商业银行应用交付建设建议.doc

商业银行应用交付系统建设建议(Version1.0)2013.5 目录1前言32应用交付网络的概念53网上银行系统建设83.1概要83.2网上银行基本架构模式103.3网银增强架构模式113.4网上银行应用优化143.5网上银行应用安全183.6网上银行广域网算法实现和优化224数据大集中系统的高可用性建设244.1数据大集中的形式244.2高可用性技术比较254.3数据大集中下的应用交付部署模式255应用级备份数据中心建设285.1Web->APP通过广域网295.2APP->DB通过广域网306国内商业银行应用交付技术使用概况317F5银行应用解决方案列表：32 1前言银行业在我国金融业中处于主体地位。我国共有各类银行业金融机构3万多家。主要包括：3家政策性银行，4家国有商业银行，13家股份制商业银行，115家城市商业银行，626家城市信用社，30438家农村信用社，57家农村合作（商业）银行，238家外资银行营业性机构，4家金融资产管理公司，59家信托投资公司，74家企业集团财务公司，12家金融租赁公司，5家汽车金融公司，以及遍布城乡的邮政储蓄机构。银行业资产占我国全部金融机构资产的90%以上。改革开放以来，商业银行业务开始交叉并逐步形成了全方位的竞争局面，商业化的驱动和对利润的追逐使这种竞争尤其是在经济比较发达的地区变的越来越激烈。同国际标准和国外成功的商业银行相比，中国的商业银行仍然是低效的；但是，我国银行业具有巨大的提升盈利能力的潜能，这不仅仅是因为国内银行业存在巨大的市场发展空间，还因为国内银行业整体经营素质的提高潜能较大。2008～2009年是金融危机全球肆虐的时期，却也是中国城市商业银行高速发展、剧烈分化的时期，区域性银行、社区银行均已出现并走向成熟，多元化的银行体系必将逐渐成形。金融垄断随着市场化改革的深入被打破，顺应市场形势的金融格局将诞生。新形势下的银行大致可根据业务范围与规模划分为三个层次：全国性银行，区域性银行，地方性银行。区域性银行最可能由目前的大规模城商行发展而来，而在市场竞争中获得生存发展的地方性银行则多半是立足本地做社区银行的中小型城商行。商业银行要满足客户的需求，服务项目、渠道就要扩展。通过传统方式已经无法跟上现阶段客户的服务要求，必须充分利用信息技术来保持竞争优势，例如24小时服务的网上银行、自助银行、呼叫中心等渠道，以及信用卡、自助贷款、移动按揭、手机帐户即时通等服务。客户细分、销售机会挖掘、CRM等策略，无不得益于信息技术的发展。商业银行在发展业务过程中，包括客户、产品、服务、渠道、营销、管理都离不开IT技术的支持。商业银行业务与技术的紧密合作已经成为不可扭转的趋势。商业银行基于信息技术发展的业务转型经历三个阶段，第一阶段，随着服务器、数据库技术的发展，商业银行得以将手工帐务处理转变为电子帐务处理，解决了手工记帐的电子化问题，商业银行IT运用的特点是以帐务处理为中心，内地商业银行在90年代前期、中期普遍完成了这个转型。第二阶段，随着信息技术的发展，以及内地软件业水平的提高，商业银行得以从帐务处理发展为产品、渠道整合，商业银行利用科技不断创新产品，发展新渠道，例如银证通、个人外汇买卖、网上银行、自助银行等，满足了客户对多元化产品的需求，这阶段商业银行IT运用的特点是以产品为中心，目前内地商业银行普遍处于这个阶段的后期。第三阶段，随着数据仓库、CRM、计算机硬件的发展，商业银行将通过数据集中，实现物理渠道和虚拟渠道的融合，从产品为中心逐步转型为以客户为中心，目前各商业银行正在努力实现这个转变。商业银行在未来几年将遇到银行业务电子化中几个重大问题：　　一、 商业银行电子化业务处理从城市分行逐步走向大集中后，产生日间批处理与生成报表、优化系统的问题，业务处理大集中后，网络安全体系的建设问题，防病毒、防侵入网络资源、防非法侵入系统、保护数据库安全问题。二、银行业务大集中处理后，产生各个业务系统的数据问题，需要进行各个业务系统的整合，利用数据库对各个业务系统进行整合，建立客户关系系统。三、银行在发展网上银行业务后，核心业务系统要实现7*24小时服务的问题，从而引起的核心业务系统改造问题。四、为了进一步加强银行市场竞争能力，强调以客户关系为核心，而必须对各个业务处理应用系统的整合问题。对给银行带来80%利润，2%的客户提供更有效、更贴进企业需求的服务。五、银行业务电子化处理大集中后，银行对主机、城市前置机高可靠性的要求，及对外联网业务处理的接口标准化及平台问题。作为在国际和国内银行业应用交付系统中拥有众多用户和市场、技术领先地位的F5公司愿意并希望能配合各个商业银行根据现有的环境，从现状和近处着手，建议和规划在未来3年内网上银行应用交付建设的各个目标：包括规范化的网上银行建设，应用优化，多数据中心网银实现。通过这些建议使得商业银行的网上银行业务得到切实的发展和长足的进步，进一步提高我们商业银行的核心竞争力。 1应用交付网络的概念应用交付网络，首先的一个问题就是应用的发布问题。下面我们从一个典型的应用发布流程中间所经历的环节进行分析：任何应用系统都离不开物理的数据存放。数据最终都是以二进制编码方式存放在物理设备上，通常，这些都是存放在存储设备上，比如常见的硬盘、磁盘阵列等存储系统上。通过服务器操作系统，可以将这些数据按照应用系统所要求的格式进行读取和写入。服务器在这中间起到了一个桥梁性作用，一方面，服务器从物理存储设备上读取和写入数据，另一方面，服务器对外提供网络的接口，通过网络将数据进行发布。应用系统则是安装在服务器上的软件应用，对数据进行进一步处理，应用系统包括常见的数据库系统、中间件系统等。应用系统主要完成商务逻辑运算、数据加工整理等功能。最后，通过门户系统对外呈现一个统一的界面和接口，如Apache、IIS等Web服务器，对数据进行进一步格式化，转变成用户端可见的界面，并提供服务端口，供用户端进行访问。 所有的存储、服务器、应用系统和门户系统都部署在数据中心里。ISP则是连接用户端和数据中心的桥梁。最终用户通过ISP提供的链路资源访问到数据中心，并最终通过门户系统、应用系统和服务器系统来读取和写入应用数据。这样，就完成了整个应用的发布过程。应用交付中所有中间环节就是让最终用户可以输入和使用位于数据中心的数据。应用则通过不同的展现手段，提供给终端用户不同的内容。在应用发布的整个过程中，直接性的，信息主管面临以下问题：l应用整合随着企业自身的发展，对IT信息化建提出了更高的要求，因此应用系统的整合度越来越高，所以对服务器的性能、高可用性方面的要求也随之提高。l服务器整合在应用整合后，服务器的整合随即变得非常的重要，如何使位于数据中心的服务器资源得到合理的共享、动态调配，降低能源消耗，已经现实的将问题摆在了信息主管的面前。l安全攻击从DDOS到SQLInjection，各种类型不同的攻击手段，都在影响着应用交付的顺畅，轻则导致应用变慢、不顺畅，重则导致业务中断、系统瘫痪。l用户分散加剧目前大部分银行的业务系统都从最初仅面向一个营业网点或者一个小范围的客户群体，发展到面向全国甚至全球的使用者。用户分散加剧也导致了应用交付的环境变得越来越恶劣。lSOA建设 银行业务的复杂性，需要SOA架构来进行多应用，多协议的整合，信息主管需要有完善的架构设计理念和实施部署方案，实现这些不同种类的应用的最佳部署结构。针对应用交付的各个环节中的薄弱点，应用交付网络提供了端到端的解决方案。应用整合：通过对应用系统的深层次识别和各种应用加速技术，提高应用系统的访问效率和响应速度。服务器整合：通过使用本地负载均衡、应用优化设备，实现服务器的高可用性、高安全性和可扩充性。安全攻击：通过网络层安全防护、应用层安全防护和传输通道加密技术，提高系统的整体安全性。用户分散加剧：通过广域网用户引导、多链路用户引导等技术，引导用户选择最佳的数据中心，通过最佳的链路到达应用服务器。SOA建设：通过多协议、多平台的支持，对应用中的各种协议流量进行分析，实现精确引导和应用分布。传统的数据网络主要关注的是网络的互连互通，而各种新兴繁杂的网络应用，关注的则是业务逻辑和功能。是应用交付网络（ApplicationDeliveryNetworking，ADN）的理念则将重点放在了这两者之间的地带，在现有架构的基础上，实现应用交付的快速、安全和高可用。 根据目前对商业银行的整体IT建设状况进行分析，并结合F5应用交付在大型银行和金融机构中的使用经验，本文将重点讨论以下三个方面内容：l网上银行系统建设l数据大集中建设l应用级备份数据中心建设1网上银行系统建设1.1概要“网上银行系统是商业银行等金融机构通过互联网等公众网络基础设施，向其客户提供各种金融业务服务的一种重要信息系统。网上银行系统将传统的银行业务同互联网等资源和技术进行融合，将传统的柜台通过互联网向客户进行延伸，是商业银行等金融机构在网络经济的环境下，开拓新业务、方便客户操作、改善服务质量、推动生产关系变革等的重要举措，提高了商业银行等金融机构的社会效益和经济效益。”――出自人民银行《网上银行系统信息安全通用规范》此次《商业银行网银建设建议》主要基于国内商业银行现在的网上银行的实际情况并结合F5在国内外的大型银行包括：CityBank、BankOfAmerica、国内大型银行和F5的商业银行客户的应用状况，同时参考人民银行的网银规范文档，由F5中国区负责银行业的主要工程师共同编写的本文。本文的主要参考文档为：l人民银行《网上银行系统信息安全通用规范》lF5《银行新一代信息系统应用交付网络规划建议》l国外某大型银行应用部署规范l国内某大型银行网上银行设计规范l国内商业银行客户案例参考由于网上银行的特殊性，因此本文将分为单站点结构和多站点结构两个部分进行描述。主要包括：l网银基本架构模式设计l网银增强架构模式设计 l应用优化l广域网算法实现和优化l多站点结构下的技术实现原理本文的编写从原理、技术和管理三个方面进行了细致的分析，目的在于提高商业银行的网上银行应用的安全性、可靠性和性能几个方面。并希望能在当前竞争环境下，能增强商业银行IT的竞争力，支持业务系统更上一个台阶。 1.1网上银行基本架构模式这种架构一般使用在初建网银的时期，以其简单明了的结构，方便的部署和灵活拓展的特点，受到多数初建网银的银行的采纳和使用。在基本架构模式里，使用一个数据中心作为网银的中心接入点。在链路的接入层采用一对BIGIP中端设备，并安装LinkController模块（建议采用BIGIP-LTM3600或3900），作为系统的接入点。负责处理链路接入、NAT、SNAT和安全防护，并且配合LinkController中的WideIP，实现应用的智能域名解析，以实现动态链路接入优化。在前端设备上主要采用四层模式，尽量不采用七层处理。这样，实现了系统的高性能和高稳定性。BIGIP3600的理论最高吞吐能力为2Gbps，可以在较长的一段时间内满足中小商业银行的网上银行的扩展需求。 在前端接入后，采用多台防火墙设备形成防火墙负载均衡结构，多台防火墙同时工作，并通过两端BIGIP-LTM实现负载均衡和高可用性。多台防火墙可以采用同一品牌或者不同品牌的防火墙实现安全和高可用性的最大化。在防火墙负载均衡结构后，根据业务的类型，建议采用一对BIGIP-LTM中端设备（建议采用BIGIP-LTM3600或6900）实现防火墙负载均衡、SSL加速设备负载均衡和网银Web应用负载均衡。这对BIGIP-LTM的处理为混合模式，既包含四层模式也包含七层工作模式，针对不同的应用采用不同的工作模式。余下的DNS、邮件等业务也可以通过此对BIGIP-LTM6900或3900实现负载均衡。在证书和加速区，可采用多台设备（建议使用BIGIP3600）实现SSL加速系统，其中包括：单证加解密、双证加解密和CRLDP等功能。这些设备主要以运行在七层工作模式为主，其主要目的为提高网银访问速度和减小服务器端压力。在Web层到应用服务器层之间（生产应用区），可以选用一对F5BIGIP3600设备实现对应用服务器的负载均衡，在这对3600上主要以七层工作模式为主，主要实现对应用服务器的连接优化、七层会话保持等。另外，在互联接入区域的另一边；我们可以设置测试区域。用来进行新版本，新应用的在线测试，为正式应用做准备。1.1网银增强架构模式在多数银行使用网银的一段时期以后，由于功能、性能和安全性方面的需求，会过渡到下面的增强架构模式。该种结构可以更有效的为客户服务：改善客户体验，提高访问速度，加强网银的安全防护。 在网银增强架构模式里，也使用一个数据中心作为网银的中心接入点。在链路的接入的时候，采用了防DDOS攻击的设备进行DDOS攻击防护；但是，如果采用BIGIP设备（如BIGIP-LTM3600或3900），则只要开启BIGIP设备上的SYNCOOIKE功能就可以抵御DDOS攻击了。另外，该对BIGIP设备也负责处理链路接入、NAT、SNAT和安全防护，并且配合外部的GTM设备，实现应用的智能域名解析，以实现动态链路接入优化。外部的这两台GTM设备作为智能DNS解析系统，一方面可以根据地域或特定参数进行动态地址解析，另一方面也可以为以后的多数据中心多活网银运行进行铺垫。这两台设备为网银业务或商业银行的整个域名系统进行服务，同时通过F5自己的通讯加密协议进行数据和状态同步，无论是在配置和维护方面都相当容易。 在前端设备上主要采用四层模式，尽量不采用七层处理。这样，实现了系统的高性能和高稳定性。BIGIP3600的理论最高吞吐能力为2Gbps，可以在较长的一段时间内满足中小商业银行的网上银行的扩展需求。在前端接入后，采用多台防火墙设备形成防火墙负载均衡结构，多台防火墙同时工作，并通过两端BIGIP-LTM实现负载均衡和高可用性。多台防火墙可以采用同一品牌或者不同品牌的防火墙实现安全和高可用性的最大化。在防火墙负载均衡结构后，根据业务的类型，建议采用一对BIGIP-LTM中端设备（建议采用BIGIP-LTM3600或6900）实现防火墙负载均衡、SSL加速设备负载均衡、web应用加速设备负载均衡和网银Web应用负载均衡。这对BIGIP-LTM的处理为混合模式，既包含四层模式也包含七层工作模式，针对不同的应用采用不同的工作模式。余下的邮件等业务也可以通过此对BIGIP-LTM6900或3900实现负载均衡。根据大部分国内外大型银行的网银实际部署经验，同时也为了符合人民银行的《网上银行系统信息安全通用规范》，我们可以在此对BIGIP-LTM中端设备上采用ASM软件模块，实现应用防火墙的功能；也可以购买单独的硬件来实现应用防火墙的功能。在证书和加速区，可采用多台设备（建议使用BIGIP3600和WA3600）实现SSL和应用加速系统，其中包括针对证书的：单证加解密、双证加解密和CRLDP等功能；针对应用加速的：HTTP页面压缩、Web应用加速等多项功能。这些设备主要以运行在七层工作模式为主，其主要目的为提高用户体验、节省带宽和减小服务器端压力。在Web层到应用服务器层之间（生产应用区），可以选用一对F5BIGIP3600设备实现对应用服务器的负载均衡，在这对3600上主要以七层工作模式为主，主要实现对应用服务器的连接优化、七层会话保持等。在DMZ区和生产应用区，除了原有的IDS或IPS之外，还需要增加协议分析引擎，通过协议级别来分析访问的合理和漏洞的存在。另外，在测试区域中也可以使用单台BIGIP-LTM低端设备（建议使用LTM1600）进行测试和模拟。用来保证新版本，新应用上线时候与现网版本的快速契合和实际环境的适用；同时还可以通过这套系统进行模拟排错演练。 1.1网上银行应用优化在网银应用中F5除负载均衡以外的特性中，现在在国内外银行及其它金融机构广泛使用的还有以下技术：1、SSL卸载技术目前，所有的网上银行在交易部分，均采用SSL连接方式，实现端到端的数据加密传输。在SSL处理过程中，所有的传输内容均采用加密算法处理。其中最重要的两个部分为SSL握手时交换密钥的非对称加密和数据传输时的对称加密。在现有的系统中，通常非对称加密采用1024位的密钥进行加解密，因此对服务器的CPU占用率非常高。在一台新型号的双XeonCPU服务器上，大约每秒钟400次非对称加解密就能导致CPU占用率100%。同时对称加密通常采用128位，最高256位加密的加解密也会导致服务器CPU占用率居高不下，同样的服务器SSL流量大约能达到150Mbps。因此当我们在部署SSL应用时，必须考虑到以下参数：lTPS：TransectionPerSecond，也就是每秒钟完成的非对称加解密次数lBulk：SSL对称加解密的吞吐能力，通常以Mbps来进行衡量。当SSL的客户端压力超过400TPS时，单台服务器就很难处理请求了。因此，必须采用SSL加速设备来进行处理。BIG-IPLTM系列可从最低2000TPS到200,000TPS实现全硬件处理SSL非对称加密和对称加密流量。其实现的结构如下： 所有的SSL流量均在BIG-IP上终结，BIG-IP与服务器之间可采用HTTP或者弱加密的SSL进行通讯。这样，就极大的减小了服务器端对HTTPS处理的压力，可将服务器的处理能力释放出来，更加专注的处理业务逻辑。在BIG-IP可处理单向SSL连接，双向SSL连接，客户端证书认证等。并且可同时处理多种类型和多个应用的SSL加解密处理。由于采用了独立的安全芯片使用硬件加速SSL流量，基本上对于SSL的流量可实现“零”CPU占用率。1、HTTP压缩技术：该技术通过对HTTP页面进行压缩，减小使用的带宽，在文本内容下，通常可以减小80%的网络流量，同时加快了客户端的页面打开速度。WebServerClient1Client2BIG-IPCompressionontheBIG-IP使用工业标准的GZIP和Deflate压缩算法来压缩HTTP流量；降低带宽消耗、缩短最终用户在慢速/低带宽连接条件下的下载时间。广域网访问的网络延时与带宽瓶颈经常给用户的WEB应用的正常访问带来不便，通过在F5BIG-IP应用交换机上启用HTTP压缩功能，可以带来以下好处： 更快的页面下载速度；更小的带宽消耗(支持广泛数据类型的压缩：例如HTTP,XML,Javascript,J2EEapplicationsandmanyothers)，启用带宽压缩所带来的带宽节省可以达到80%。客户端自适应的压缩处理能力(技术专利)：F5BIG-IP应用交换机可以通过探测到客户端的RoundTripTime来识别用户是通过宽带还是窄带方式上网，然后决定是否要对该用户启用HTTP压缩功能。对用户完全透明，不需要在客户端安装程序：F5BIG-IP应用交换机采用的压缩算法是目前常用WEB浏览器广泛支持的GZIP和Deflate算法，因此对用户完全透明，不需要预先安装客户端解压程序。　BytesbeforecompressionBytesaftercompression%bandwidthsavedIIS6.0(StandardWebContent)538,31897,87582Oracle10gPortal　　　OWA2003305,001100,19267SharepointPortalServices2003790,652203,40074SiebelCallCenter7.72,053,366275,34387WeblogicPortalv8.1217,97066,09370以下是各种型号BIG-IP应用交换机所能支持的最大压缩处理能力： BIG-IP1600BIG-IP3600BIG-IP3900BIG-IP6900BIG-IP8900Max.compression1Gbps1Gbps3.8Gbps5Gbps8Gbps 1、OneConnect技术：该技术通过对大量用户的连接进行聚合，减小了服务器并行开启的TCP连接数量，并且减小了服务器频繁建立连接和拆除连接的动作。因此，可以极大地减小服务器的连接处理消耗，使服务器更加专注在用户的请求内容上。它也可减少一个单一的正常的客户所产生的数十个或者甚至数百个TCPsession，同时在一个单一的seesion中进行Web浏览，这就极大限度地减少了网络流量。在我们的测试中，根据测试的流量类型和客户数，在Web服务器上所产生的改进可达2倍到50倍。2、动态内容加速技术：该技术通过将网站内容中相对静态的内容保留在客户端的浏览器上，因此减小了客户端发送的请求数量。减小网络带宽压力和服务器压力。应用智能缓存(ASC)完全改变了高速缓存模式，能够高速缓存种类更广泛的内容，包括高级动态web页面和XML对象。该项专利技术为F5公司独有专利技术。ASC关注应用逻辑与行为，而不仅仅是单个web对象。通过描述某项应用的高级逻辑（可高速缓存与不可高速缓存的内容、可导致失败的事件等），WebAccelerator可消除对复杂web请求的重复处理。借助应用智能高速缓存技术，WebAccelerator系统可决定何时使对象无效及如何识别可复用的内容块。直观的用户界面、功能强大、基于XML的API以及基于HTTP请求的触发装置相结合，为用户提供了功能齐全的控件，从而可使内容生效或无效。对于使用率较高的应用而言，典型的静态高速缓存仅可响应20%的HTTP请求。这是因为多数应用都十分复杂，需要与其它应用和数据库进行大量的交互操作，因此，静态解决方案并不能满足对象高速缓存的要求。借助ASC，WebAccelerator可直接响应高达80%的用户请求（此类请求占用大量计算资源），且无需利用站点的其它基础设施。 1.1网上银行应用安全变化多样的网络攻击及蠕虫病毒在企业的网络中大量泛滥，促使企业不得不想尽一切办法来提升“木桶”的高度，以此来抵挡各种类型的攻击。提到网络安全，以前人们想到的是防火墙、入侵检测、加密、认证、VPN等等一系列产品的名字。在现有的银行数据中心里，对传统的网络安全都进行了非常严密的部署，比如通过防火墙分割安全区域，使各个分区之间的相互访问都要通过防火墙进行，在防火墙上设置非常细化的安全策略，限定源和目的地IP和端口等。另外，在同一条数据通路的不同区域中，采用不同品牌，不同形式的防火墙进行安全防护。在对外的公共通路上，再部署IDS、IPS等进行进一步的安全审计和防护。以期望获得最大的安全性。对于传统的网络安全概念，这些措施有效防地范了基于网络层面的攻击，但基本上在现在银行的安全体系中，都忽略了一个重点，就是应用层面的安全。根据公安部一份信息网络安全状况调查显示，在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中，发生网络安全事件的比例为58％。其中，计算机病毒、蠕虫和木马程序造成的安全事件占发生安全事件单位总数的79％，拒绝服务、端口扫描和篡改网页等网络攻击事件占43％，大规模垃圾邮件传播造成的安全事件占36％。特别地，计算机病毒的感染率为87.9％，比上一年增加了2％。银行帐号，电子定单，财务数据等关键的应用数据通过基于WEB应用的方式进行传输时，默认都采用HTTP明文方式进行传输。现在的银行系统中存在越来越多的开放运行环境的系统，因此，数据的安全传输是一个非常重要的问题。尤其当应用部署在内网时，传输的安全问题是最容易被忽略的一个环节。一旦被非法人员获取，将使企业或合作伙伴造成重大的经济损失。 另外据一个国外的安全组织调查分析结果，目前网络中的攻击手段，有85%都是在应用层面上的攻击手段。也就是说，在所有的攻击手段中，只有15%属于传统的网络层面攻击手段，比如常见的拒绝服务、碎片等攻击手段。余下85%均发生在应用层，如SQLInjection、跨站攻击、CC攻击等手段。目前银行的安全系统构建，基本上都是基于网络安全层面进行构建，实际上可以防护的攻击手段只占所有攻击手段的15%，可以说，现有大部分银行的开放运行环境系统是非常脆弱的。这还不包括基本没有防火墙防护的封闭运行环境中的系统。为什么会造成这种情况，我们可以从目前产品的安全技术特色上进行分析，目前银行数据中心内主要有以下三类安全产品部署：1、基础防火墙类，主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件处理等，其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略。2、IDS类，此类产品基本上以旁路为主，特点是不阻断任何网络访问，主要以提供报告和事后监督为主，少量的类似产品还提供TCP阻断等功能，但少有使用。3、IPS类，解决了IDS无法阻断的问题，基本上以在线模式为主，系统提供多个端口，以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容，解决传统防火墙只能工作在4层以下的问题。和IDS一样，IPS也要像防病毒系统定义N种已知的攻击模式，并主要通过模式匹配去阻断非法访问。在这几类产品中，通过如何定制控制策略，就可以分辨出什么是主动安全，什么是被动安全。从安全的最基本概念来说，首先是关闭所有的通路，然后再开放允许的访问。因此，传统防火墙可以说是主动安全的概念，因为默认情况下防火墙 是关闭所有的访问，然后再通过定制策略去开放允许开放的访问。但由于其设计结构和特点，不能检测到数据包的内容级别，因此，当攻击手段到达应用层面的时候，传统的防火墙都是无能为力的。IDS的特点是不能阻断攻击流量，只能是一个事后监督机制，因此在其后出现的IPS，基本上所有的IPS系统都号称能检查到数据包的内容，但犯了一个致命的错误，就是把安全的原则反过来了，变成默认开放所有的访问，只有自己认识的访问，才进行阻断。从另外一个方面，由于在线式造成的性能问题，也不能像杀毒软件一样进行全面而细致的安全审计。因此大多数的IPS在实际运行环境中都形同虚设，通常只是当作一个防DDOS的设备存在。IPS尤其对于未知的，不在其安全知识库内的攻击手段，则无法进行有效的识别并进行阻断。并且，由于在线式造成的性能问题，在大多数的IPS部署方案中，很难对全部的流量开启所有的模式分析，因此，当银行面临真正的应用层攻击时，这些安全手段都无能为力了。在应用交付网络中，通过应用层主动安全体系来解决现有的问题。在主动安全的体系中，彻底改变了IPS的致命安全错误。其工作在协议层上，通过对协议的彻底分析和Proxy代理工作模式，同时，结合对应用的访问流程进行分析，只通过自己识别的访问，而对于不识别的访问，则全部进行阻断。比如在页面上的一个留言板，正常的用户登录都是填入一些留言，提问等，但黑客则可能填入一段代码，如果服务器端的页面存在漏洞，则当另外一个用户查看留言板的时候，则会在用户完全不知道的情况下执行这段代码，这叫做跨站攻击。当这段代码被执行后，用户的本地任何信息都有可能被发送到黑客的指定地址上。如果采用防火墙或者IPS，对此类攻击根本没有任何处理办法，因为攻击的手段、代码每次都在变化，没有特征而言。而在采用主动安全的系统中，则可以严格的限制在留言板中输入的内容，由此来防范此类跨站攻击。又如常见的认证漏洞，可能造成某些页面在没有进行用户登录的情况下可以直接访问，这些内容在防火墙或者IPS系统中更加无法处理了。因为他们的请求和正常的请求完全一样，只是没有经过登录流程而已，因此不能进行防护，在主动安全体系里，可以对用户的访问进行流程限定，比如访问一些内容必须是在先通过了安全认证之后才能访问，并且必须按照一定的顺序才能执行。因此，工作在流程和代理层面的主动安全设备可以进一步实现应用系统的真正安全。 F5针对在传统安全领域里的薄弱环节，推出应用防火墙技术产品ApplicationSecurityManager，ASM最高可支持到应用层面的主动安全模式。通过对请求识别和流程识别，可以防范未知的HTTP应用层面攻击模式。在当今世界，Web应用将请求用户进行输入，此后根据用户输入内容制定下一步决策。在输入离开用户机器之前，输入内容非常容易受到客户端用户或任何恶意代码的控制。如果用户输入在抵达应用之前未经验证，那么应用就可能存在漏洞，该流程上的任意一点均可能受到攻击。针对此类攻击，ASM将验证所有可访问的数据，并隐藏参数数据，防止外界获知用户状态和应用流信息，从而实现对应用的有效保护。虽然公众可以使用Web应用，但这并不意味着一般公众可以访问Web应用的任何部分。URL浏览攻击是针对应用架构的最为普通的攻击，其中包括修改URL路径和目录的名称、开放私有区域内容供搜索引擎抓取(GoogleHacking)等。熟悉应用的用户经常能猜测或检测出浏览器被强制的原因，甚至会完全修改cookie的访问权限，以确保不再访问禁用地址。ASM基于其对用户与Web应用交互的全面理解，以及对用户在浏览会话过程中用户环境和用户状态的深刻理解，可有效防止此类非法操作。ASM采用主动式安全模块，仅允许已知的、可接收的流量通过，而不只是简单地分析或阻止已知的攻击签名。依赖于已知签名攻击列表的设备将无法防御那些寻找特定应用独特漏洞的用户的特定攻击。BIG-IP和特别定制应用安全模块的硬件及已申请专利软件能够实时检测无模式漏洞入侵(PatternlessExploit)并将其不利影响降至最低，能够为现有防火墙和IDS设备提供准确的保护，同时可弥补其无法有效处理基于HTTP和HTTPS安全威胁的不足。ASM可以隐藏您的Web基础设施，从而黑客将无法区分您正在运行网络中哪一台服务器。ASM能够删除信息头中有关操作系统和Web服务器的标识信息（如版本号、消息、签名和数据流指纹(fingerprinting)等）、隐藏来自用户的 HTTP错误信息、从发送给客户的页面中清除应用错误信息，并能检查并确保服务器代码或专有HTML注释没有泄漏至公开的Web页面。ASM还能作为反向代理，为Web服务器、SSL密钥管理、负载平衡和故障转移处理提供SSL加速、终止和重新加密功能。在银行的网上银行系统中，可以根据业务处理流量的大小，灵活的选择采用与负载均衡组合的ASM模块或者是独立的ASM设备。1.1网上银行广域网算法实现和优化在现有的多链路解决方案基础上，通过GTM解决动态域名解析，同时为多站点结构的网银作预先的铺垫：GTM逻辑定义结构图在GTM内部，系统逻辑结构定义如下：如图：对于每一个VS，都分布在多条链路上，并且与该链路的状态进行绑定。GTM从LC上主要获得以下信息：l链路的健康状态l链路的带宽使用率lVS的状态。 RTT原理（用户选择最快的服务站点）RTT的全称是roundtriptime,就是指由各省级骨干边缘节点到各省localDNS的访问发起到接受回应的时间,不同的各省localDNS的RTT时间的收集对比,可以产生实际的网络就近性对比表格。具体访问流程:1.localDNS向GTM发起解析请求2.GTM接收到localDNS的请求后,通过加密通道通知LTM有一个localDNS需要进行RTT的测试3.LTM接到RTT测试请求,并向localDNS发起访问4.localDNS回应LTM的访问请求5.LTM将localDNS的回应的延迟时间等相关信息返回给GTM6.GTM经过接受各LTM的回应,存储并判断后将最优的地址返回给localDNSLTM可以选择多种测试方法判断对localDNS的RTT时间,包括:DNS_Dot:向localDNS发起一个包含”.”的测试,也就是root,希望得到一个root列表清单。DNS_REV:向localDNS发起”PTR”的测试,希望得到相应的domain名称。UDP:发起一个UDP的包,看是否回应TCP:发起一个TCP的包看是否回应ICMP:发起一个ICMP的ping包,看是否回应Topology原理（静态地理位置就近性）在GTM上，可以根据用户的LocalDNS地址来决定给用户返回哪个地址。在GTM在配置的时候预先根据访问规则,定义不同的IP网段或省级用户分类访问相应的datacenter或pool。当用户的LocalDNS发起请求连接GTM的时候，GTM将根据LocalDNS所位于的区域返回给LocalDNS适当的链路侧服务器地址，引导用户从正确的线路进行访问。Topology在不同的环境中得到了很多应用，在功能、稳定性和性能上都有非常优异的表现。一个典型的topology表结构如下：topology{//4Items //serverldnsscoredc."CNC"202.106.0.0/16100dc."TEL"219.172.0.0/16100dc."CNC"200.100.0.0/16100}通常，我们采用地理分布算法作为第二算法。当动态检测机制无法检到LocalDNS就进性的时候，将启动静态算法，将在地址范围列表之内的用户定义到正确的线路上去。如果用户的LocalDNS即不可被动态RTT计算所检测，又不在本机对应的地理分布表中。此时就需要采用全球可用性算法引导用户到默认的线路上。1数据大集中系统的高可用性建设1.1数据大集中的形式对于商业银行而言，数据中心建设存在有两种方式：1，从一开始就是以数据大集中模式进行建设，所有的应用系统服务器均位于总部的数据中心内，大部分的城市商业银行都是采用这种模式。2，通过合并多个商业银行形成的组合模式，在这种模式下，应用相对比较分散，都需要一定的时间将应用进行数据大集中。对于组合模式，或者存在有距离较远的多家分支机构的情况下，数据大集中通常分为两个步骤进行1，物理集中，将位于各个分支机构的应用服务器系统迁移到总部机房，每个分支机构仍然使用原有的系统处理生产业务。2，逻辑集中，在物理集中后，根据整合的业务情况，对应用系统进行整合，实现每个分支机构都是用同一套系统。数据大集中后，对于管理人员来说考虑的重点主要有两个：1，系统高可用性：集中带来的管理、维护的好处是显而易见的，但随之而来的主要问题就是如何保证系统的高可用性，因为如果集中后的系统出现故障，则影响的范围将是全行业务的影响。2，系统性能:业务集中后，所有的用户业务都在同一套系统处理，因此对于系统的性能规划，运维提出了更高的挑战。1.2高可用性技术比较目前对于高可用性技术而言，主要采用的有两种： 1，由操作系统厂商提供的软件HA，安装在服务器操作系统基础上，通过对服务器的硬件状态判断以及对端设备心跳信号的处理来实现冗余切换。2，由应用交付厂商如F5的BIGIPLTM的主要功能就是负载均衡。负载均衡是通过外部的硬件设备，对多台服务器，多个应用实现流量的动态分配。两种技术的对比如下：HA/cluster负载均衡需要条件需要应用程序在应用层的软件和硬件支持，往往需要应用程序厂商提供。需要应用协议在传输层的支持，与厂商无关。性能HA/cluster如果采用双机acitvie/standby模式，则会造成至少一台服务器的投资浪费，性能只有1台服务器提供。如果是active/active模式，由于是软件实现，性能一定小于服务器性能之和负载均衡技术可以保证所有服务器同时提供服务，而且服务器数量几乎无限制。性能为所有提供服务的服务器性能之和。稳定性不考虑意外因素，理论上很稳定专用的硬件设备，稳定可靠安全性几乎没有安全保护负载均衡设备在服务器前提供了一层安全保护扩展性很难在线时时扩展，添加服务器时可能需要停机。非常便于在线时时扩展，对用户完全透明。应用监控大多数情况下，只能监控到服务器硬件工作状态，不能真正判断业务运行健康状态通过外部模拟客户端访问应用系统，可以准确的检测到系统的运行状态可复用性只支持特定的操作系统和应用系统，不同的系统之间无法共享功能可以支持不同的操作系统和应用系统，资源可以共享和重复使用从以上对比可以看出，软件HA系统与硬件负载均衡之间的主要区别点在于资源是否可共享和重复使用。在使用HA技术的时候，用户购买的产品被限定了使用的服务器、操作系统甚至是CPU数量以及机器序列号等。一旦使用，则不能迁移或用于其它系统。而使用外部硬件负载均衡设备的情况下，则可以多套应用系统共用一套硬件负载均衡设备，并且可以灵活的进行系统迁移，后台维护等操作。1.1数据大集中下的应用交付部署模式应用交付网络的部署对于银行IT架构来说，是一个不小的挑战。应用交付设备的位置位于网络和应用之间，即有别于传统的网络设备，又不能完全处理为一台服务器设备。因此，必须从架构设计入手，建立规范化的应用交付网络部署，才能顺畅的实现安全、优化、高可用的目标。 在当前F5公司已经实施的案例中，存在有三种主流结构：l集中式在集中式部署的的应用系统中，在每一个数据中心全部选用高端产品，在设备性能允许的情况下，将所有的应用都加在一对设备上，并对设备处理的安全运行范围进行规范化限定。在一对设备的处理能力快达到极限的时候，再扩充新的应用交付设备，部署更多的应用。通常情况下，在集中式部署的应用系统中，同一个应用通常在多个数据中心存在，因此在一个数据中心出现故障时，不会影响到最终用户的访问。l分布式在分布式部署的应用系统中，将应用进行细化，然后按照应用的类型和资源消耗进行分类，部署在若干对中端产品上。通过降低产品性能要求和业务分类细化，降低了业务风险。l小规模集群式在小规模集群式部署的部署结构中，对应用交付区域进行统一规划，按照业务类型的不同，在网络中的几个隔离业务区内分别部署应用交付。同时，对每一对应用交付控制设备上的应用种类和应用数量进行限制，以避免过多个核心业务放在一对设备上导致风险性增加。在实际使用中，具体的部署结构是根据业务的类型和风险的承担能力来进行设计。设计结构优点缺点集中式部署统一管理，应用交付设备利用率高。一次性投资较大，风险集中分布式部署风险小，一次性投资较小管理维护复杂，总投资通常大于集中式小规模集群式部署统一规划，集中管理，风险分散需要很强的全局规划设计。并且设备需要有很灵活的处理能力 采用小规模集群式部署模式，在银行的每个数据中心和各分行的网络结构中，按照业务功能和安全管理需求将各系统划分为多个隔离区，在每个隔离区内对应用交付设备进行统一规划，集中管理。并且针对应用类型的不同，对应用的分布进行分布化实施。在大部分银行的系统中，分为内网、办公网和外网三个部分，其中内网主要负责内部生产业务系统，基本上为一个完全封闭的运行环境，但其中也包括了一些和外部机构如信用卡机构、人行等外联机构的专线接入。办公网主要是用于内部办公系统，包括公文流转，内部站点和邮件等应用系统。其中邮件系统具备Internet接口，在一些银行，办公网还可以通过代理服务器的方式访问Internet。外网的范围较小，主要是位于网上银行的外部接口。在大型银行系统中，网上银行和办公网上Internet为不同的链路接入，在中小型银行中，则通常使用同一条或多条链路用于网上银行和办公网上Internet。因此建议在开放运行环境的应用系统中部署DMZ区，在DMZ区部署的应用交付设备上配置相应的SSL加速功能。将所有从外网访问的请求均转化为安全的HTTPS访问。在封闭运行环境中，则可以按照应用的安全级别需求将内网划分为多个隔离区，在每个隔离区内部署应用交付设备。针对内网的应用部署，则建议针对重要的B/S应用采用SSL通道进行通讯层封装，保证数据的安全传输，对于其他应用则可以使用HTTP方式进行访问。在小规模集群式部署中，在享用统一规划，集中管理的好处的同时需要注意应用的复杂性，因此可以利用应用交付设备的可编程控制接口，以承载各类不同的应用系统。另外，在系统应用成熟后，还可以通过API接口开发自定义的设备管理系统，将许多种不同的应用通过应用交付设备的健康检查功能进行统一的监控和管理。 在每个隔离区内，可以按照应用的种类和重要性决定使用应用交付设备的数量。比如核心A类应用必须分布在不同的应用交付设备上，而次要的B类应用则可以多个应用在同一对设备上。同时，限定每一对应用交付设备的负责应用数量不超过10个。在每对应用交付设备上达到一定数量时，则增加新的应用交付设备。对于一些关键的业务，则可以考虑单独使用一对应用交付设备。在进行集中规划的同时，建议考虑数据集中和多数据中心并行处理，将同一个应用分散在两个或两个以上的数据中心。进一步降低风险和保证应用的性能。通过数据中心虚拟化系统的建设统一应用的安全部署。1应用级备份数据中心建设当银行业务系统发展到一定规模时，则需要开始进行备份数据中心建设以保证业务的数据中心级高可用性。在不同位置建立的两个数据中心（同城或者异地），通过多种广域负载均衡算法使站点之间保持高智能的静态和动态负载均衡，使流量能在两个主站点中均衡分配，提高系统整体性能。当某个站点出现访问故障或压力过大时，GTM利用其完善的健康检查机制及时检测到故障，并透明的将用户流量导向到其它正常工作站点，从而避免了单点故障，提高系统的高可用性和高可靠性。GTM在将用户导向到不同的数据中心的时候需要以下因素：站点故障、软件故障、内容错误、网络故障、网络流量过载等，通过定期与每一个站点进行通信，然后根据通信过程中得到的参数将客户的请求传送到性能最佳的站点。其中可采用RTT探测方式检测站点响应时间，从而将用户访问请求导向到性能好的站点，解决用户访问速度慢，以及电信和网通用户互访存在的访问速度慢的问题；或者通过采用定义topology方式实现用户地理位置就近性的访问。所有站点提供7x24的服务，保证系统的高可靠性、高可用性。 多站点分布式处理与单站点处理的主要不同点在于存在两个数据中心，但在大部分的情况下，数据库还是只能使用一个数据库作为主数据库，因此涉及到数据库远程访问的问题。根据应用的类型不同，以标准的Web-APP-DB的三层架构应用为例。F5建议有两种方式：1.1Web->APP通过广域网Web-APP通过广域网主要适合于一次客户端请求，应用服务器需要对数据库进行多次查询的应用特点。将需要多次交互才能得到结果的部分在局域网内完成。减小在广域网上的多次来回以减小延迟带来的影响。当双中心距离较远，通常是在不同城市的情况下，采用Web-APP跨越广域网模式可以极大的减小由于广域网延迟带来的数据库压力。但这种工作模式的最大缺点是备份中心的APP服务器平时是处于备份状态，没有真正的发挥作用。 1.1APP->DB通过广域网APP-DB通过广域网主要适和于在应用服务器一次查询得到结果后，客户端需要多次请求才能获得全部结果的应用特点。同样的道理，将需要多次交互才能得到结果的部分在局域网内完成，减小在广域网上的多次来回以减小延迟带来的影响。通常情况下，当主备数据中心位于同一城市的时候，广域网延迟较小(<1ms)的情况下，采用APP-DB跨越广域网模式可以取得最佳的设备资源利用率。 无论采用哪种方式，均可通过BIGIP或者内网GTM实现站点间的高可用性，保证在任何一个数据中心只要有同一应用的一组服务器在工作，就可以实现用户访问的不间断。1国内商业银行应用交付技术使用概况1、基本上，所有国内大型银行的网银部分都采用了F5解决方案：除了个别的银行外，几乎所有的银行的网上银行系统全部都采用了F5的解决方案。2、几乎所有的网银都使用SSL加速，部分已开始使用Oneconnection、HTTP压缩等技术：SSL加速在大多数家银行已经使用，最长的已经有7年的时间。OneConnection主要用于Web和应用服务器层面之间，减小服务器压力。HTTP压缩在某些应用上开始部署，取得较为显著的效果。3、大型银行开始有目的的或有选择性的使用Web应用加速技术和产品：基本上在网银应用上的使用还不是很普及，但现在很多行已经意识到F5的解决方案可解决用户体验等业务部门关心的问题，已经开始逐步通过测试的方式在使用。4、多家银行已经部署了基于GTM实现数据中心内网和网银业务的多点接入：大多数银行已经购买和部署了基于GTM的广域网应用交付解决方案，并且有多家银行已经实现了多数据中心和网银业务的多点接入方案（多数为双活数据中心方式）。5、多家银行已经部署了应用防火墙产品：已经有多家银行部署了应用防火墙，对网银或其它业务进行应用级的保护，配合IDS和防火墙系统，实现全面、立体化的应用和业务安全保障。2F5银行应用解决方案列表：由于篇幅所限，在此无法对F5应用交付网络在商业银行中的应用解决方案一一进行描述，F5在商业银行的解决方案如下列表：1、网上银行多链路接入2、网上银行多数据中心并行3、网上银行SSL卸载加速4、网上银行应用安全解决方案5、网上银行应用加速解决方案 1、内网多中心并行/应用级灾备系统2、数据中心间数据传输加速、带宽节省3、反洗钱系统高可用解决方案4、银联接口高可用解决方案5、中间业务高可用解决方案6、图形终端服务器高可用解决方案7、字符终端前置服务器高可用解决方案8、商业银行OA出口加速解决方案9、OA系统远程安全接入10、主机前置系统高可用解决方案11、Callcenter数据库服务器高可用解决方案12、内网B/S应用优化及带宽节省解决方案13、交易前置大集中高可用解决方案当需要了解以上更多解决方案的时候，可以与F5中国各地办事处联系。