在我国全面深化金融管理体制改革的制度下,金融行业加速向现代金融业转型,中国资本市场取得了急速发展,特别是中国的基 金业得到了迅猛发展。基金行业的信息化建设也随之进入跨越式发展的重要阶段,伴随着企业自身的发展壮大,信息技术的不断改造 进步,信息系统已经成为基金行业重要的基础设施。特别是基金公司的IT安全优化系统,已经成为基金行业的重要保障之一。基金信 息化如同银行、保险信息化一样,在金融市场上扮演着越来越多的作用。基金作为金融的一个分支,但是经济的发展,金融行业的富 足,由此而衍生了很多金融服务。
在基金公司进行新建时,基本都采用租用IDC机柜环境,自行搭建网络、安全及业务系统,这样可以极大的缩短建设周期,减少 机房的运维管理成本,提升业务系统运营环境的可靠性。在业务支持方面,网络架构及业务系统都相对固定成熟。但安全仍是老僧常 谈的问题,是业务可靠运营的关键所在,安全优化需求可归纳如下:
◆ 基金业务系统面向所有公众用户开放,首先应考虑的是,安全区域的划分,安全策略的规划,应用层安全如何检测和过滤。
◆ 国内特色的互联网接入环境,导致运营商之间的互联互通后一直存在巨大延迟,如何让来自不同地域、不同运营商的公众用户都 能最快访问到业务系统。
◆ 基金业务大都采用https方式访问,仅靠服务器自身的性能来做SSL的加解密操作,当业务产生大并发访问时,能明显的感觉到服 务器处理加解密数据时会影响到业务的访问体验。
◆ 业务系统部署在第三方机房,运程运维是运维人员的常用运维手段,如何保障远程运维的安全,也是建设时需重点考虑的。
齐杉科技基金公司安全优化解决方案具体如下:
◆ 在基金公司业务出口部署齐杉Cedar ADC产品,负责多家运营商线路的接入,主要解决出站(服务器主动访问互联网的流量)和 入站(外部用户主动对发部业务的访问)的流量调度问题,负责VPN业务双机工作(双机互备)流量调度;
◆ 在Cedar ADC之下,部署齐杉Cedar NGFW产品,负责基金交易数据的访问控制、安全过滤,七层深度安全检查,以及充当远程 安全运维时的VPN业务网关。
通过Cedar ADC智能DNS功能解决入站流量调度方面的问题,首先将对外发部的基金业务域名,最终解析功能指向齐杉科技Cedar ADC设备,由Cedar ADC设备来进行域名A记录的解析。举个例子来说,当外网用户通过域名访问对外发布的基金业务系统时,逐步 通过外网用户的本地DNS服务器、根DNS服务器,最终由Cedar ADC设备来进行域名的A记录解析。然后Cedar ADC设备就会通过智能 DNS模块进行发起访问外网用户的运营商归属分析,给外网用户返回对应的运营商访问地址,同时实现多条线路冗余,让外网用户得 到最佳的访问IP地址,提高访问效率,详细实现如下:
◆ 外网用户通过Cedar ADC访问后台业务服务器。
◆ 外网用户请求到达设备的路径有多条,设备的每个外网接口分别对应着不同运营商的链路。
◆ 外网用户访问域名时,设备对域名进行智能DNS解析,通过将域名解析为所属的运营商IP地址,返回给外网用户访问同属性运营商的IP地址,通过智能DNS技术让所属不同运营商网络的外网用户能通过相对应的路径完成业务请求的功能。
通过基金业务入向流量调度功能,能很好的应对基金对外发布业务,例如:门户网站、基金交易系统等,确保外网用户的访问体 验最优,可靠性最高,故障自愈能力最强。
出口链路调度对应的功能是解决出站流量调度方面的问题。主要是由基金病毒库服务器主动发起的对公网的访问,当这部分流量 到达Cedar ADC设备时,Cedar ADC设备会通过预先设定的好策略判断每条链路的健康状况、响应时延,并决定将流量调度到哪条链 路,然后数据包的源地址转换成对应运营商的公网地址,再将该数据包发出,响应数据包返回到设备时,设备将目的地址进行转换之 后将数据包发给病毒库服务器。
通过Cedar NGFW把外网与内部网络进行隔离,通过基于状态的包过滤技术,根据设定的安全策略,过滤位于TCP/IP协议栈数据 链路层、网络层、应用层中隐藏的安全威胁。Cedar NGFW可以根据每个数据包的源MAC地址、目的MAC地址、源IP地址、目的IP地 址、协议、源端口、目的端口、时间、安全特征库等为过滤依据,决定是否对这个数据包给予放行或阻断。结合配备的特征库,对七 层业务数据进行逐一安全检测、过滤,确保基金业务的充分安全。
通过Cedar ADC的连接复用、SSL卸载、缓存、内容压缩等优化技术,为对外发布业务访问提速。连接复用就是将多个连接合并为 一个连接来与服务器进行通信,减少与服务器三次握手的次数,提交数据交换的效率,达到提升用户访问的效果。SSL卸载是通过高性 能硬件加速芯片,对SSL协议进行加解密处理,从而减轻服务器的压力,提升服务器对请求的响应速度。缓存是通过缓存空间将一些常 被访问的静态文件,如图片、文档、视频等进行本地缓存,客户请求时,直接由Cedar ADC设备进行响应,提升请求响应效能。压缩 是通过HTTP压缩算法,提升带宽利用率,缩短下载时间,从而提升用户体验。
◆ 高可靠。无论是从外向内的访问(访问基金交易系统、门户网站等),还是从内向外的访问(病毒库升级),均能实现最优的调 度,无感知的切换,真正满足网络7*24的高可靠。
◆ 安全运维。通过VPN通道来承载远程运维操作数据,在满足高效运维的同时确保运维操作不被它人监听和伪造。
◆ 秒级业务故障自愈能力。