数据流结构
网络银行的客户端数据流结构,如图2-16所示。
图2-16 网络银行的客户端数据流结构图
(1) 电信客户端在IE上输入网银地址如ibank.bank.com,客户端将DNS(UDP 53)的请求发给电信的DNS Proxy。
(2) 电信的DNS Proxy首先向顶级DNS询问负责.com的DNS服务器IP地址(一般情况下该DNS Proxy的Cache中已经存在该.com的DNS服务器IP地址)。
(3) 电信的DNS Proxy向负责.com的DNS服务器询问负责bank.com的DNS服务器IP地址,他将随机获得电信和网通的DNS服务器地址。
(4) 电信的DNS Proxy接着讲请求发给电信或网通的DNS服务器,询问ibank. bank.com的IP地址,(的对外DNS已经将ibank授权给了GSS处理),电信的DNS Proxy将随机的得到电信GSS或网通GSS的IP地址。
(5) 电信DNS Proxy将请求发给电信或网通的GSS,GSS首先查询对方远近的动态数据库,如果有该电信DNS Proxy设备远近的数据,将根据该数据回复电信的VIP地址,如果远近数据库中没有该电信DNS Proxy的数据,则根据静态IP地址表回复电信的VIP地址。
(6) 电信在获得ibank.bank的地址后,将该VIP地址发送给电信客户端,电信客户端访问电信的VIP服务器。
2. 网银系统总体设计的关键
(1) DNS部署和可靠性设计问题:①同一站点双运营商的线路使用原则,双线路和双ISP的网络提供了高可靠性设计,但如何通过DNS选择技术实现进一步的智能负载均衡和备份; ②多中心站点的负载和备份机制也是需要考虑的。
(2) 安全和管理考虑:①业务与办公的因特网相互分开设计; ②在哪里部署防DDo S攻击; ③多道防火墙的设计原则——采用两套系统。
(3) 容量和性能问题:①连接数和性能——防火墙和负载均衡器; ②网络带宽的容量问题。
典型网银应用系统逻辑结构和网络银行的系统设计,如图2-17和图2-18所示。(www.xing528.com)
(二) 网络证券的交易平台设计
1. 设计要求和思路
(1) 由于客户端对站点服务器的寻址是直接使用服务器IP地址轮训的方式,不通过DNS实现,因此,设计要考虑多运营商IP地址访问和返回流量的问题。
(2) 经过防火墙(如ASA5580)在A/A模式的情况下需要实现返回流量的正常通信。
(3) 通常情况通过负载均衡器实现多运营链路选择问题,但个别情况要考虑交易/行情服务器前端使用国产负载均衡器各映射一个地址。
2. 网络证券平台设计方案
证券业的应用访问是通过固定IP地址实现业务需求的,针对这个需求有两种解决方案。
(1) 方案一。采用ACE负载均衡技术实现,为真实服务器提供虚的VIP地址,每个运营商提供一个VIP地址,实现多运营链路选择问题。采用ACE负载均衡技术实现,为真实服务器提供虚的VIP地址,每个运营商提供一个VIP地址,实现多运营链路选择问题。
图2-17 典型网银应用系统逻辑结构
图2-18 网络银行的系统设计
该方案的具体部署机制是:ASA部署两个虚拟的防火墙,防火墙一为运营商一使用;防火墙二为运营商二使用,两道虚拟防火墙可以实现两台ASA防火墙的双活部署,便于管理。运营商一的访问映射到VIP1,通过虚拟防火墙1;运营商二的访问映射到VIP2,通过虚拟防火墙2。对于返回的流量通过PBR或ACE的MACsticky技术将流量导向相对应的防火墙端口。
该方案的特点是:部署简单,稳定成熟,相对成本也不高。
(2) 方案二。采用ASA的异步路由机制,交易/行情服务器前端使用负载均衡器各映射一个地址,只有一个VIP地址供多个运营商使用,比较复杂。应用访问是通过固定IP地址实现业务需求,针对单个VIP的部署的特例,采用负载均衡器,交易/行情服务器前端使用国产负载均衡器各映射一个地址,只有一个VIP地址供多个运营商使用。
该方案的具体部署机制是:ASA部署模式-A/A模式,虚拟防火墙1为运营商一使用;防火墙2为运营商二使用,两道虚拟防火墙可以实现两台ASA防火墙的双活部署,便于管理。对于返回的流量通过ASA防火墙异步路由处理机制ASR技术将流量导向相对应的防火墙端口。利用ASA的异步路由机制,当发现返回不是本虚拟的防火墙,ASR机制会查找另一个虚拟防火墙处理,实行实现异步路由的防火墙可以正常工作。
该方案的特点是:此部署不是建议最佳部署,只是特殊需求下的实现方式。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
