Array-网上银行网络优化解决方案

1Array网上银行网络优化解决方案一、用户需求1．网上银行介绍随着电子商务的蓬勃发展，数字地球的逐渐完善，如何为客户提供更便捷、更周到的服务已经成为银行竞争的焦点。目前银行柜台向客户提供的业务，主要有存款，取款，转账，查询，代缴费等。随着计算机网络的普及，金融服务手段的不断改善，居民日常的消费更多地将转向于电子化服务，直接的现金交易将减少，非现金交易将增大。这样，传统的银行储蓄柜台业务将弱化，而采用各类电子化服务渠道的转账，查询的交易将增加。网上银行正是提供这种服务的一个最实用的途径，也是银行下一步争夺客户的重要手段。建立网上银行，为个人和企业客户提供网上交易的平台，适应了社会发展的需求，是当今银行发展的潮流。网上银行，是银行利用Internet技术，通过Internet向客户提供开户、销户、查询、对帐、行内转帐、跨行转帐、信贷、网上网上银行、投资理财等传统服务项目，使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。可以说，网上银行是在Internet上的虚拟银行柜台，是银行传统柜台业务在Internet上的延伸。网上银行支持的银行业务主要有三大类：－广告，宣传资料及公共信息的发布，如银行的业务种类，处理流程，网点介绍，最新通知，年报，金融信息，操作指南等；－支持个人客户和企业客户在银行各类帐户信息的查询，及时反映客户的财务状况；－实现个人客户和企业客户的理财交易，包括转账，信贷，股票买卖，在线支付B2B，B2C等。2．网上银行存在的潜在问题安全性由于网上银行是一种网络应用，它的所有内容都是以数字的形式流转于Internet之上，因此，在网上银行应用中不可避免地存在着由Internet的自由、开放所带来的信息安全隐患。另2外，网上银行作为庞大资金流动的载体，更易成为非法入侵和恶意攻击的对象。所以，安全性成为了网上银行的首要问题，银行应制定并实施充分的物理安全措施，有效防范外部或内部非授权人员对关键设备的非法接触；应采用合适的加密技术和措施，以确认网上银行业务用户身份和授权，保证网上交易数据传输的保密性、真实性，保证通过网络传输信息的完整性和交易的不可否认性。网上银行应用中主要存在以下几个安全问题：－身份认证由于非法用户可以伪造、假冒网上银行和网上银行业务用户的身份，因此登录到网上银行应用系统的用户无法知道他们所登录的是否是可信的网上银行应用系统，网上银行应用系统也无法验证登录的用户是否是经过认证的合法用户，非法用户可以借机进行破坏。“用户名＋口令”的传统认证方式安全性较弱，用户口令易被窃取而导致损失。－信息的机密性传输在客户端与网上银行应用系统服务器之间的敏感信息和交易数据，如用户的银行帐号、密码等，有可能在传输过程中被非法用户截取。－信息的完整性敏感信息和交易数据在传输过程中有可能被恶意篡改。－信息的不可抵赖性网上银行交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据。除了安全性问题之外，网上银行还存在以下一些潜在的问题：服务器故障－服务器出现硬件或操作系统故障而不能使用；软件故障－尽管其它应用系统正常运行，但某个或某些应用系统挂起或停止响应；内容故障－服务器和应用系统都在正常运行，但对请求的响应却是“404ObjectNotFound”，或响应内容不正确;流量过多－服务器的响应与负载量变化密切相关。在流量增长的过程中，服务器将及时对请求作出响应，然而当流量到达一个极限点时，服务器就会停止对所有请求进行响应。这种现象在本质上很象二进位制－服务器或者工作或者罢工。不能访问网络－如果服务器和外界的连接中断，也就无法进行访问了。这可能是由路由器故障、路由器配置错误或是高速缓存故障而引起的。3访问速度缓慢－响应时间将影响客户的信心和心情，很明显，客户访问网站时等待的时间越长，它们就会越不耐烦，为防止现有客户或潜在客户弃您的网站而去，更糟糕的是转向访问竞争对手的网站，一定要避免网站的速度因突然出现的流量高峰而慢得像蜗牛一样。通讯拥塞，服务器过载，SSL的使用，防火墙等等均可造成访问速度减慢。异地容灾问题－当一个中心发生故障时，如何自动转向其它可用站点，并在原中心恢复后，自动转回服务，而且自动同步内容。3．网上银行系统平台的业务需求从目前网上银行的存在问题和其业务发展来看，网上银行主要具有如下的需求：－安全交易：由于网上银行涉及客户个人隐私和银行金融机密，因此网上银行的安全性是系统建设的首要问题－支持传统业务及新业务发展：实现在线交易。－网上银行系统：作为银行综合业务系统的前置业务系统，能够与综合业务系统方便集成，支持各种主机，数据库和通讯协议，可以和其它的前置业务系统共享主机业务服务器的交易处理－高性能：银行业的竞争日益激烈，提供安全可靠的前题下，必须高效。－支持7×24小时全天候服务：充分利用系统和设备的能力，为客户提供可靠，完善，便捷的服务。－安装，维护方便。－具备高性能，高扩展性和高可伸缩性。针对网上银行业务的需求，ArrayNetworks提出了一套全面、高效、安全的解决方案。二、Array的网上银行解决方案Array产品系列提供一个将诸多复杂Web设备化零为整的解决方案，可以完全解决网上银行系统存在的问题。它是第一个真正的将众多重要的网络功能合为一体的集成化应用系统，这些网络功能包括服务器负载均衡（SLB），全局服务器负载均衡（GSLB），SSL加速，WebWall安全，链路负载平衡（LLB），HTTP压缩以及SSLVPN解决远程安全访问等。41．SLB--解决服务器负载平衡和高可靠性对于网上银行而言，访问时延和服务器的可靠性是非常重要的问题。而随着业务的增长，对拥有多台服务器的网上银行运营中心来说，不是全部服务器都发挥了其应有的效力。Array的负载均衡服务，使每台服务器的处理能力都能得到充分的发挥。SLB可以实现如下的功能：-提供真正面向应用层的、DNS、FTP，以及基于固定端口的TCP/UDP等应用的负载均衡；-无需改动网络拓扑结构，即可实现功能；-功能强大，支持路由功能-根据实际响应时间的负载平衡算法来实现真正的合理的流量分配。1.1SLB的工作模式Array的服务器负载均衡可以以两种模式执行：ReverseProxyMode（反向代理模式）和TransparentMode（透明模式）。（1）ReverseProxyMode（反向代理模式）使用ArrayTM的反向代理服务可以将请求转发给内部的服务器，让ArrayTM将请求均匀地转发给多台内部服务器之一上，从而达到负载均衡的目的。这种代理方式与普通的代理方式有所不同，标准代理方式是客户使用代理访问多个外部服务器，而这种代理方式是多个客户使用它访问内部服务器，因此也被称为反向代理模式。其传输流程如下所示：5反向代理模式的优点：－可以采用One-armed的结构部署；－可以通过连接池技术增强系统性能。反向代理模式的局限性：－服务器无法记录哪些IP的客户端曾进行访问解决办法:ArrayTM可以在用户的HTTP包头中加入X-Forwarded-For字段，用它记录客户端的IP地址。（2）TransparentMode（透明模式）ArrayTM的透明模式是指ArrayTM在转发用户请求时，透明地将客户端的连接定向到特定的服务器上，即用户的源IP地址对服务器是透明的，服务器可以知道哪个客户对其进行了访问。其传输流程如下：6透明模式的优点：服务器可以记录哪些IP的客户端曾进行访问。透明模式的局限性：－结构/路由设计必须保障从源服务器端来的响应必须经过TM；－One-armed的结构有可能不能实现；－由于每个请求的源IP地址都不一样，因此无法利用连接池技术改善系统性能。1.2SLB的负载均衡算法Array支持多种服务器负载均衡算法（持续性的和非持续性的），包括轮循算法、最少连接算法、响应时间算法、散列算法、最少连接失误算法，链路带宽算法等等。此外实际服务器可以被分配不同的加权值来调整被分配的流量。比如性能高的大型服务器可配置较大的加权值，而为性能较低的小型服务器设置较小的加权值。为了避免服务器因过载而崩溃，可为实际服务器指定最大连接阈值来避免该服务器过载。任何服务器可被指定为另一台服务器的备份服务器或溢出服务器，从而进一步保证了应用可用性。（1）非持续性算法（Non-Persistent）：一个客户端的不同的请求可能被分配到一个实服务组中的不同的实服务器上进行处理。主要有轮循算法、最少连接算法、响应速度算法等。－轮循算法（RoundRobin）：每一次来自网络的请求轮流分配给内部中的每台服务器，从1至N然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平7均服务请求相对均衡的情况；－最少连接算法（LeastConnection）：客户端的每一次请求服务在服务器停留的时间都可能会有较大的差异，随着工作时间的加长，如果采用简单的轮循或随机均衡算法，每一台服务器上的连接进程可能会产生极大的不同，这样的结果并不会达到真正的负载均衡。最少连接数均衡算法对内部中有负载的每一台服务器都有一个数据记录，记录的内容是当前该服务器正在处理的连接数量，当有新的服务连接请求时，将把当前请求分配给连接数最少的服务器，使均衡更加符合实际情况，负载更加均衡。此种均衡算法适合长时间处理的请求服务。－响应速度算法（ResponseTime）：负载均衡设备对内部各服务器发出一个探测请求（例如Ping），然后根据内部中各服务器对探测请求的最快响应时间来决定哪一台服务器来响应客户端的服务请求。此种均衡算法能较好地反映服务器的当前运行状态，但最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间，而不是客户端与服务器间的最快响应时间。（2）持续性算法（Persistent）：从一个特定的客户端发出的请求都被分配到一个实服务组中的同一个实服务器上进行处理。主要包括：A．基于IP的算法－PersistentIP(pi)：基于用户IP地址来选择服务器。－HashIP(hi)：基于用户IP地址的HASH值，来选择服务器－ConsistentHashIP(chi)：B．基于报头/请求的算法－HashHeader(hh)：基于用户请求报中HTTP报头来选择服务器；－PersistentHostname(ph)：基于用户请求报中HTTP报头的Hostname的HASH值，来选择服务器；－PersistentURL(pu)：基于对URITag和值的静态对应关系来选择服务器。－SSLSessionID(sslsid)：基于SSL会话ID来选择服务器。C．基于Cookie的算法－PersistentCookie(pc)：选择服务器基于用户请求包用CookieName/Value的静态对应关系；－HashCookie(hc)：选择服务器基于用户请求包用CookieName/Value的Hash值对应关系；－InsertCookie(ic)：选择服务器基于Array向服务器响应包中插入Cookie；8－Re-writeCookie(rc)：选择服务器基于Array向服务器响应包中重写Cookie值。（必须为重写指定Cookie值的偏移量）1.3SLB的负载均衡策略SLB的负载均衡策略主要有三大类：基础性策略、保持性策略、QOS策略。（1）基础性策略－Static－Default－Backup（2）保持性策略－PersistentURL－PersistentCookie－RewriteCookie－InsertCookie－Header（3）QOS策略－QOSCookie－QOSHostname－QOSURL－QoSNetwork－RegularExpression－Header1.4Array的SLB健康检查Array通过对服务器的实时健康检查，保证数据流量会自动绕过故障服务器或不可用服务器。当Array的健康检测机制，检测到服务器重新恢复正常以后，将使该服务器可以自动回到服务器群之中，所有这些服务器故障的处理，对进行操作的用户是完全透明