金融雙活數(shù)據(jù)中心方案架構(gòu)

1、銀行雙活數(shù)據(jù)中心方案架構(gòu)銀行業(yè)發(fā)展趨勢，IT也在發(fā)展變化新業(yè)務(wù)，新挑戰(zhàn)網(wǎng)上銀行、手機(jī)網(wǎng)銀、微信網(wǎng)銀互聯(lián)網(wǎng)金融第三方支付P2P小額信貸眾籌融資新型電子貨幣合規(guī)要求銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范民營、外資銀行進(jìn)入IT技術(shù)發(fā)展移動應(yīng)用，移動訪問虛擬化、云計算SOA、SDN大數(shù)據(jù)法規(guī)遵從銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范 JR/T 0044-2008 信息系統(tǒng)RTO需求等級：第一類(A)：RTO6小時，RPO15分鐘； 國標(biāo)等級第5級短時間中斷將對國家、外部機(jī)構(gòu)和社會產(chǎn)生重大影響的系統(tǒng)；短時間中斷將嚴(yán)重影響單位關(guān)鍵業(yè)務(wù)功能并造成重大經(jīng)濟(jì)損失的系統(tǒng)；單位和用戶對系統(tǒng)短時間中斷不能容忍的系統(tǒng)。第二類(B)：R

2、TO24小時, RPO120分鐘；國標(biāo)等級第3級短時間中斷將影響單位部分關(guān)鍵業(yè)務(wù)功能并造成較大經(jīng)濟(jì)損失的系統(tǒng)；單位和用戶對系統(tǒng)短時間中斷具有一定容忍度的系統(tǒng)。第三類(C)：RTO7天 ；國標(biāo)等級第2級短時間中斷將影響單位非關(guān)鍵業(yè)務(wù)功能并造成一定經(jīng)濟(jì)損失的系統(tǒng)；業(yè)務(wù)功能容許一段時間中斷的系統(tǒng)。商業(yè)銀行操作風(fēng)險管理指引 第十九條：商業(yè)銀行應(yīng)當(dāng)制定與其業(yè)務(wù)規(guī)模和復(fù)雜性相適應(yīng)的應(yīng)急和業(yè)務(wù)連續(xù)方案，建立恢復(fù)服務(wù)和保證業(yè)務(wù)連續(xù)運(yùn)行的備用機(jī)制，并應(yīng)當(dāng)定期檢查、測試其災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)機(jī)制，確保在出現(xiàn)災(zāi)難和業(yè)務(wù)嚴(yán)重中斷時這些方案和機(jī)制的正常執(zhí)行。第二十五條：銀監(jiān)會對商業(yè)銀行有關(guān)操作風(fēng)險管理的政策、程序和做法進(jìn)

3、行定期的檢查評估。 中國人民銀行關(guān)于進(jìn)一步加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的指導(dǎo)意見 第八條：實(shí)施數(shù)據(jù)集中的銀行業(yè)金融機(jī)構(gòu)應(yīng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行信息系統(tǒng)災(zāi)難恢復(fù)系統(tǒng)。災(zāi)難備份中心的規(guī)劃建設(shè)應(yīng)綜合考慮平衡風(fēng)險與成本、運(yùn)維管理與災(zāi)難恢復(fù)力量等因素，可采取自建、聯(lián)合共建或利用外部企業(yè)(組織)的災(zāi)難備份設(shè)施等方式區(qū)域性銀行可采用同城或異地災(zāi)難備份和恢復(fù)策略。對于核心業(yè)務(wù)系統(tǒng)，應(yīng)實(shí)施應(yīng)用級備份，以保證災(zāi)難發(fā)生時，能盡快恢復(fù)業(yè)務(wù)運(yùn)營，對于其他應(yīng)用系統(tǒng)，可實(shí)施系統(tǒng)級或數(shù)據(jù)級備份。 典型銀行的雙活數(shù)據(jù)中心的建設(shè)腳步內(nèi)網(wǎng)雙活外網(wǎng)雙活中國工商銀行是是中國農(nóng)業(yè)銀行是中國建設(shè)銀行正在建設(shè)同城雙活招商銀行是民

4、生銀行是是光大銀行是是.CIO關(guān)注點(diǎn)ROI有效利用投資成本降低維護(hù)成本可管理內(nèi)容可管理設(shè)備可管理服務(wù)可管理主動安全DNS安全DDoS攻擊防護(hù)5除了業(yè)務(wù)持續(xù)性的關(guān)注，同時還關(guān)注：日益增長的安全威脅高成本/低收益新業(yè)務(wù)上線周期長很難管理眾多的設(shè)備網(wǎng)絡(luò)復(fù)雜性.F5雙活數(shù)據(jù)中心解決方案ROIA-A數(shù)據(jù)中心SDAS向云計算平滑遷移ScaleN可擴(kuò)展架構(gòu)可管理可編程管理iRulesiControliCalliAppBIG-IQ主動安全DNS服務(wù)安全L4-L7 DDoS完整體系應(yīng)用安全防護(hù)移動訪問管理6F5雙活數(shù)據(jù)中心解決方案核心銀行呼叫中心網(wǎng)上銀行ISP1ISP2ISP4ISP3數(shù)據(jù)中心1核心銀行呼叫中心

5、網(wǎng)上銀行數(shù)據(jù)中心2互聯(lián)網(wǎng)內(nèi)網(wǎng)F5雙活數(shù)據(jù)中心解決方案ISP1ISP2ISP4ISP3數(shù)據(jù)中心1數(shù)據(jù)中心2展示層服務(wù)器應(yīng)用層服務(wù)器主數(shù)據(jù)庫、主核心銀行展示層服務(wù)器應(yīng)用層服務(wù)器備數(shù)據(jù)庫、備核心銀行DC到DC的切換鏈路故障主數(shù)據(jù)中心災(zāi)難F5雙活數(shù)據(jù)中心解決方案ISP1ISP2ISP4ISP3數(shù)據(jù)中心1數(shù)據(jù)中心2DC到DC的切換鏈路故障主數(shù)據(jù)中心災(zāi)難應(yīng)用切換某應(yīng)用不可用F5雙活數(shù)據(jù)中心解決方案ISP1ISP2ISP4ISP3數(shù)據(jù)中心1數(shù)據(jù)中心2DC到DC的切換鏈路故障主數(shù)據(jù)中心災(zāi)難應(yīng)用切換某應(yīng)用不可用灰度切換Web層APP層DBF5雙活數(shù)據(jù)中心解決方案ISP1ISP2ISP4ISP3數(shù)據(jù)中心1數(shù)據(jù)中心

6、2DC到DC的切換鏈路故障主數(shù)據(jù)中心災(zāi)難應(yīng)用切換某應(yīng)用不可用灰度切換Web層APP層DB應(yīng)用升級應(yīng)用版本升級客戶端版本升級業(yè)務(wù)流量靈活可控性能認(rèn)證接入可用性安全移動 傳統(tǒng)架構(gòu)環(huán)境軟件定義的數(shù)據(jù)中心可編程和可擴(kuò)展的應(yīng)用服務(wù)體系提高成本效率業(yè)務(wù)孤島成本低效率非可編程，無法彈性擴(kuò)展SDASF5軟件定義的應(yīng)用服務(wù)一鍵配置一鍵容災(zāi)一鍵CASE信息采集一鍵切換TMSH接口iControl接口配置備份以及配置采集云管理員F5 BIGIP Platform一鍵裝機(jī)腳本配置一致性F5應(yīng)用統(tǒng)一視圖配置合規(guī)性自動化管理軟件版本/補(bǔ)丁管理應(yīng)用性能監(jiān)控配置下發(fā)iRuleEM/BIG-IQ日志分析軟件四層應(yīng)用延遲性分析安

7、全事件分析自定義報表FTPSSHSOAP/RESTSYSLOGSOAP/RESTGuest/Host性能監(jiān)控應(yīng)用資源策略庫配置自動部署辦公自動化軟件配置備份以及配置解析外部Server應(yīng)用分析iRule應(yīng)用部署DNS部署一鍵配置一鍵容災(zāi)一鍵裝機(jī)腳本配置備份以及配置采集一鍵CASE信息采集一鍵切換date_tag=date +%Y%m%d%H%M/usr/sbin/tcpdump -ni 0.0 -s 0 -c 3000 -w /var/tmp/$HOSTNAME-$date_tag-tcpdump.captar zcvf /var/tmp/$HOSTNAME-$date_tag-logs.tg

8、z /var/log/* /var/core/*tmsh save sys ucs /var/tmp/$HOSTNAME-$date_tag-ucsqkview -f /var/tmp/$HOSTNAME-$date_tag-qkview.tgzcd /var/tmptar zcvf /var/tmp/CASE-$HOSTNAME-$date_tag.tgz $HOSTNAME-$date_tag-tcpdump.cap $HOSTNAME-$date_tag-logs.tgz $HOSTNAME-$date_tag-ucs.ucs $HOSTNAME-$date_tag-qkview.tgz

9、echo echo =Notice=echo please send the file /var/tmp/CASE-$HOSTNAME-$date_tag.tgz to F5 support自動安裝軟件和升級文件，快速配置系統(tǒng)當(dāng)前配置信息采集，備份配置文件快速搜集日志信息，方便運(yùn)維管理大幅減少應(yīng)用服務(wù)器切換至災(zāi)備數(shù)據(jù)庫的時間，降低RTO一鍵切換一鍵CASE信息采集配置備份以及配置采集一鍵裝機(jī)腳本適合您的架構(gòu)配置業(yè)務(wù)交易量500萬筆/天500萬筆/天1000萬筆/天互聯(lián)網(wǎng)BIG-IP 4000S BR 2BIG-IP 4000S BT 2BIG-IP 4000 BR 4VIPRION 2400

10、BT 4BIG-IP 4000 BR 6VIPRION 2400 BT 6 內(nèi)網(wǎng)VIPRION 2400 4BIG-IP 4000S 4VIPRION 2400 12BIG-IP 4000S 4VIPRION 2400 18BIG-IP 5000S 4分步實(shí)現(xiàn)雙活數(shù)據(jù)中心數(shù)據(jù)中心改造主數(shù)據(jù)中心App1App2App n主數(shù)據(jù)中心煙囪式的架構(gòu)業(yè)務(wù)邏輯分區(qū)的動態(tài)架構(gòu)災(zāi)備數(shù)據(jù)中心主數(shù)據(jù)中心分步實(shí)現(xiàn)雙活數(shù)據(jù)中心數(shù)據(jù)中心改造應(yīng)用級雙活數(shù)據(jù)中心分步實(shí)現(xiàn)雙活數(shù)據(jù)中心動態(tài)數(shù)據(jù)中心應(yīng)用級雙活數(shù)據(jù)中心智能服務(wù)災(zāi)備數(shù)據(jù)中心主數(shù)據(jù)中心分步實(shí)現(xiàn)雙活數(shù)據(jù)中心動態(tài)數(shù)據(jù)中心應(yīng)用級雙活數(shù)據(jù)中心智能服務(wù)POSBranchUser

11、災(zāi)備數(shù)據(jù)中心主數(shù)據(jù)中心存儲虛擬化服務(wù)器虛擬化軟件定義網(wǎng)絡(luò)軟件定義應(yīng)用服務(wù)AttackersGlobal Load BalancingDDoS防護(hù)移動接入安全智能DNS服務(wù)云爆發(fā)云遷移應(yīng)用防火墻應(yīng)用優(yōu)化SDAS總結(jié)F5雙活數(shù)據(jù)中心解決方案可以為您實(shí)現(xiàn)獲得更高的投資回報業(yè)務(wù)的連續(xù)性和合規(guī)要求業(yè)務(wù)流量的靈活控制軟件定義的應(yīng)用服務(wù)從容面對安全威脅成功案例介紹某大型銀行外聯(lián)網(wǎng)絡(luò)BIG-IP GTM，互聯(lián)網(wǎng)接入多中心并行，多鏈路入向智能選路。BIG-IP LTM, 服務(wù)器負(fù)載均衡，出向智能選路BIG-IP ASM,七層 DDoS攻擊防護(hù)，應(yīng)用安全防護(hù)內(nèi)部網(wǎng)絡(luò)BIG-IP GTM,內(nèi)網(wǎng)雙活數(shù)據(jù)中心流量導(dǎo)向B

12、IG-IP WA-網(wǎng)頁加速、帶寬節(jié)省BIG-IP LTM，服務(wù)器負(fù)載均衡，主機(jī)多中心并行 ClientsISP 1核心銀行DNS 網(wǎng)上銀行ISP 2Internal Net通過F5 GTM支持多運(yùn)營商的入向和出向流量通過跨數(shù)據(jù)中心的集群的DNS服務(wù)，防護(hù)DNS DDoS攻擊對Active/Active服務(wù): 將客戶端交易分配到多個數(shù)據(jù)中心，在內(nèi)部根據(jù)需要在數(shù)據(jù)中心間分配交易對Active/Backup服務(wù):加速在主備服務(wù)器之間的數(shù)據(jù)傳輸，在故障發(fā)生時快速在主備之間切換交易ISP 3Web Accelerator 管理專業(yè)化管理團(tuán)隊，超過10名F5認(rèn)證工程師設(shè)計、部署規(guī)范化某農(nóng)商行網(wǎng)銀系統(tǒng)Int

13、ernetISP1ISP2ISP3ISP4GTMGTMGTMGTMIPSIPSIPSIPSFirewallFirewallFirewallFirewallFirewallFirewall核心區(qū)域WAFWAFWEB ACCWEB ACC網(wǎng)銀服務(wù)器群黃金交易服務(wù)器群本地負(fù)載均衡/鏈路負(fù)載均衡本地負(fù)載均衡/鏈路負(fù)載均衡應(yīng)用負(fù)載均衡SSL OffloadSSL Offload某大行網(wǎng)銀系統(tǒng)架構(gòu)電信新聯(lián)通Internet廣域網(wǎng)鏈路負(fù)載均衡F5 GTMF5 GTMF5 LCF5 LTMF5 LTM網(wǎng)絡(luò)安全層服務(wù)器應(yīng)用交付層xx.?門戶、網(wǎng)頁www.955?.cn/corporbank/企業(yè)網(wǎng)銀Easy?.

14、955?cn個人網(wǎng)銀www.xx.?分行子站點(diǎn)服務(wù)器負(fù)載均衡由10臺F5 LTM6900組成交付池，所有F5完成完全相同的業(yè)務(wù)（分行子站點(diǎn)除外）所有LTM6900均完成以下業(yè)務(wù)功能：SSL OffloadCRLDP證書驗(yàn)證iRules處理（證書判斷、域名判斷、ACL、重復(fù)登錄判斷等）Server Load Blance（HTTP CLASS）當(dāng)前業(yè)務(wù)主要采用同一個域名下，部署多個應(yīng)用，按路徑區(qū)分不同業(yè)務(wù)方式，主要由以下幾種類型：www.?含門戶、網(wǎng)頁、分行子站點(diǎn)等；easyabc.955?.cn單向SSL業(yè)務(wù)，如個人自注冊、卡號登陸、電子商務(wù)等；www.955?.cn雙向SSL業(yè)務(wù)，如個人、企

15、業(yè)、電子商務(wù)等業(yè)務(wù)。用戶應(yīng)用系統(tǒng)需求： 新建數(shù)據(jù)中心，萬兆骨干網(wǎng)絡(luò) 應(yīng)用高可用 簡化網(wǎng)絡(luò)結(jié)構(gòu)同時滿足業(yè)務(wù)擴(kuò)展需求 不改動應(yīng)用，實(shí)現(xiàn)特殊業(yè)務(wù)控制解決方案優(yōu)勢：VIPRION 2400強(qiáng)大的硬件平臺，全萬兆光口，保證各服務(wù)器區(qū)業(yè)務(wù)的處理能力；其刀片式設(shè)計，ScaleN技術(shù)，滿足客戶性能和功能的按需擴(kuò)展需求LTM解決大流量并發(fā)處理問題，OneConnect、RamCache，智能壓縮等技術(shù)降低服務(wù)器負(fù)載，提高訪問速度，節(jié)省帶寬。TMOS融合了可定制的iRules和UIE，為處理應(yīng)用交易或流程中的應(yīng)用流量提供了強(qiáng)大的控制力。通過全面的有效負(fù)載檢測和轉(zhuǎn)換能力，事件驅(qū)動的iRules和會話感知的交換技術(shù)，

16、解決應(yīng)用交付問題。設(shè)備部署：Viprion10LTM9使用效果：保證了新數(shù)據(jù)中心所有業(yè)務(wù)的順利遷移上線降低了廣域網(wǎng)帶寬以及服務(wù)器的負(fù)載通過iRules解決了應(yīng)用交付過程中的特殊需求主要技術(shù)：LTMiRules萬兆光口、按需擴(kuò)展RamCache，OneConnect核心業(yè)務(wù)：ATM系統(tǒng)信貸管理系統(tǒng)稽核系統(tǒng)銀行卡前置征信系統(tǒng)支付結(jié)算平臺核心交換機(jī)交易類服務(wù)器區(qū)渠道類服務(wù)器區(qū)管理類服務(wù)器區(qū)辦公服務(wù)器災(zāi)備區(qū)廣域網(wǎng)互聯(lián)區(qū)外聯(lián)區(qū)銀聯(lián)短信銀企人行地市同城災(zāi)備中心某農(nóng)信關(guān)鍵的DNS服務(wù)外網(wǎng)防火墻DNS負(fù)載均衡DNS服務(wù)器集群隱藏的主DNS內(nèi)網(wǎng)防火墻InternetDMZ主DNSInternet強(qiáng)勁的處理性能，

17、超過10M RPS!多數(shù)據(jù)中心部署，業(yè)務(wù)高可用最好的DoS / DDoS防護(hù)簡化DNS管理 降低CAPEX和OPEX增加性能= 更多DNS服務(wù)器很弱的DoS/DDoS保護(hù)防火墻是瓶頸DatacenterF5 增強(qiáng)的DNS方案傳統(tǒng)的DNS方案DNS防火墻DNS DDoS 防護(hù)協(xié)議驗(yàn)證授權(quán)DNSDNS解析緩存透明緩存高性能DNSSECDNSSEC 驗(yàn)證智能的 GSLB架構(gòu)的遷移BR自動任務(wù)用于提高運(yùn)維和資源利用率iCalliStats控制平面管理平面數(shù)據(jù)平面第三方管理平臺F5 iApps應(yīng)用打包應(yīng)用模板應(yīng)用服務(wù)iRulesiAppiControl SOAPREST (EA)DevCentral 社

18、區(qū)統(tǒng)一架構(gòu)腳本分享 知識點(diǎn)論壇 攔截，檢查，轉(zhuǎn)換，引導(dǎo)和決策 可管理的架構(gòu)延伸平臺適應(yīng)應(yīng)用交付需求完整的DDoS防護(hù)應(yīng)用攻擊網(wǎng)絡(luò)攻擊會話攻擊Slowloris, Slow Post, HashDos, GET泛洪SYN泛洪, 連接泛洪, UDP泛洪, Push和ACK泛洪, Teardrop, ICMP 泛洪, Ping泛洪和 Smurf攻擊BIG-IP BT主動和被動的策略防護(hù), iRules, HTTP全代理, 服務(wù)器性能的異常檢測DNS UDP泛洪, DNS Query泛洪, DNS NXDOMAIN泛洪, SSL泛洪, SSL 重協(xié)商BIG-IP BR強(qiáng)大的性能, DNS Expres

19、s, SSL 卸載, iRules, SSL 重協(xié)商確認(rèn)BIG-IP BRSyn包檢測, 默認(rèn)拒絕, 大容量的連接表, 全代理的工作模式, 流量控制, 嚴(yán)格的TCP轉(zhuǎn)發(fā).Packet Velocity Accelerator (PVA) 是一個專門的定制的硬件，相比于軟件方式處理能力提高了一個數(shù)量級F5 緩解技術(shù)應(yīng)用層(7)表示層(6)會話層(5)傳輸層(4)網(wǎng)絡(luò)層(3)數(shù)據(jù)鏈路層 (2)物理層(1)攻擊檢測的難度越來越大防護(hù)DDOS在各個層的攻擊覆蓋38個防御大量的攻擊提升可見度和檢查SSL加密的攻擊F5 緩解技術(shù)OSI 模型OSI 模型統(tǒng)一的應(yīng)用交付安全平臺全代理架構(gòu): 3-7層的業(yè)務(wù)可視性和控制最佳的性能和擴(kuò)展性無與倫比的可用性和用戶體驗(yàn)One PlatformICSA-認(rèn)證的 防火墻智能應(yīng)用交付WEB應(yīng)用安全訪問控制DDoS 防護(hù)SSL 處理DNS 安全date_tag=date +%Y%m%d%H%M/usr/sbin/tcpdump -ni