Array网上银行网络优化解决方案.docx

array 网上银行网络优化解决方案 一、 用户需求 1 网上银行介绍随着电子商务的蓬勃发展，数字地球的逐渐完善，如何为客户提供更便捷、更周到的服务已经成为银行竞争的焦点。目前银行柜台向客户提供的业务，主要有存款，取款，转账，查询，代缴费等。随着计算机网络的普及，金融服务手段的不断改善，居民日常的消费更多地将转向于电子化服务，直接的现金交易将减少，非现金交易将增大。这样，传统的银行储蓄柜台业务将弱化，而采用各类电子化服务渠道的转账，查询的交易将增加。网上银行正是提供这种服务的一个最实用的途径，也是银行下一步争夺客户的重要手段。建立网上银行，为个人和企业客户提供网上交易的平台，适应了社会发展的需求，是当今银行发展的潮流。网上银行，是银行利用internet技术，通过internet向客户提供开户、销户、查询、对帐、行内转帐、跨行转帐、信贷、网上网上银行、投资理财等传统服务项目，使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。可以说，网上银行是在internet上的虚拟银行柜台，是银行传统柜台业务在internet上的延伸。网上银行支持的银行业务主要有三大类：广告，宣传资料及公共信息的发布，如银行的业务种类，处理流程，网点介绍，最新通知，年报，金融信息，操作指南等；支持个人客户和企业客户在银行各类帐户信息的查询，及时反映客户的财务状况；实现个人客户和企业客户的理财交易，包括转账，信贷，股票买卖，在线支付 b2b，b2c 等。2网上银行存在的潜在问题安全性由于网上银行是一种网络应用，它的所有内容都是以数字的形式流转于internet之上，因此，在网上银行应用中不可避免地存在着由internet的自由、开放所带来的信息安全隐患。另外，网上银行作为庞大资金流动的载体，更易成为非法入侵和恶意攻击的对象。所以，安全性成为了网上银行的首要问题，银行应制定并实施充分的物理安全措施，有效防范外部或内部非授权人员对关键设备的非法接触；应采用合适的加密技术和措施，以确认网上银行业务用户身份和授权，保证网上交易数据传输的保密性、真实性，保证通过网络传输信息的完整性和交易的不可否认性。网上银行应用中主要存在以下几个安全问题：身份认证由于非法用户可以伪造、假冒网上银行和网上银行业务用户的身份，因此登录到网上银行应用系统的用户无法知道他们所登录的是否是可信的网上银行应用系统，网上银行应用系统也无法验证登录的用户是否是经过认证的合法用户，非法用户可以借机进行破坏。“用户名口令”的传统认证方式安全性较弱，用户口令易被窃取而导致损失。 信息的机密性传输在客户端与网上银行应用系统服务器之间的敏感信息和交易数据，如用户的银行帐号、密码等，有可能在传输过程中被非法用户截取。信息的完整性敏感信息和交易数据在传输过程中有可能被恶意篡改。信息的不可抵赖性网上银行交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据。除了安全性问题之外，网上银行还存在以下一些潜在的问题：服务器故障服务器出现硬件或操作系统故障而不能使用 ； 软件故障尽管其它应用系统正常运行，但某个或某些应用系统挂起或停止响应 ； 内容故障服务器和应用系统都在正常运行，但对请求的响应却是“404 object not found”，或响应内容不正确;流量过多服务器的响应与负载量变化密切相关。在流量增 长的过程中，服务器将及时对请求作出响应，然而当流量到达一个极限点时，服务器就会停止对所有请求进行响应。这种现象在本质上很象二进位制服务器或者工作或者罢工 。不能访问网络如果服务器和外界的连接中断，也就无法进行访问了。这可能是由路由器故障、路由器配置错误或是高速缓存故障而引起的。访问速度缓慢响应时间将影响客户的信心和心情，很明显，客户访问网站时等待的时间越长，它们就会越不耐烦，为防止现有客户或潜在客户弃您的网站而去，更糟糕的是转向访问竞争对手的网站，一定要避免网站的速度因突然出现的流量高峰而慢得像蜗牛一样。通讯拥塞，服务器过载，ssl的使用，防火墙等等均可造成访问速度减慢。异地容灾问题当一个中心发生故障时，如何自动转向其它可用站点，并在原中心恢复后，自动转回服务，而且自动同步内容。3网上银行系统平台的业务需求从目前网上银行的存在问题和其业务发展来看，网上银行主要具有如下的需求：安全交易：由于网上银行涉及客户个人隐私和银行金融机密，因此网上银行的安全性是系统建设的首要问题支持传统业务及新业务发展：实现在线交易。网上银行系统：作为银行综合业务系统的前置业务系统，能够与综合业务系统方便集成，支持各种主机，数据库和通讯协议，可以和其它的前置业务系统共享主机业务服务器的交易处理高性能：银行业的竞争日益激烈，提供安全可靠的前题下，必须高效。支持 724小时全天候服务：充分利用系统和设备的能力，为客户提供可靠，完善，便捷的服务。安装，维护方便。具备高性能，高扩展性和高可伸缩性。针对网上银行业务的需求，array networks提出了一套全面、高效、安全的解决方案。二、 array 的网上银行解决方案 array产品系列提供一个将诸多复杂web设备化零为整的解决方案，可以完全解决网上银行系统存在的问题。它是第一个真正的将众多重要的网络功能合为一体的集成化应用系统，这些网络功能包括服务器负载均衡（slb），全局服务器负载均衡（gslb），ssl加速， webwall安全，链路负载平衡（llb），http压缩以及ssl vpn解决远程安全访问等。1slb-解决服务器负载平衡和高可靠性对于网上银行而言，访问时延和服务器的可靠性是非常重要的问题。而随着业务的增长，对拥有多台服务器的网上银行运营中心来说，不是全部服务器都发挥了其应有的效力。array的负载均衡服务，使每台服务器的处理能力都能得到充分的发挥。slb可以实现如下的功能：- 提供真正面向应用层的www、dns、ftp，以及基于固定端口的tcp/udp等应用的负载均衡；- 无需改动网络拓扑结构，即可实现功能；- 功能强大，支持路由功能- 根据实际响应时间的负载平衡算法来实现真正的合理的流量分配。1.1 slb的工作模式 array的服务器负载均衡可以以两种模式执行：reverse proxy mode（反向代理模式）和transparent mode（透明模式）。（1）reverse proxy mode（反向代理模式）使用array tm的反向代理服务可以将请求转发给内部的服务器，让array tm将请求均匀地转发给多台内部服务器之一上，从而达到负载均衡的目的。这种代理方式与普通的代理方式有所不同，标准代理方式是客户使用代理访问多个外部服务器，而这种代理方式是多个客户使用它访问内部服务器，因此也被称为反向代理模式。其传输流程如下所示： 反向代理模式的优点：可以采用one-armed的结构部署；可以通过连接池技术增强系统性能。反向代理模式的局限性：服务器无法记录哪些ip的客户端曾进行访问解决办法: array tm可以在用户的http包头中加入x-forwarded-for字段，用它记录客户端的ip地址。（2）transparent mode（透明模式）array tm 的透明模式是指array tm在转发用户请求时，透明地将客户端的连接定向到特定的服务器上，即用户的源ip地址对服务器是透明的，服务器可以知道哪个客户对其进行了访问。其传输流程如下： 透明模式的优点：服务器可以记录哪些ip的客户端曾进行访问。透明模式的局限性：结构/路由设计必须保障从源服务器端来的响应必须经过tm；one-armed的结构有可能不能实现；由于每个请求的源ip地址都不一样，因此无法利用连接池技术改善系统性能。1.2 slb的负载均衡算法array支持多种服务器负载均衡算法（持续性的和非持续性的），包括轮循算法、最少连接算法、响应时间算法、散列算法、最少连接失误算法，链路带宽算法等等。此外实际服务器可以被分配不同的加权值来调整被分配的流量。比如性能高的大型服务器可配置较大的加权值，而为性能较低的小型服务器设置较小的加权值。为了避免服务器因过载而崩溃，可为实际服务器指定最大连接阈值来避免该服务器过载。任何服务器可被指定为另一台服务器的备份服务器或溢出服务器，从而进一步保证了应用可用性。（1）非持续性算法（non-persistent）：一个客户端的不同的请求可能被分配到一个实服务组中的不同的实服务器上进行处理。主要有轮循算法、最少连接算法、响应速度算法等。轮循算法（round robin）：每一次来自网络的请求轮流分配给内部中的每台服务器，从1至n然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况； 最少连接算法（least connection）：客户端的每一次请求服务在服务器停留的时间都可能会有较大的差异，随着工作时间的加长，如果采用简单的轮循或随机均衡算法，每一台服务器上的连接进程可能会产生极大的不同，这样的结果并不会达到真正的负载均衡。最少连接数均衡算法对内部中有负载的每一台服务器都有一个数据记录，记录的内容是当前该服务器正在处理的连接数量，当有新的服务连接请求时，将把当前请求分配给连接数最少的服务器，使均衡更加符合实际情况，负载更加均衡。此种均衡算法适合长时间处理的请求服务。 响应速度算法（response time）：负载均衡设备对内部各服务器发出一个探测请求（例如ping），然后根据内部中各服务器对探测请求的最快响应时间来决定哪一台服务器来响应客户端的服务请求。此种均衡算法能较好地反映服务器的当前运行状态，但最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间，而不是客户端与服务器间的最快响应时间。（2）持续性算法（persistent）：从一个特定的客户端发出的请求都被分配到一个实服务组中的同一个实服务器上进行处理。主要包括：a基于ip的算法persistent ip (pi)：基于用户ip地址来选择服务器。hash ip (hi) ：基于用户ip地址的hash值，来选择服务器consistent hash ip (chi)：b基于报头/请求的算法hash header (hh)：基于用户请求报中http报头来选择服务器；persistent hostname (ph) ：基于用户请求报中http报头的hostname的hash值，来选择服务器；persistent url (pu)：基于对uri tag 和值的静态对应关系来选择服务器。ssl session id (sslsid)：基于ssl会话id来选择服务器。c基于cookie的算法persistent cookie (pc) ： 选择服务器基于用户请求包用cookie name / value 的静态对应关系； hash cookie (hc) ：选择服务器基于用户请求包用cookie name / value 的hash 值对应关系；insert cookie (ic) ：选择服务器基于array 向服务器响应包中插入cookie；re-write cookie (rc)：选择服务器基于array 向服务器响应包中重写cookie值。（必须为重写指定cookie值的偏移量）1.3 slb的负载均衡策略slb 的负载均衡策略主要有三大类：基础性策略、保持性策略、qos策略。（1）基础性策略staticdefaultbackup（2）保持性策略persistent urlpersistent cookierewrite cookieinsert cookieheader（3）qos 策略qos cookie qos hostname qos urlqos networkregular expressionheader1.4 array的slb健康检查array通过对服务器的实时健康检查，保证数据流量会自动绕过故障服务器或不可用服务器。当array的健康检测机制，检测到服务器重新恢复正常以后，将使该服务器可以自动回到服务器群之中，所有这些服务器故障的处理，对进行操作的用户是完全透明的。array对服务器的健康检查，可采用三种方式：icmp检查：利用icmp可检查服务器的网络工作是否正常。tcp检查：array可与服务器之间，利用服务器的服务端口建立tcp连接，检查服务器的服务是否正常。http检查：array采用http的检查，来验证服务器提供的服务是否正常。通过这三种机制，确保服务器为用户提供正确可靠的服务。用户再也不会得到这样请求的响应 “404 object not found”，或响应内容不正确。1.5 array的slb的特点实时监控服务器应用系统的状态，并智能屏蔽故障应用系统；实现多台服务器的负载均衡，提升系统的可靠性；可以监控和同步服务器提供的内容，确保客户获取到准确可靠的内容；提供服务器在线维护和调试的手段。2array的gslb技术，解决异地容灾问题上面提到的slb（服务器负载均衡）是指能够在性能不同的服务器之间进行任务分配，既能保证性能差的服务器不成为系统的瓶颈，又能保证性能高的服务器的资源得到充分利用。而gslb（全局服务器负载均衡）允许web网络托管商、门户站点和企业根据地理位置分配内容和服务。通过使用多站点内容和服务来提高容错性和可用性，防止因本地网或区域网络中断、断电或自然灾害而导致的故障。在array 网上银行解决方案中gslb将发挥重要作用，其性能高低将直接影响整个系统的性能。网上银行希望其资产能够全天候为其工作。对于要确保提供ip服务的企业资产能够随时可用的产品来说，必须要同时提供基于服务质量的高可用性和完善的负载平衡功能。采用不能提供高可用性的负载平衡产品将会影响对您ip服务的投资带来最大收益。因此，网上银行必须要同时提供基于服务质量的高可用性和完善的负载平衡功能。array的glsb可提供基于服务质量的高可用性，从而确保网上银行站点持续运行，并使其ip服务基础设施投资获得最大回报。array的glsb用以向用户提供分布于不同地理位置的网上银行总部和营业部的高可用性和智能化业务及流量分担解决方案。2.1 array gslb的工作方式 下图表示的是array gslb的工作方式。 array gslb的目的是在多个可提供相同服务的站点之间，根据相应的分配策略将用户请求“路由”到合适的站点上。对gslb而言，最重要的一点是每一个array tm需要知道其他tm了解的服务、链路、系统状态信息，这一点通过array状态信息通信协议（sicp）来完成的。sicp是array公司的私有协议，主要完成gslb组中状态信息的交换，需要利用slb、llb的健康检查和状态监测功能。处在gslb中的tm每2秒（可配置）互相交换健康状态信息，每30秒（可配置）互相交换本地服务器负载、链路负载、网络状况信息。这些状态信息主要包括：链路可用性llb、实服务可用性slb、虚服务可用性、集群状态。2.2 array gslb的负载平衡算法array gslb的核心是负载均衡算法，array支持非常丰富的算法，包括以下三大类：一般性算法、基于（链路、网络、系统、服务）负载的算法、基于与用户距离的算法等。（1）一般性算法round robin load balance：轮询负载平衡算法。（2）基于（链路、网络、系统、服务）负载的算法global link load balancemember-based weighted round robin load balance site-based weighted round robin load balanceconnection overflow load balancemember-based volume overflow load balancesite-based volume overflow load balancemember-based hit overflow load balancesite-based hit overflow load balanceresponse time based load balance（3）基于与用户距离的算法proximity load balanceleast hop load balanceleast latency load balance2.3 array gslb 的smart dns smart dns通过其内置的ip地址地域网络对应表来实现用户的就近访问策略，当位于不同位置的local dns请求到达的时候，smartdns根据对用户的local dns策略判断用户所处的位置，返回距离用户最近的镜像站点的ip地址。smartdns通过智能状态检测功能实现对链路、服务器健康状态的检测。检测的策略可以为ping、tcp端口检测和内容检测，真正的检测服务器和链路的健康状态。对于因故障或检修而停止服务的服务器和链路从负载均衡组中摘除，并继续检测链路和服务器的状态，一旦该链路或服务器恢复健康，则将其继续加入负载均衡组。在网络状况复杂，用户要求较高的状况下，smartdns可通过在镜像站点安装probe探针软件来检测从各镜像站点到达用户local dns的速度，通过自我学习建立全网网络状况表，配合智能检测功能来实现用户的最快访问策略。在smartdns的内部，采用矩阵算法，对服务器健康状态、网络健康状态、用户ip地理位置等参数进行综合计算，判断返回给用户的最佳镜像站点ip地址，使用户始终能得到最佳的网络服务。2.4 array的disaster recovery-灾难恢复 array 的灾难恢复是指在两个地理上分离的站点之间提供服务可靠性的策略。其中一个站点作为主站点（primary site），另一个作为备份站点（backup site）。当主站点工作正常时，所有流量通过主站点；当主站点发生故障时，array的灾难恢复功能就会把所有请求转到备份站点，备份站点来处理主站点所有的网络请求；当主站点故障恢复时，array 会把所有的请求转回到主站点上。2.5 array gslb的优点实现内容的高可用性，高扩展性；实现对用户请求最快/最近的响应；实现系统负载的合理分担。3array的cache技术-解决访问速度缓慢问题 由于服务器特点能处理复杂的应用，但随着应用的增加，服务器的负载越来越大，这时用户必须投资更换或增加服务器，服务器的增加，同时会增加管理成本。array的cache功能能有效地解决增加或更换服务器的问题，同时又能减轻服务器的负担，提高性能。将反向cache server放在服务器的前端，使静态的内容由array cache响应用户的请求，服务器仅处理动态的内容，可以在节约40%带宽的情况下，最大化的提高网络用户访问本网站内容的速度。array的cache采用下列技术，提高其响应和吞吐量：（1）array reverse proxy cache 特点： 兼容http 1.0 和http 1.1； 被cache的内容以 “frame” 格式存贮，而不是以文件存贮，从而快速存取，仅仅数据以“frame”格式保存；（剥去了etherent，ip&tcp的报头） 内容保存于ram，具有更快的存取速度； cache 内容能手动删除； 内容能容预先装入 (recursive pre-load)； 利用“get if modified:” 请求，在后台对内容进行有效性验证； 仅 http get 请求由cache engine处理，其它请求forward到 slb处理； 请求含有cookies 由 slb 处理。响应含有cookies的根据报头的cache控制信息处理； hhtp无cache控制报头，自动cache，通过人工删除cache的内容； 支持log squid 格式 (messages sent via syslog)。（2）re-use 连接为了提高array和服务器的性能，在array与服务器之间建立持续的tcp连接，从而array不要为每个需与web服务器得理的请求，建立新的连接；array与web服务器之间，预先建立20个tcp连接，用于forward用户的请求到web服务器，一个连接能foreward 95 个用户请求。因此，array cache 能在加速用户访问的同时，减轻服务器的负担。 4提供安全机制webwall有效解决安全问题网上银行利用互联网来提供对保密信息和商业交易的访问或进行网上购物，因此，以安全的方式传输数据仍然是令人最关注的问题。随着数据窃取事件的发生，网上银行正对其所有数据采取保护措施，而不仅仅是保护交易数据。因此网上银行交易站点必须配备防火墙，以确保交易安全。随着网上交易量的逐步增加，网上银行交易站点同internet的连接速度不断提升，防火墙作为整个系统的瓶颈将越来越明显。由于防火墙要求数据流同进同出，故无法采用简单的叠加方式提升防火墙性能，直接导致交易缓慢甚至无法进行交易。array的产品具备内在的安全特性，这些特性是专门为避免遭受攻击和为服务器和网络设备提供保护而特别设计的。array webwall防火墙能有效地保护服务器和应用的安全。array webwall 产品可有效保护您的服务器：1）支持应用层url的过滤；2）基于包状态检测的防火墙；3） 支持nat的功能，使内部用户能访问internet的资源；4） 端口的 forward 功能，使用户能远端对服务器进行管理，能把常用的端口映射到服务器的任意端口(端口映射)。常用的端口，比如80，443，20，21能映射到服务器任何端口。这个能提供更高的安全性,让闯入者很难知道哪些服务运转在哪个端口；5） webwall功能启动后，它将关闭所有的访问，除非用户显式地打开；6） 高效，array支持多达1000个访问控制列表，仅消耗1的cpu资源；7） array的是个坚固的设备，设计得能抵抗一般的攻击，譬如：dos攻击；8） 通过https或ssl远端管理，使用ssh命令行或以https来做浏览器界面管理；9） 支持ssl的安全访问。5array的ssl vpn技术，实现端到端的安全解决方案5.1 ssl vpn 与ipsec vpn 的比较目前大多数远程安全访问解决方案是采用ipsec vpn方式。ipsec是网络层的vpn技术，表示它独立于应用程序。ipsec以自己的封包封装原始ip信息，因此可隐藏所有应用协议的信息。一旦ipsec建立加密隧道后，就可以实现各种类型的一对多的连接，如web、电子邮件、文件传输、voip等连接，并且，每个传输必然对应到vpn网关之后的相关服务器上。但是ipsec vpn在解决远程安全访问时具有几个比较大的缺点，如:需要安装客户端软件，但并非所有客户端操作系统均支持ipsec vpn的客户端程序； ipsec vpn的连接性会受到网络地址转换（nat）的影响，或受网关代理设备（proxy）的影响；ipsec vpn需要先完成客户端配置才能建立通信信道，并且配置复杂；采用隧道方式，使远程接入的安全风险增加；管理ipsec的客户端费用较高。ssl vpn指的是以https为基础的vpn，但也包括可支持ssl的应用程序，例如，电子邮件客户端程序，如microsoft outlook或eudora。ssl vpn经常被称之“无客户端”，因为目前大多数计算机在出货时，都已经安装了支持http和https（以ssl为基础的http）的web浏览器，所以ssl vpn可以通过web浏览器实现无客户端的远程访问。目前，ssl已由tls传输层安全协议（rfc 2246）整合取代，它工作在tcp之上。如同ipsec/ike一样，它必须首先进行配置，包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器，还可选择性地通过签名或其他方法让服务器验证客户端的合法性，接着可安全地产生会话密钥进行信息加密并提供完整性检查。ssl可利用各种公钥（rsa、dsa）算法、对称密钥算法（des、3des、rc4）和完整性（md5、sha-1）算法。同ipsec vpn相比，ssl vpn具有如下优点：它的https客户端程序，如microsoft internet explorer、netscape communicator、mozilla等已经预装在了终端设备中，因此不需要再次安装；microsoft outlook与eudora这类流行的邮件客户端服务器程序所支持的ssl https功能，同样也与市场上主要的web服务器捆绑销售，或者通过专门的软硬件供货商（例如web存取设备）获得； ssl vpn可在nat代理装置上以透明模式工作；ssl vpn不会受到安装在客户端与服务器之间的防火墙的影响。5.2 array的ssl vpn 解决方案多项业务集成能最大限度地利用已有链路，提高网络经济性，但由此带来的安全问题不容忽视，例如：网上银行用户和银行营业部职员所能访问的权限肯定是有所不同的，它们的数据应能被识别和隔离开来分别处理。采用array公司端到端的安全解决方案，可以提供以下安全防范手段： 实施安全认证安全认证主要是对用户身份实施检验和权限设定，这样当外部用户以远程大户身份和以营业部职员身份登录时，他们所能访问的数据可以是截然不同的。安全认证一般采用集中管理方式，在内部网络中设立专门的认证服务器，在其上建立用户数据库，这样不论用户从何处登录进来，都需要经过该服务器的统一检验，授权并且其后的所有访问过程都可被审计，记入日志。 在营业部与银行总部之间，及营业部与网上银行用户之间，都可建立起端到端的逻辑隧道(tunnel)，所谓“隧道”是指其中所传递的数据都经过特殊包装和加密处理，从而能与同一物理链路中其它数据区别开来，避免被不法用户所窃取，只有在隧道的始末两端（营业部、银行总部或用户节点处）才可能添加和去除这些特殊包装以得到真实的数据。在通过公共网络（如internet）传递业务数据时，这项技术尤为必要。下图为array sp产品在网上银行的应用结构。 5.3 array的ssl vpn的特点（1）虚拟站点array sp支持多达128个独立的虚拟web站点，一个虚拟站点是一个远程接入内部应用的安全门户，每个站点包含自有的域名和ip/port，并且每个站点可配置独立的应用服务器、门户接口和安全措施。 虚拟站点的好处：sp的sorter会把每一个vs的用户连接状态保持在专用的内存空间中；系统完全隔离的维护每个vs的配置；当系统处理一个vs的新的工作时，它读取vs的配置和上次工作的状态信息，其他vs的状态信息不会被读取；类似于交换网络中的vlan。（2）web资源映射银行或其他企业需要将intranet内的资源向远程访问的员工、合作伙伴开放共享，对任意访问intranet的请求提供唯一的可控制的访问入口，但是intranet的ip/dns体制通常与internet的ip/dns体制相独立，外部用户只能看到一个个broken links，而且服务不可用。利用array的ssl vpn的web资源映射可以实现：url-nat：url的动态重写；强迫认证：强迫任何访问intranet的请求都必须先通过aaa；隐藏内部资源：可以隐藏intranet的资源路径，提高整体安全性。 （3）支持非web应用sp 6.0 支持大量的非web应用，绝大多数固定端口的tcp应用都可以支持；典型的企业非web应用：telnet、email (pop/imap/smtp/owa)、microsoft exchange、lotus notes；支持远程文件共享，可以与文件服务器的权限设定相结合，支持windows 和unix的操作环境；通过标准的web浏览器实现（4）多层安全控制机制webwall应用层防火墙：基于ip/tcp/udp的包过滤机制；防dos攻击；基于状态检测的防火墙功能；基于url的过滤机制。端到端的ssl加密强大的aaa功能通过wrm隐藏内部资源路径6array的cluster技术，提供容错性，高可靠性和高吞吐量6.1 cluster的工作方式传统的四层设备，仅支持二台设备工作在ha方式下，支持active/active、active/standby工作方式，从而l4设备可靠性，可扩展性，网络吞吐量都受到限制。但l4层的设备是一关健设备，许多l4 层厂家都没有很好解决这些问题。array在给服务器提供高容错性，高可靠性的前提是，array设备本身的容错性和高可靠性。array支持cluster的工作模式，提供11 和n1 的冗余配置模式，能工作在active/standby或active/active方式。 （1） active/standby方式在active/standby方式，一个cluster中某个array设备的所有vip都是主vip，其他array中的vip都是备份vip。当主设备故障时，备份设备转换为主设备。如图所示： 图中，array1为主设备，处理slb流量，array2为备份设备，监听array1的广播，当array1发生故障时，array2就会接管array1上的所有流量。（2）active/active方式在active/active方式，一个cluster中每一个array设备的都有主vip和备份vip。如图所示： 图中array1的vip1为主vip，vip2为备份vip，array2的vip1为备份vip，vip2为主vip。array1和array2同时处理slb流量，又互为备份。6.2 array clustering 工作原理 利用 ip multicast (8) 进行广播，默认值：每3秒一次； 具有最高优先级的成为master， 若一个备份的array具有最高优先级，它就成为master； 一个备份array在3 秒内，没在听到master的广播，它宣布成为master； 只在master的array的vip响应arp请求； 每个设备独立的流量的处理，同时又监视本cluster中其它设备的工作状态； 能把clustering 配置成active-standby 或 active-active ； 利用vrrp的技术实现 （ vrrp虚拟路由冗余协议， rfc 2338）。7ssl加速ssl（安全套接层协议）已经成为互联网安全通信的标准协议。它是一种对用户进行鉴权的公钥加密方案。首先，服务器向客户机发送承认其可靠性的认证。然后，使用共享密钥来对发送方与接收方之间的数据进行加密。例如，当发送方确认接收方正确无误时，会为数据包加上一个安全的“外壳”（加密），同时通过线缆传输此数据包。必须在目的地将此“外壳”去掉，才能使用该数据包信息。其它的步骤还包括：认证、加密和解密，这极大地增加了web服务器的流量处理负担。网上银行交易过程是internet交互中速度最慢、工作负载最大的一部分，其原因是网上银行用户需要经过 ssl站点，对交易进行监督和数据加密的保护。如果通过计算密集型程序来设置和实施的ssl对话，即使是功能最强大的服务器也无法达到很高的速度。这样，在上网的高峰时刻，等待时间会越来越长，有时一些交易根本无法完成。为了解决网上银行服务器反应速度问题，从根本上解决ssl给服务器运行带来的不利影响，必须采用专门设备处理ssl协议，以便使服务器的cpu从繁重的加密/解密过程中解脱出来。array内置ssl加速功能使问题迎刃而解。array产品包括ssl加速技术，该技术是用于卸载服务器的ssl（安全套接层）处理的，以提高其性能，同时大幅度缩短响应时间并增强客户交易流量管理。ssl加速技术可以提高网上银行交易服务器的性能，并在网上银行交易过程中提供安全性、高速度和流量管理，所有这一切都是从同一地点进行的，无需费钱费力地在每台服务器上安装额外的硬件或软件。array解决方案能使网上银行工作人员卸载认证管理以及加密和解密功能，从而提高工作效率和可靠性。 解决方案真正解除了web服务器上的通信负载。因此，无需再购买额外的服务器来处理ssl流量。array产品还允许您为整个服务器集群只购买一个证书，从而降低了成本并减少了证书管理的时间，与必须为每台web服务器购买和安装ssl处理卡不同的是，您只需安装一次ssl加速器。 array ssl 加速特性：通过专用硬件-ssl加速卡实现高性能的ssl加速；同时支持异步和同步的加密加速服务；通过突破性的专利技术speedstack*技术保障高性能；可以同时处理ssl流量和非ssl流量； csr 能产生证书的申请，同时生成一个临时的证书用于测试； 能为open-ssl，apache-ssl and microsoft iis导入pem格式的证书； 能导入 chained (intermediate) certificates； 利用x-forwarded header，把用户的ip地址传给服务器，用于log记录用户的访问； 支持当今流行 128 bit 加密密钥。array tm每秒钟可以处理5000个ssl交易，并以750mbps的吞吐量同时处理32000个ssl连接。8llb（link load balanceing）连接负载平衡7.1 array llb在网上银行网络中的应用目前几乎所有的网上银行都采用多个接入链路（多宿主）接入internet，采用多宿主的解决方案来避免internet接入中断所造成的损失。在这里所提及的“多宿主”通常指同时使用不同isp提供的多条internet接入链路。可用性的提高来自于多条链路的使用，而性能提高则是因为同时使用多条链路增加了带宽。但是这种多宿主网络目前存在几个严重的问题，一是对于流入流量来说，不能保证链路的同时使用，多宿主解决方案的部分优点无法实现。二是内部网络同时使用两个isp提供的地址，一部分内部用户（a组）使用isp1提供的地址，另一部分内部用户（b组）使用isp2提供的地址，当isp1的链路中断时，a组的用户将无法接入internet。除去以上的问题，多宿主网络的一些优势还没有完全实现，例如：现在一些多宿主网络解决方案只是“共享”式，而不是真正的负载均衡。没有就近性的路径判断。对流入的流量没有很好的解决方案。array 的llb（链路负载平衡）技术能轻松横跨多个链路连结以传送数据流量，无需在路由器上进行复杂的bgp设定；智能管理不同isp提供的ip地址网段；保证优化所有的isp链路，即通过智能负载均衡所有通过可用链路的流量；使用array的smartnat和smartdns、最小响应时间检测算法来选择用于输入输出流量的最佳isp；确保两个isp链路同时应用与所有的流入流量，保证网上银行internet连接的畅通。7.2 array llb的技术实现array的llb技术实现如图所示： 图中多宿主网络通过isp1和isp2接入internet。每个isp都分配给该网络一个ip地址网段，假设isp1分配的地址段为/24，isp2分配的地址段为/24。同样，internet知道通过isp1访问/24，通过isp2访问/24。网络中的主机和服务器都属于私有网段/24。array的解决方案就是在内部交换机和连接isp的路由器之间，跨接一台array tm，所有的地址处理和internet链路优化全部由array tm来完成。如图所示，array tm的外侧端口1上绑定ip地址/24，外侧端口2上绑定ip地址/24，内侧端口上绑定ip地址/24。（1）流出（outbound）流量处理array tm主要采用以下方式来处理流出流量。smartnat对于流出流量的智能地址管理，array tm使用了称为smartnat的算法。当选定一个路由器（某一个isp）传送流出流量时，array tm将选择该isp提供的地址。在图二中，如果array tm选择isp1作为流出流量的路径，则它将把内部的主机地址192.168.1.a/24翻译为0/24，并作为流出数据包的源地址。同样，如果array tm选择isp2作为流出流量的路径，则它将把内部的主机地址192.168.1.a/24翻译为0/24，并作为流出数据包的源地址。shortest response time-最快响应时间为了优化流出的流量，array tm还为流出的流量实施最快响应时间运算。如果内部主机要访问某一internet站点，可能通过一个isp的路径比通过其他isp的路径有效。因此，array tm可以提供最短响应时间算法，为流出到某一个站点的流量选择最佳的isp路径，保证所需内容最快到达目的地，提高服务的品质。（2）流入（inbound）流量处理array tm不仅需要管理流出的流量，还必须管理来自internet的访问，即流入（inbound）流量。假设下图中的server是web服务器，internet主机名为，地址为私有ip：00/24。 smartdnsarray tm上集成的smartdns功能能够完成流入流量的负载均衡。如图所示，在dns服务器上有两笔ns记录指向array tm： 0 0 而在array tm上设置静态的地址翻译：00 000 0当有internet用户访问时，dns服务器回应给用户由array tm来完成最终地址解析。array tm根据具体设置来选定适当的isp线路，如果选择isp1，则将地址解析为0。同样，如果选择isp2，则将地址解析为0。从而完成流入流量的负载均衡。shortest response time对于流入的流量，array tm使用与流出流量相同的最短响应时间判断机制，选择最佳的流入流量传输路径，进行最终的解析地址。（3）llb其他的功能设置链路健康检查array tm在多宿主网络中的一个主要作用是检测isp链路的可用性，即健康状况。因此，array tm提供了链路健康检查的功能，从而保证多条数据链路的正常，提高服务质量。路径健康检查访问internet的可靠性不仅仅是由isp路由器提供的链路状况决定的，而是由整个数据流经的路径决定。因此，array tm提供了路径健康检查的功能，从而保证整条数据路径的正常，提高服务质量。策略路由array tm可以设置基于用户数据包源ip/port、目标ip/port的策略路由，通过该功能可以帮助企业人为的对特殊的流入流出流量进行规划，比