CitrixNetscaler证券行业解决方案.docx
- 文档编号:1397621
- 上传时间:2022-10-22
- 格式:DOCX
- 页数:16
- 大小:565.17KB
CitrixNetscaler证券行业解决方案.docx
《CitrixNetscaler证券行业解决方案.docx》由会员分享,可在线阅读,更多相关《CitrixNetscaler证券行业解决方案.docx(16页珍藏版)》请在冰豆网上搜索。
CitrixNetscaler证券行业解决方案
CitrixNetscaler证券行业解决方案
华胜天成
李欣
2020-5-22
一.概述
随着中国股市的火爆,各证券公司的业务系统访问量也在慢慢增大。
如何解决不断增加的访问压力,正成为另各证券公司头痛的问题。
证券公司需要一个平安、稳固、靠得住、功能壮大、可扩展的网络运行平台,此平台将为公司网上经纪业务制造更好的环境,提升公司的核心竞争力。
证券公司网络业务系统建设的整体目标为:
稳固、靠得住,单一设备故障不能阻碍系统的正常运行;
知足证券网站、网上交易系统的目前功能需求;
系统整体的高效性,知足证券行业需求;
系统具有良好的扩充能力,能够知足证券公司以后3-5年系统扩展需求;
系统具有良好的可治理性;
应具有高度的平安机制。
目前证券行业业务系统结构现状
此刻绝大多数证券公司都采纳多站点的散布式网络结构,在全国各地或各个ISP的机房都设置站点,以便提高各地用户的访问速度。
在单个IDC内部署了大量的效劳器来处置用户访问,按功能划分为行情效劳器,交易效劳器和后台存储关键数据的数据库等。
在单个IDC内网络通常划分为内,外两个网络,外网面向用户访问,内网在各要紧IDC间都串联起来,以便同步数据和治理。
在异地的IDC间要紧通过专线或VPN网络来进行数据同步和治理动作。
另外,网络治理人员在休息或出差期间都通过ipsecVPN连接到公司,再通过从公司直连到要紧IDC的专线对IDC内的效劳器进行治理。
存在的问题
效劳器缺乏高效的负载均衡技术
在很长的一段时刻里,许多证券公司都通过双机热备或N+1的方式来解决效劳器的高可用性问题。
但这些方式都存在显而易见的问题,
1.由于采纳双机备份方式本钱太高,若是不能成立有效的冗余技术,效劳器不能保障取得24*7持续效劳质量.
2.在普遍开展业务时,在流量的非线性转变或不平稳动态中,有可能需要依照具体情形增加或删除业务效劳器,而增加与减少业务效劳器材必需更改系统的IP地址指向,造成业务效劳器的扩展达不到新业务的需求.
3.多米诺”现象
单台效劳器的设置,不可幸免会显现“单点故障”,需要进行效劳器“容错”。
为实现容错,往往在主效劳器旁安置一台或多台备份效劳器。
但如此做,平常只有一台效劳器工作,其它效劳器处于空闲状态,无法完全利用所有效劳器的处置资源,投资得不到充分利用。
且当显现“峰值堵塞”时,所取得的往往是“多米诺”效应,即所有效劳器持续被“堵”至“死”。
而且,当所有效劳器都损坏时,无法动态地、合理地利用其它资源提供效劳或备份。
4.“N+1”方式
这种方式也是在应付效劳器“容错”时,提出的应用方式。
“N”,即业务处置集群,“1”,即一台备份机。
咱们注意到,尽管存在一台备份机,随时预备对业务处置集群中的任意一台效劳器进行备份,可是,若是又有效劳器或更多效劳器(软硬件)显现故障呢?
因此“N+1”也不能专门好地完成系统“容错”。
5.“扩展”不便
随着物理和应用的集中,前置效劳器上所要处置的数据量(traffic)增大,客户交易产生的同时连接(concurrentconnection)数量会愈来愈多。
假设处置资源不够,在未超出系统容量时,往往是客户的请求回应愈来愈慢,可容纳的同时连接数量慢慢减小,系统性能严峻下降。
当超出系统容量后,系统“死机”,业务中断。
为应付日趋增多的业务量,系统的扩展性尤其重要。
当前所采纳的扩展方式多为利用CLUSTER的方式。
但这时,需要配置CLUSTER卡和CLUSTER集线器。
·这些硬件设备本钱高,投资大。
·CLUSTER对硬件系统存在限制。
·CLUSTER的容量有限。
所有这些都会使系统“扩展”不便。
以上这些问题都造成了证券公司需要更高效的效劳器高可用技术,而效劳器负载均衡技术正是最通用的保证效劳器高可用的技术之一。
应用级平安缺乏保障
近一段时刻,随着股市行情的火爆,证监会也增强了对各证券公司的平安审核。
前日有消息称,证监会对各证券基金公司的网站和业务系通通一做了平安扫描。
结果发觉,有许多证券基金公司的网站和业务系统存在平安漏洞,可能会造成股民的损失。
而其中的绝大多数平安漏洞都属于应用级平安问题,包括
•无效输入操纵
•失效访问操纵(强制阅读)
•缓存溢出
•跨站脚本解决
•SQL/OS指令植入式解决
•信息块中毒
•HTTP请求走私(HTTPrequestsmuggling)
等等
而这些问题都不是能够通过目前证券公司所部属的一般防火墙能够解决的,于是在应用得不到完善的平安爱惜的情形下,应用开发人员不能不尽力寻觅应用中可能存在的漏洞,并通过硬编码等技术进行处置。
而如此也就不可幸免的需要大量的严格的代码检查和重写,这关于很多证券公司来讲大体是无法同意的。
数据加密造成应用性能缓慢
随着各证券业务的增加,用户访问量愈来愈大,效劳器的压力也同时增大。
但在大访问量情形下,最消耗效劳器资源的却并非是效劳器真正应该提供的功能----生成图片内容,而是用作处置大量的SSL加解密进程。
随着电子商务的进展,为了保证电子商务的平安性,交易的不可否定性,证券公司都开始部署SSL,SSL提供平安的通信通道来解决电子商务的平安性。
SSL几乎成了事实上的加密标准,即大部份电子商务效劳器是HTTPS效劳器。
当一个客户端采纳HTTPS协议访问HTTPS效劳器时,因为两边要互换证书、协商密钥,而且要对传输的数据进行加密、解密。
SSL效劳会大量的消耗效劳器的资源,降低效劳器的可用性,阻碍系统效率。
依照有关测试,当效劳器运行SSL的时候,性能降低40%,在许多情形下,只能完成很少的交易。
据NETWORKSHOP的测试报告当一台SUNE450效劳器(250兆主频UltraSPARCCPU,SolarisOS,ApacheWWWServer)每秒钟能处置357个HTTP请求,但如果是是HTTPS请求那么每秒钟只能处置三个,而且CPU负荷急剧增加,高达95%左右的CPU占用率。
为了解决上述问题,提高电子商务效劳器的处置能力,证券公司需要SSL加速解决方案。
通过专用的电子商务加密、解密加速设备将繁重的、极易消耗效劳器CPU资源的互换证书、协商加密算法及密钥,数据的加密解密工作从电子商务效劳器上卸载下来,从而极大提高电子商务效劳器的性能。
而且那个进程关于客户端和效劳器端都是透明的。
远程治理不够灵活
目前各证券的网络治理人员在休息或出差期间都通过ipsecVPN连接到IDC,对IDC内的效劳器进行治理。
但IPsecVPN已经慢慢无法知足业务的治理需要了。
远程接入的需求确实是随时随地接入,以往的IPSecVPN因为无法解决高可用性以及受网络接入条件的限制,无法知足随时随地接入的需求,具体表此刻需要客户端,利用不方便、某些网络条件下无法接入、无法知足7×24小时的高可用要求。
同时由于IPSecVPN连通后,整个内网对远程接入者来讲是完全可见的,若是远程接入者不警惕感染了病毒,木马等有害程序,都会对内网的应用产生严峻阻碍,乃至有泄密的风险,此类案例已经不足为奇了。
另外关于企业IT主管来讲,希望具有详细的用户级日记,必要时还能够将日记信息通过标准协议传送至公司的日记效劳器,从而能够对网管人员的行为进行审计考核,这一点IPSecVPN一样做不到。
企业需要的是一种新的远程平安接入方式,来知足企业从客户端到应用的平安,确保任何认证用户,在任何地址,任何时刻都能够轻松的接入内网,具有壮大审计功能的同时,又能够严格限制访问者权限。
二.CitrixNetscaler解决方案
Citrix公司结合如前所述应用系统显现的问题,通过认真的分析,结合CitrixNetscaler在业界连年的体会,利用CitrixNetscaler的流量治理设备提供良好的解决方案。
网络结构图
如下图,在主IDC站点内部依照应用流量状况,部署一对或多对Netscaler设备,实现行情效劳器和交易效劳器等各类应用效劳器的效劳器负载均衡和高可用。
同时Netscaler内置applicationfirewall应用防火墙模块,实现应用级的平安访问过滤。
另外Netscaler提供硬件的SSL加解密功能,能够将SSL的流量处置从效劳器上卸载下来,提高效劳器的处置性能。
另外,在Netscaler上提供SSLVPN功能,能够让证券公司的网络治理人员随时随地平安方便的接入IDC内网,对内网应用进行治理。
解决方案介绍
Netscaler提供智能效劳器负载均衡
关于所有应用效劳器,能够在Netscaler上配置VirtualServer实现负载均衡,同时Netscaler可持续检查效劳器的健康状态,一旦发觉故障效劳器,那么将其从负载均衡组中摘除。
Netscaler利用VirtualServer虚拟效劳器(VS由IP地址和TCP/UDP应用的端口组成)来为用户的一个或多个目标效劳器提供效劳。
因此,它能够为大量的基于TCP/IP的网络应用提供效劳器负载均衡效劳。
依照效劳类型不同别离概念效劳器群组,能够依照不同效劳端口将流量导向到相应的效劳器。
Netscaler持续地对目标效劳器进行L4到L7合理性检查,当用户通过VIP请求目标效劳器效劳时,Netscaler根椐目标效劳器之间性能和网络健康情形,选择性能最正确的效劳器响应用户的请求。
若是能够充分利用所有的效劳器资源,将所有流量均衡的分派到各个效劳器,咱们就能够够有效地幸免“不平稳”现象的发生。
Netscaler提供硬件的SSL加解密
加密套接层(SSL)交易的普遍采纳和整体网络负载减缓了效劳器的执行速度。
企业需要将SSL加解密处置从效劳器上卸载下来,并提供硬件级的SSL加速。
Netscaler内置的SSL加速芯片,可把CPU从繁重的加密与解密处置负荷中解放出来,从而将宝贵的资源归还给效劳器。
它可与任何操作系统或互联网效劳器互操作,而可不能显现效劳器硬件、软件安装或兼容性问题。
以后各个时期通过从在这些时期安装的高速缓存中检索静态且加过密的数据而受益。
在每台Netscaler上,都具有SSL硬件加速芯片,而且免费带有SSL的License。
ApplicationFirewall提供给用级平安过滤
在应用得不到完善的平安爱惜的情形下,应用开发人员不能不尽力寻觅应用中可能存在的漏洞,并通过硬编码等技术进行处置。
尽管应用扫描能够发觉其中的一些漏洞,可是严格的代码检查和重写仍旧是不可幸免的。
但是在拥有了Applicationfirewall以后,由于其代码已经处于壮大的平安爱惜之下,开发人员就能够够更好地致力于新应用及功能方面的快速配置。
降低补救开支
除去解决本身所带来的费用,企业在应付解决和弥补损失方面也会产生庞大的开销。
而其带来的阻碍也不局限于IT部门——它还常常连累到公共关系、品牌形象、诉讼,乃至是监管本钱(regulatorycost)等问题。
而ApplicationFirewall能够在潜在的解决产生任何不良阻碍之前就遏制它。
对外部要挟的全面防卫
NetscalerApplicationFirewall通过应用层过滤进一步提升了Netscaler强健的应用流量治理能力,从而实现了拥有一流平安技术的流量治理平台。
进而形成一套完整的、灵活易用的网络应用平安解决方案。
ApplicationFirewall提供以下功能:
双向启发式平安防护可防御以下定向解决:
•自适应学习和调剂引擎
•经调试的预配置业界标准平安策略
•无效输入操纵
•失效访问操纵(强制阅读)
•缓存溢出
•跨站脚本解决
•SQL/OS指令植入式解决
•信息块中毒
•HTT
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CitrixNetscaler 证券 行业 解决方案
![提示](https://static.bdocx.com/images/bang_tan.gif)