金融双活数据中心方案架构

1、银行双活数据中心方案架构银行业发展趋势，IT也在发展变化新业务，新挑战网上银行、手机网银、微信网银互联网金融第三方支付P2P小额信贷众筹融资新型电子货币合规要求银行业信息系统灾难恢复管理规范民营、外资银行进入IT技术发展移动应用，移动访问虚拟化、云计算SOA、SDN大数据法规遵从银行业信息系统灾难恢复管理规范 JR/T 0044-2008 信息系统RTO需求等级：第一类(A)：RTO6小时，RPO15分钟； 国标等级第5级短时间中断将对国家、外部机构和社会产生重大影响的系统；短时间中断将严重影响单位关键业务功能并造成重大经济损失的系统；单位和用户对系统短时间中断不能容忍的系统。第二类(B)：R

2、TO24小时, RPO120分钟；国标等级第3级短时间中断将影响单位部分关键业务功能并造成较大经济损失的系统；单位和用户对系统短时间中断具有一定容忍度的系统。第三类(C)：RTO7天 ；国标等级第2级短时间中断将影响单位非关键业务功能并造成一定经济损失的系统；业务功能容许一段时间中断的系统。商业银行操作风险管理指引 第十九条：商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制，并应当定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。第二十五条：银监会对商业银行有关操作风险管理的政策、程序和做法进

3、行定期的检查评估。 中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见 第八条：实施数据集中的银行业金融机构应同步规划、同步建设、同步运行信息系统灾难恢复系统。灾难备份中心的规划建设应综合考虑平衡风险与成本、运维管理与灾难恢复力量等因素，可采取自建、联合共建或利用外部企业(组织)的灾难备份设施等方式区域性银行可采用同城或异地灾难备份和恢复策略。对于核心业务系统，应实施应用级备份，以保证灾难发生时，能尽快恢复业务运营，对于其他应用系统，可实施系统级或数据级备份。 典型银行的双活数据中心的建设脚步内网双活外网双活中国工商银行是是中国农业银行是中国建设银行正在建设同城双活招商银行是民

4、生银行是是光大银行是是.CIO关注点ROI有效利用投资成本降低维护成本可管理内容可管理设备可管理服务可管理主动安全DNS安全DDoS攻击防护5除了业务持续性的关注，同时还关注：日益增长的安全威胁高成本/低收益新业务上线周期长很难管理众多的设备网络复杂性.F5双活数据中心解决方案ROIA-A数据中心SDAS向云计算平滑迁移ScaleN可扩展架构可管理可编程管理iRulesiControliCalliAppBIG-IQ主动安全DNS服务安全L4-L7 DDoS完整体系应用安全防护移动访问管理6F5双活数据中心解决方案核心银行呼叫中心网上银行ISP1ISP2ISP4ISP3数据中心1核心银行呼叫中心

5、网上银行数据中心2互联网内网F5双活数据中心解决方案ISP1ISP2ISP4ISP3数据中心1数据中心2展示层服务器应用层服务器主数据库、主核心银行展示层服务器应用层服务器备数据库、备核心银行DC到DC的切换链路故障主数据中心灾难F5双活数据中心解决方案ISP1ISP2ISP4ISP3数据中心1数据中心2DC到DC的切换链路故障主数据中心灾难应用切换某应用不可用F5双活数据中心解决方案ISP1ISP2ISP4ISP3数据中心1数据中心2DC到DC的切换链路故障主数据中心灾难应用切换某应用不可用灰度切换Web层APP层DBF5双活数据中心解决方案ISP1ISP2ISP4ISP3数据中心1数据中心

6、2DC到DC的切换链路故障主数据中心灾难应用切换某应用不可用灰度切换Web层APP层DB应用升级应用版本升级客户端版本升级业务流量灵活可控性能认证接入可用性安全移动 传统架构环境软件定义的数据中心可编程和可扩展的应用服务体系提高成本效率业务孤岛成本低效率非可编程，无法弹性扩展SDASF5软件定义的应用服务一键配置一键容灾一键CASE信息采集一键切换TMSH接口iControl接口配置备份以及配置采集云管理员F5 BIGIP Platform一键装机脚本配置一致性F5应用统一视图配置合规性自动化管理软件版本/补丁管理应用性能监控配置下发iRuleEM/BIG-IQ日志分析软件四层应用延迟性分析安

7、全事件分析自定义报表FTPSSHSOAP/RESTSYSLOGSOAP/RESTGuest/Host性能监控应用资源策略库配置自动部署办公自动化软件配置备份以及配置解析外部Server应用分析iRule应用部署DNS部署一键配置一键容灾一键装机脚本配置备份以及配置采集一键CASE信息采集一键切换date_tag=date +%Y%m%d%H%M/usr/sbin/tcpdump -ni 0.0 -s 0 -c 3000 -w /var/tmp/$HOSTNAME-$date_tag-tcpdump.captar zcvf /var/tmp/$HOSTNAME-$date_tag-logs.tg

8、z /var/log/* /var/core/*tmsh save sys ucs /var/tmp/$HOSTNAME-$date_tag-ucsqkview -f /var/tmp/$HOSTNAME-$date_tag-qkview.tgzcd /var/tmptar zcvf /var/tmp/CASE-$HOSTNAME-$date_tag.tgz $HOSTNAME-$date_tag-tcpdump.cap $HOSTNAME-$date_tag-logs.tgz $HOSTNAME-$date_tag-ucs.ucs $HOSTNAME-$date_tag-qkview.tgz

9、echo echo =Notice=echo please send the file /var/tmp/CASE-$HOSTNAME-$date_tag.tgz to F5 support自动安装软件和升级文件，快速配置系统当前配置信息采集，备份配置文件快速搜集日志信息，方便运维管理大幅减少应用服务器切换至灾备数据库的时间，降低RTO一键切换一键CASE信息采集配置备份以及配置采集一键装机脚本适合您的架构配置业务交易量500万笔/天500万笔/天1000万笔/天互联网BIG-IP 4000S BR 2BIG-IP 4000S BT 2BIG-IP 4000 BR 4VIPRION 2400

10、BT 4BIG-IP 4000 BR 6VIPRION 2400 BT 6 内网VIPRION 2400 4BIG-IP 4000S 4VIPRION 2400 12BIG-IP 4000S 4VIPRION 2400 18BIG-IP 5000S 4分步实现双活数据中心数据中心改造主数据中心App1App2App n主数据中心烟囱式的架构业务逻辑分区的动态架构灾备数据中心主数据中心分步实现双活数据中心数据中心改造应用级双活数据中心分步实现双活数据中心动态数据中心应用级双活数据中心智能服务灾备数据中心主数据中心分步实现双活数据中心动态数据中心应用级双活数据中心智能服务POSBranchUser

11、灾备数据中心主数据中心存储虚拟化服务器虚拟化软件定义网络软件定义应用服务AttackersGlobal Load BalancingDDoS防护移动接入安全智能DNS服务云爆发云迁移应用防火墙应用优化SDAS总结F5双活数据中心解决方案可以为您实现获得更高的投资回报业务的连续性和合规要求业务流量的灵活控制软件定义的应用服务从容面对安全威胁成功案例介绍某大型银行外联网络BIG-IP GTM，互联网接入多中心并行，多链路入向智能选路。BIG-IP LTM, 服务器负载均衡，出向智能选路BIG-IP ASM,七层 DDoS攻击防护，应用安全防护内部网络BIG-IP GTM,内网双活数据中心流量导向B

12、IG-IP WA-网页加速、带宽节省BIG-IP LTM，服务器负载均衡，主机多中心并行 ClientsISP 1核心银行DNS 网上银行ISP 2Internal Net通过F5 GTM支持多运营商的入向和出向流量通过跨数据中心的集群的DNS服务，防护DNS DDoS攻击对Active/Active服务: 将客户端交易分配到多个数据中心，在内部根据需要在数据中心间分配交易对Active/Backup服务:加速在主备服务器之间的数据传输，在故障发生时快速在主备之间切换交易ISP 3Web Accelerator 管理专业化管理团队，超过10名F5认证工程师设计、部署规范化某农商行网银系统Int

13、ernetISP1ISP2ISP3ISP4GTMGTMGTMGTMIPSIPSIPSIPSFirewallFirewallFirewallFirewallFirewallFirewall核心区域WAFWAFWEB ACCWEB ACC网银服务器群黄金交易服务器群本地负载均衡/链路负载均衡本地负载均衡/链路负载均衡应用负载均衡SSL OffloadSSL Offload某大行网银系统架构电信新联通Internet广域网链路负载均衡F5 GTMF5 GTMF5 LCF5 LTMF5 LTM网络安全层服务器应用交付层xx.?门户、网页www.955?.cn/corporbank/企业网银Easy?.

14、955?cn个人网银www.xx.?分行子站点服务器负载均衡由10台F5 LTM6900组成交付池，所有F5完成完全相同的业务（分行子站点除外）所有LTM6900均完成以下业务功能：SSL OffloadCRLDP证书验证iRules处理（证书判断、域名判断、ACL、重复登录判断等）Server Load Blance（HTTP CLASS）当前业务主要采用同一个域名下，部署多个应用，按路径区分不同业务方式，主要由以下几种类型：www.?含门户、网页、分行子站点等；easyabc.955?.cn单向SSL业务，如个人自注册、卡号登陆、电子商务等；www.955?.cn双向SSL业务，如个人、企

15、业、电子商务等业务。用户应用系统需求： 新建数据中心，万兆骨干网络 应用高可用 简化网络结构同时满足业务扩展需求 不改动应用，实现特殊业务控制解决方案优势：VIPRION 2400强大的硬件平台，全万兆光口，保证各服务器区业务的处理能力；其刀片式设计，ScaleN技术，满足客户性能和功能的按需扩展需求LTM解决大流量并发处理问题，OneConnect、RamCache，智能压缩等技术降低服务器负载，提高访问速度，节省带宽。TMOS融合了可定制的iRules和UIE，为处理应用交易或流程中的应用流量提供了强大的控制力。通过全面的有效负载检测和转换能力，事件驱动的iRules和会话感知的交换技术，

16、解决应用交付问题。设备部署：Viprion10LTM9使用效果：保证了新数据中心所有业务的顺利迁移上线降低了广域网带宽以及服务器的负载通过iRules解决了应用交付过程中的特殊需求主要技术：LTMiRules万兆光口、按需扩展RamCache，OneConnect核心业务：ATM系统信贷管理系统稽核系统银行卡前置征信系统支付结算平台核心交换机交易类服务器区渠道类服务器区管理类服务器区办公服务器灾备区广域网互联区外联区银联短信银企人行地市同城灾备中心某农信关键的DNS服务外网防火墙DNS负载均衡DNS服务器集群隐藏的主DNS内网防火墙InternetDMZ主DNSInternet强劲的处理性能，

17、超过10M RPS!多数据中心部署，业务高可用最好的DoS / DDoS防护简化DNS管理 降低CAPEX和OPEX增加性能= 更多DNS服务器很弱的DoS/DDoS保护防火墙是瓶颈DatacenterF5 增强的DNS方案传统的DNS方案DNS防火墙DNS DDoS 防护协议验证授权DNSDNS解析缓存透明缓存高性能DNSSECDNSSEC 验证智能的 GSLB架构的迁移BR自动任务用于提高运维和资源利用率iCalliStats控制平面管理平面数据平面第三方管理平台F5 iApps应用打包应用模板应用服务iRulesiAppiControl SOAPREST (EA)DevCentral 社

18、区统一架构脚本分享 知识点论坛 拦截，检查，转换，引导和决策 可管理的架构延伸平台适应应用交付需求完整的DDoS防护应用攻击网络攻击会话攻击Slowloris, Slow Post, HashDos, GET泛洪SYN泛洪, 连接泛洪, UDP泛洪, Push和ACK泛洪, Teardrop, ICMP 泛洪, Ping泛洪和 Smurf攻击BIG-IP BT主动和被动的策略防护, iRules, HTTP全代理, 服务器性能的异常检测DNS UDP泛洪, DNS Query泛洪, DNS NXDOMAIN泛洪, SSL泛洪, SSL 重协商BIG-IP BR强大的性能, DNS Expres

19、s, SSL 卸载, iRules, SSL 重协商确认BIG-IP BRSyn包检测, 默认拒绝, 大容量的连接表, 全代理的工作模式, 流量控制, 严格的TCP转发.Packet Velocity Accelerator (PVA) 是一个专门的定制的硬件，相比于软件方式处理能力提高了一个数量级F5 缓解技术应用层(7)表示层(6)会话层(5)传输层(4)网络层(3)数据链路层 (2)物理层(1)攻击检测的难度越来越大防护DDOS在各个层的攻击覆盖38个防御大量的攻击提升可见度和检查SSL加密的攻击F5 缓解技术OSI 模型OSI 模型统一的应用交付安全平台全代理架构: 3-7层的业务可视性和控制最佳的性能和扩展性无与伦比的可用性和用户体验One PlatformICSA-认证的 防火墙智能应用交付WEB应用安全访问控制DDoS 防护SSL 处理DNS 安全date_tag=date +%Y%m%d%H%M/usr/sbin/tcpdump -ni