金融行业解决方案

继承运营商YMOS基因,HA高可用性,ALL in One,提供分权分域管理能力,支持N+1灵活部署,提供安全数据同步机制,提供智能选路、智能流量调度能力

1.前言

由于关键的商业应用转向TCP/IP,且许多传统的互联网服务变成关键性任务,企业开始——有时是不自觉地依赖域名系统。随着活动目录的引入,甚至企业的桌面系统也要依赖域名系统。作为活动目录域成员的计算机通过在域名系统中查找特定的记录来定位它们的域控制器。如果一台计算机不能找到这些记录,它就找不到域控制器—— 于是就不能访问任何该域的服务。这可能意味着那台计算机的用户甚至不能登陆。

域名系统的复杂性在过去30多年里已经变得令人生畏。至今为止最普遍的域名服务器的实现——BIND域名服务器——最初的文档只占Unix用户手册的一页,如今最新版本的BIND域名服务器文档,被称为管理员参考手册(ARM),有187页长.。另一个使情况更复杂的额外因素是几乎所有域名服务器都需要一个通用操作系统。您无法只建立一个域名服务器而不涉及对上层服务器操作系统的管理。更为复杂的是,这些流行的开源系统实现,管理业务是分离的手工命令方式,效率低,灵活度差。

自从1997年发生第一起针对域名服务器的攻击,域名系统已经变成受黑客们青睐的一个攻击目标。直接对域名服务器攻击的服务拒绝攻击(DDOS)已经变得常见,它切断公司和它们用户之间的网络连接。除了安全风险问题,和其它核心网络服务一样,域名服务面临着服务的可用性问题。在任何有效的域名系统架构里都必须实现软件和硬件的冗余。

2.需求与挑战

互联网金融需求快速增长,网络支付、投资、融资网络化应用已经成为金融业务的主流业务,这些业务都依赖DNS,DNS请求爆炸性增长。2009年6月,银监会发布《商业银行信息科技风险管理指引》,银监会要求RTO(故障恢复时间)小于数分钟,RPO(故障恢复点)等于0,基于DNS技术建设两地三中心,双活宕机切换成为商业必须完成的任务;由于业务量的指数型增长,基于4层的服务器负载均衡暴露出业务调度的局限性,造成大量的业务拥塞于网络安全设备,作为关键业务,必须在4层之前合理调度服务器的负载。虚拟化、私有云在金融网络基础设施里越来越普及,在提供网络需求的敏捷性和伸缩性的同时,带来了统一集中、动态、灵活管理DNS、DHCP、IPAM的难度;虚拟资产的可视化管理,DNS、DHCP、IPAM的联动才能大限度地发挥虚拟化、私有云部署策略的全部潜力。业务对域名的严重依赖,使得权威域名解析的安全越来越重要,域名服务的公共组织,由于服务节点少,服务面广,重要的金融域名资产很容易受到攻击的牵连;本身域名的安全防护是一个专业问题,基于通用防护手段难以根本性解决问题。金融服务是一个庞大的体系,网络基础设施庞大且复杂,内部办公的上网需求,海量月度电子邮件对账单发送,都是对DNS系统性能的一个考验,同时多出口的链路负载,又能为内部办公提供良好的上网体验。在庞大的金融网络基础设施管理中,安全问题是重点问题,众多的安全区域划分及分区管理机制,可有效解决安全问题的隔离于扩散,各个安全区域中的域名管理同样要遵循这种分级分区域的权限细化管理机制。

3.SmartDDI解决方案

  • 处理复杂性
    • All in One,可视化管理

处理域名系统复杂性的一个途径是使用能让管理员集中式地管理服务的系统,而不是一台一台主机地进行管理,使用图形用户界面将管理员从令人费解的易错的配置和数据文件格式中解放出来。牙木SmartDDI产品将DNS、DHCP、IP地址等系统集成在一个工业级超高稳定的硬件设备中,提供基于Web的图形化展示、配置界面,简化了系统的使用难度,提供系统管理效率。

    • 分权分域管理DHCP、IPAM和DNS

金融数据、网络的安全管理是及其复杂的工作,通常情况下是按照其组织结构或网络安全域的划分进行管理。DNS、IP地址管理以及DHCP服务通常也需要按照这个安全域进行功能和职责划分进行管理。DDI系统按照安全域分布部署,通过全局DNS调度系统调度DNS业务,各个安全域管理员管理各自域内数据。

    • IPAM、DHCP、DNS联动管理,提供丰富的APIs,灵活智能应用交付

IP地址自动分配、管理以及DNS服务作为应用交付的必要手段,SmartDDI创造性地提供了联动机制,为服务器健康检查、四层负载均衡、私有云管理等提供丰富接口,简化应用交付流程,可视化虚拟资产管理,提供灵活、智能应用交付能力。

  • 解决可用性
    • “两地三中心”容灾备份

“两地三中心”一般指的是一个生产中心、一个同城灾难备份中心、一个异地灾难备份中心。通常生产中心的数据同步地复制到同城灾难备份中心,同时生产中心的数据异步地复制到异地灾难备份中心,即实现同城灾难备份中心的零数据丢失。数据中心的服务器都不可用时,通过DNS回应方式把客户的请求导向第二数据中心,对于其它无影响的应用可以根据用户要求继续保留在第一数据中心处理。于是,就可以实现基于应用的数据中心切换。通过DNS智能解析方式根据用户实际需求把流量导向各个数据中心,实现了多活数据中心共同承载业务流量。

    • 办公安全区域互联网应用,实现互联网出口链路负载均衡

基于安全性等因素考虑,互联网多出口是金融网络基础设施中的必要配置,作为承载业务的基础设施,必须合理调度出口流量,保证出口带宽的合理利用。办公域是一个重要区域,对于多链路出口的负载合理分配,可以保证金融业务的正常使用,提供办公效率。

    • DDNS智能交付,实现应用全球负载调度

基于4层的服务器负载均衡暴露出业务调度的局限性,造成大量的业务拥塞于网络安全设备,作为关键业务,必须在4层之前合理调度服务器的负载。SmartDDI智能解析功能,基于用户的地理信息和运营商信返回用户合理的服务器地址;结合SmartDDI的服务器健康检测状态、负载境况,在统一区域内可根据预先设定的权重灵活调度用户流量。

  • 解决安全性、可靠性问题
    • HA或者Anycast部署方式

依照网络基础设施安全性、可靠性解决方案,SmartDDI支持HA或Anycast部署方式,提供设备热备和双活能力,彻底解决传统DNS服务设备的单点故障问题。

    • Master、Slave、Member成员管理,保证数据一致性和完整性

牙木SmartDDI系统设置Master、Slave、Member三种角色,各个角色设备之间通过加密通道实现数据同步,保证数据一致性和完整性。

    • 专利技术/全方位DNS安全防护

基于安全考虑,DNS缓存、递归分离部署方式被广泛采用,这种方式可以解决部分性能和安全问题,基于BIND开发的传统架构方式还需要在DNS流量进入系统前进行传统的流量清洗。传统流量清洗设备不是针对DNS业务专门设计,安全处理手段有限,往往会对DNS流量误伤。牙木多层次全方位DNS防护提供专业的DNS防护。对于常见的DDoS攻击,如:DDoS反射攻击、伪造源IP DDoS攻击、DNS DDoS攻击等,均有出色的防护能力。不仅如此,对于专门针对DNS的攻击,如:缓存投毒和放大递归攻击,开发了一套专项防护措施。这套多层次专项防护技术对于DNS系统和服务的防护是全方位多维度的,提供基于数据包的过滤;IP地址、域名请求限速;服务用户范围限定;后端递归限速等等;通过牙木系统积累的授信域名,在极端情况下同样可报障系统正常服务。

    • YamuCloud安全权威域名服务

金融行业域名资产是重要资产,互联网金融服务严重依赖域名服务。因此域名的权威解析安全事关业务的正常域安全。通常部署于金融网络基础设施内的权威服务器,不能解决单点故障问题,要提供全球安全、流畅的权威解析服务,必须依托全球部署的云解析服务。YamuCloud就是基于全球部署,在各个电信运营商部署了Anycast权威节点,在自有专利技术DNS全方位安全防护下,可以确保金融域名资产的安全性和服务的流畅性。

4.优势与效益

牙木DNS凭借优秀的体系架构、超强的安全防护能力和超高的业务处理能力赢得了市场,在中国超过25个省的电信运营商部署了牙木DNS系统,每天超过3亿用户通过牙木DNS系统访问互联网,日请求量高达1万亿次。牙木DNS具备如下几个方面的优势:

  • 电信运营商基础YMOS
  • All in One
  • 分权分域管理
  • 数据安全同步
  • 支持HA/N+1灵活部署
  • 全球分布稳定安全的YamuCloud服务
  • 丰富的APIs

联系我们 电话:021-23585588 传真:021-23585500 商务合作:sales@yamu.com 技术支持:support@yamu.com

沪ICP备17042141号