银行应用交付解决方案

1、银行应用交付解决方案IT业务SLA保障 Radware 产品线银行业务SLA保障数据中心容灾设计案例说明总结超过10,000个Radware客户享受到SLA保障Slide 3ApplicationDeliveryAttackMitigationRadware 产品线EmployeesCustomersPartnersData CenterApplication ServersWeb & PortalServersESBMessage Queuing SystemMainframeDatabaseserversAppWallFirewall技术领先虚拟化应用交付控制器Web Applicatio

2、n Firewall RouterRouterLinkProof BranchLinkProof互联网出口ISP链路优化DDOS主动安全防御DefenseProAlteon NGAPSoluteVision综合设备管理监控平台提供最佳页面加速效果以及全面的业务性能监控 Radware 产品线银行业务SLA保障数据中心容灾设计案例说明总结应用交付部署核心系统-存款、卡交易加密平台ESB统一认证公共平台 柜面ECIATMP业务前置电子支付网银银行IT业务业务特征:业务接入逐渐往互联网和移动通讯转移面临的安全威胁愈加复杂SLA成为IT考量的重要标准之一BYOD移动银行互联网银行传统银行业务接入Rad

3、ware Alteon NGSlide 7Slide 7业界领先的WPO加速方案针对不同的终端和浏览器类型进行优化替代手工代码优化 实时用户SLA数据监控基于app, transaction & location开机即用，无需探针，镜像侦测发现应用层攻击同步攻击信息到边界安全设备在最佳的位置拦截攻击vADC per app/serviceVADC之间完全隔离NG服务启用不影响ADC功能Alteon NGThe Industrys Only Next-Generation ADC银行业务SLA保障业务系统之间资源抢占基于应用/部门划分不同的vADCVADC与硬件ADC功能完全一致应用之间不再抢占

4、资源，保障业务SLA完全的故障隔离 ，配置/OS独立vADC扩展不会影响其它应用vADCMigrate 当 vADC需要更多的处理资源Result: 保障应用SLASlide 8ESB核心TellerATMPECILoad Balancing/Health MonitorSSL Offload/Cache/Compress/Mulitlplex多数据中心业务性能侦测APMSlide 9Data CentersClient DevicesCentralized Monitoring互联网银行用户会话实时监控针对多种客户端，无需第三方工具监控集中部署，Alteon设备可以位于不同的数据中心或云端应

5、用性能监控基于每个用户的Transactions提供SLA判断的依据多数据中心业务性能侦测APMSlide 10分别基于应用整体，地理位置，交易等进行SLA状态的监控实时监控SLA响应时间以及SLA满足百分比标靶形状跟踪每个用户交易SLA的满足情况交易Error跟踪 互联网银行定位故障节点Instant performance issue resolution via transaction path breakdownHistorical performance of all real user transactions (read/write)Radware APM because you

6、 cant manage what you cant measure!APM可以帮助IT管理员充分了解和掌握互联网银行应用系统的SLA状况无需进行复杂的探针安装和流量镜像工作，对于NG，开机即用跟踪用户，应用，交易 SLA as experienced by the end user快速发现性能故障点,SLA出现异常提供实时警告Slide 11互联网银行FastView Web Experience OptimizationSlide 12Client Devices电子支付网银WEBFastView 加速WEB页面性能提升 20 - 40%自动针对不同的浏览器为每个Page创建不同的HTML

7、减少RoutTrip提高页面加载速度主动应用性能管理Slide 13持续SLA监控vADC应用SLA 保障监控报告提供快速的故障分析Web experience optimization Radware 产品线银行业务SLA保障数据中心容灾设计案例说明总结数据中心灾备内部核心业务，其中包括ATM接入，柜面接入，第三方接入等接入源主要为内部管理系统，例如网点ATM机，营业部柜台，APP之间互相调用接入方式，C/S架构以及IE浏览器访问模式，URL，IP或者主机名数据中心专线互联，同属相同的AS域，DNS，Layer2，RHI多种均衡方案Internet网银业务，其中包括个人网银，对公网银，直销银

8、行，微信银行等接入源：不同运营商接入的Internet用户接入方式，IE浏览器访问模式，URL数据中心处于不同的区域或者运营商，DNS成为目前唯一的站点均衡方案数据中心灾备业务系统接入内部业务系统灾备主站点站点柜面系统地市分行备份站点柜面系统专线互联3. 业务服务器故障2. 负载均衡设备故障1. 分行-总行专线故障4. 专线故障分行专线故障主站点站点柜面系统地市分行备份站点柜面系统专线互联1. 分行-总行专线故障双站点业务IP地址相同A:动态路由切换(同一个业务线路无法实现双活)双站点业务IP地址不同A:智能DNS解析(同一个业务线路可以实现双活)动态路由收敛分行专线故障解决方案修改接入方式为

9、域名主站点站点柜面系统地市分行Route Domain分支机构同时专线连接双中心备份站点柜面系统G增加一套GSLB设备用于控制DNS解析结果根据地市来源以及业务流量进行策略性的地址解析。一旦主站点站点点出现故障，DNS A记录切换为B站点IP地址。健康检查DNS架构优化DNS信息同步Slide 20地市分行DNS请求地市分行DNS请求地市分行DNS请求地市分行DNS请求数据中心A数据中心B数据中心DNS 记录同步到地市分支AD客户端DNS请求-数据中心DNS服务器-GSLB如何优化DNS流程，避免来自地市DNS攻击SLB DeviceSLB Device真实业务数据DNS服务器DNS服务器利用

10、地市分支的AD自带DNS功能，中心站点DNS服务器将相关DNS信息同步到地市分支AD，提高网络安全性简化维护GSLB DeviceGSLB DeviceDNS架构优化DNS信息同步Slide 21地市分行DNS请求地市分行DNS请求地市分行DNS请求地市分行DNS请求数据中心A数据中心B数据中心DNS 记录同步到地市分支AD客户端DNS请求-AD域-数据中心DNS服务器-GSLBSLB DeviceSLB Device真实业务数据DNS服务器DNS服务器地市分支AD 发送DNS请求到DNS服务器以及GSLB设备GSLB DeviceGSLB Device内部业务系统灾备主站点站点柜面系统地市分

11、行备份站点柜面系统专线互联2. 负载均衡设备故障1. 分行-总行专线故障双站点业务不支持域名通过IP地址访问A:利用路由器IPSLA技术A:利用RHI实现路由重新分布双站点业务支持域名访问A:智能DNS解析提高设备的冗余能力A:双机以上部署Alteon NG 主机Alteon NG 备机负载均衡设备故障容灾-IPSLAStatic Route:VIP NHR Site-A-NG-FloatIPSLA: object Check NG-Float IPStatic Route:VIP NHR Site-B-NG-Float 10Object Check Failure使用IP SLA，思科路由器

12、可以通过因特网控制消息协议(ICMP)ping 来对广域网的远端路由器接口的状态(up 或 down)来进行验证，并在远端路由器接口down时实现本地备份链路的故障切换(备份激活)。可靠的静态路由备份使用对象跟踪(object track)功能来确保在各种灾难事件中的可靠备份，比如因特网链路失效或对端设备故障等。ATMPATMCRoute DomainATMP控制A/B站点注入VIP路由的权重，实现主备站点业务的快速切换，无需增加设备。BGP/OSPF分支机构同时专线连接双中心负载均衡设备故障容灾-RHI负载均衡故障切换分行到总行线路出现故障VRRP地市分行主站点备站点Alteon NG 主机

13、Alteon NG 备机当线路或者路由器出现故障，业务IP地址路由自动切换到备份站点，备份站点通过OTV将请求转发回主站点NG设备或者利用VRRP监控路由器健康状况实现VRRP切换负载均衡故障切换分行到总行线路出现故障-VR切换VRRP地市分行主站点备站点Alteon NG 主机Alteon NG 备机当线路或者路由器出现故障，业务IP地址路由自动切换到备份站点，备份站点通过OTV将请求转发回主站点NG设备或者利用VRRP监控路由器健康状况实现VRRP切换VRM内部业务系统灾备主站点站点柜面系统地市分行备份站点柜面系统专线互联3. 业务服务器故障2. 负载均衡设备故障1. 分行-总行专线故障A

14、lteon NG 主机Alteon NG 备机应用服务器故障通过Layer2技术，分支站点VIP作为主站点常规服务器存在。Alteon NG 主机Alteon NG 备机应用服务器故障通过Layer2技术，分支站点VIP作为主站点备份服务器存在。内部业务系统灾备主站点站点柜面系统地市分行备份站点柜面系统专线互联3. 业务服务器故障2. 负载均衡设备故障1. 分行-总行专线故障4. 专线故障以业务系统对应DB所在IDC为标准，双活业务快速切换为单数据中心使用负载均衡设备延伸到地市分支Route Domain主数据中心备数据中心地市分支前置服务器地市分支前置服务器地市分支前置服务器地市分支前置服务

15、器分支机构同时专线连接双中心负载均衡设备延伸到地市分支Route Domain主数据中心备数据中心网点地市分支前置服务器地市分支前置服务器地市分支前置服务器地市分支前置服务器Alteon NG Alteon NG Alteon NG Alteon NG Alteon NG 业务相互交叉备份将负载均衡从数据中心延伸到地市分支地市分支通过本地负载均衡VIP访问数据中心业务负载均衡设备对数据中心业务健康检查实现快速的故障切换分支机构同时专线连接双中心数据中心灾备网银Internet接入银行双数据中心拓扑架构WEB/APP ServerDB Server主站点站点多站点模式WEB/APP Server

16、DB Server备份站点专线互联广域网用户通过互联网访问互联网银行业务，分配策略：完全的主备，只有主站点站点点故障业务才切换到备份站点，支持手工或者自动模式两站点同时对外提供服务，根据网络延时和流量进行选择，需要考虑对专线压力的影响手工设备相应的比例，例如主站点站点80%，备份站点20%，平衡专线压力和站点流量LC-BLC-MAlteon NG 主机Alteon NG 备机Alteon NG 主机Alteon NG 备机银行双数据中心解决方案 STEP 1WEB/APP ServerDB Server主站点站点WEB/APP ServerDB Server备份站点专线互联Step 1： 站点

17、点内部部署Alteon NG，提高WEB/APP服务器高可用性LC-BLC-M数据中心主要故障点广域网线路包括防火墙等接入设备WEB/APP服务器DB服务器负载均衡设备专线Alteon GSLB 主机Alteon GSLB 备机GGAlteon GSLB主机Alteon GSLB 备机GGAlteon NG 主机Alteon NG 备机Alteon NG 主机Alteon NG 备机银行双数据中心解决方案 STEP 2WEB/APP ServerDB Server主站点站点WEB/APP ServerDB Server备份站点专线互联Step 2： 利用GSLB设备实现站点之间流量快速切换Al

18、teon NG-GlobalRadware设备接管域名DNS A记录解析权主备份站点点Alteon NG-Global设备之间通过LRP协议互通站点流量，网络延时等信息监控站点广域网线路以及应用服务器状况，实现站点流量的切换就近性算法统计用户到站点之间的延时，实现站点流量优选基于DNS架构可以保留原有LC设备多链路NAT功能实现无缝切换或者完全替换数据中心主要故障点广域网线路包括防火墙等接入设备 A:健康监控动态调整DNS记录WEB/APP服务器 A:健康监控动态调整DNS记录 A:利用网络Layer2技术实现跨站点应用复用DB服务器 A:DB自身监控切换 A:负载均衡SLB技术负载均衡设备

19、A:健康监控动态调整DNS记录 A:利用网络Layer2技术VRRP切换专线 A: 健康监控动态调整DNS记录LC-BLC-MDNS解析架构Slide 37Root根DNSNETNET.CNCOMCustomersMobile Users运营商DNS服务器DNS服务器可以放置于企业IDC内部或者第三方托管机构新网（）银行双数据中心解决方案提高DNS架构稳定性Slide 38Root根DNSNETNET.CNCOMCustomersMobile Users运营商DNS服务器当前银行DNS服务由第三方提供，业务的稳定性完全依托第三方服务器商稳定性当DNS服务器由银行IDC维护，为了提高DNS架构的

20、稳定性，建议如下：上级DNS服务器增加多条NS记录对应DNS服务器不同的公网IP地址利用负载均衡设备提高DNS架构的高可靠性Alteon NG 主机Alteon NG 备机Alteon NG 主机Alteon NG 备机银行双数据中心解决方案提高DNS架构稳定性DNS Server (外网)主站点站点DNS Server (外网)专线互联当DNS服务器由IDC维护，为了提高DNS架构的稳定性，建议如下：上级DNS服务器增加多条NS记录对应DNS服务器不同的公网IP地址利用负载均衡设备提高DNS架构的高可靠性专用的DNS硬件，避免DNS Server陷入安全攻击银行双数据中心解决方案 STEP

21、2基于功能模块划分不同的vADC应用模块GSLB，LB，其它应用系统之间不再抢占资源，保障业务SLADNS解析与LB模块完全独立完全的故障隔离 ，配置/OS独立Slide 40GSLBLB-1LB-2APMFastViewAlteon GSLB主机G Radware 产品线银行业务SLA保障数据中心容灾设计案例说明总结Slide 42Case Study 中国银行Customer Overview中国银行从2005年开始引入Radware作为数据中心应用交付唯一服务厂商Radware ADC产品成为业务系统的标准部署硬件之一到目前为止设备数量部署超过300台用于中国银行总行，分行各业务系统应用

22、交付接入Slide 42Slide 43Case Study 广发银行Customer Overview1988年9月，经国务院和中国人民银行批准，广东发展银行作为中国金融体制改革的试点银行在美丽的珠江之畔成立，是国内最早组建的股份制商业银行之一 Business Needs整合电信、联通出口链路，优化网银访问速度以及可靠性提高业务系统高可靠性Internet业务以及业务系统站点灾备Slide 43Slide 44防火墙互为主备网银服务器CA服务器网银服务器LinkProof主LinkProof备Local Load BalancingCachingCompression专利动态就近性算法Ca

23、se Study 广发银行Slide 45Case Study 广发银行两地三中心Internet业务广州本部深圳灾备GSLBGSLB佛山同城IDCGSLB分配策略深圳区域用户优先解析灾备站点IP，设置会话阀值，超过用户解析回广州本部相同运营商的用户请求分担到广州本部和佛山同城IDC允许手工关闭任意站点对外服务IP地址广州本部柜面系统地市分行Route Domain分支机构同时专线连接双中心佛山柜面系统G将部分地市分行业务流量进行策略性的地址解析到佛山站点广州，佛山两地互相备份健康检查Case Study 广发银行两地三中心内部业务-DNS深圳灾备（暂未启用）Alteon NG 主机Alteo

24、n NG 备机Case Study 广发银行两地三中心内部业务IP通过Layer2技术，分支站点VIP作为主站点常规服务器存在。 Radware 产品线银行业务SLA保障数据中心容灾设计案例说明总结Radware NG平台特有的SLA保障模块Slide 49Slide 49业界领先的WPO加速方案针对不同的终端和浏览器类型进行优化替代手工代码优化 实时用户SLA数据监控开机即用，无需探针，镜像合理配置双中心业务计算资源侦测发现DNS应用层攻击在最佳的位置拦截攻击vADC per app/serviceVADC之间完全隔离GSLB服务启用不影响ADC功能The Industrys Only Ne

25、xt-Generation ADC SlutionA Leading, Most Innovative VendorSlide 50Radware提供最为灵活的架构设计, 例如按需升级，VADI架构整合等Radware provides the most flexible set of architectural features as part of its VADI architecture including scale-up, in and out.Radware提供最好的投资保护-针对任意平台购买提供最少5年的软件升级Radware offers investment protection via a guarantee that any platform purchased will support all SW releases for a minimum of 5 ye