A10银行应用交付解决方案

1、 SOLUTIONA10银行应用交付解决方案目录 TOC o 1-3 h z u HYPERLINK l _Toc502169164 1、前言 PAGEREF _Toc502169164 h 6 HYPERLINK l _Toc502169165 2、应用交付控制的驱动力 PAGEREF _Toc502169165 h 7 HYPERLINK l _Toc502169166 3、应用交付控制的概念 PAGEREF _Toc502169166 h 7 HYPERLINK l _Toc502169167 4、银行信息系统架构现状分析 PAGEREF _Toc502169167 h 9 HYPERL

2、INK l _Toc502169168 4.1、按照应用部署结构进行划分 PAGEREF _Toc502169168 h 9 HYPERLINK l _Toc502169169 4.1.1、数据中心集中型 PAGEREF _Toc502169169 h 10 HYPERLINK l _Toc502169170 4.1.2、分行前置性 PAGEREF _Toc502169170 h 10 HYPERLINK l _Toc502169171 4.2、按照连接类型进行划分 PAGEREF _Toc502169171 h 11 HYPERLINK l _Toc502169172 4.2.1、B/S架构

3、 PAGEREF _Toc502169172 h 11 HYPERLINK l _Toc502169173 4.2.2、C/S结构短连接 PAGEREF _Toc502169173 h 12 HYPERLINK l _Toc502169174 4.2.3、C/S结构长连接 PAGEREF _Toc502169174 h 13 HYPERLINK l _Toc502169175 4.2.4、开放运行环境系统 PAGEREF _Toc502169175 h 14 HYPERLINK l _Toc502169176 4.2.5、封闭运行环境系统 PAGEREF _Toc502169176 h 14

4、HYPERLINK l _Toc502169177 5、A10应用交付控制帮助银行应付挑战 PAGEREF _Toc502169177 h 14 HYPERLINK l _Toc502169178 5.1、虚拟化提高系统可用性 PAGEREF _Toc502169178 h 15 HYPERLINK l _Toc502169179 5.2、 应用优化提高客户体验 PAGEREF _Toc502169179 h 17 HYPERLINK l _Toc502169180 5.3、应用安全降低系统风险 PAGEREF _Toc502169180 h 18 HYPERLINK l _Toc502169

5、181 5.4、 应用交付控制在银行IT架构中的部署建议 PAGEREF _Toc502169181 h 20 HYPERLINK l _Toc502169182 6、A10关键技术介绍 PAGEREF _Toc502169182 h 22 HYPERLINK l _Toc502169183 6.1、应用交付控制 PAGEREF _Toc502169183 h 23 HYPERLINK l _Toc502169184 6.1.1、SLB PAGEREF _Toc502169184 h 23 HYPERLINK l _Toc502169185 6.1.2、LLB PAGEREF _Toc5021

6、69185 h 24 HYPERLINK l _Toc502169186 6.1.3、GSLB PAGEREF _Toc502169186 h 24 HYPERLINK l _Toc502169187 6.1.4、aFlex自定义脚本 PAGEREF _Toc502169187 h 25 HYPERLINK l _Toc502169188 6.1.5、axAPI PAGEREF _Toc502169188 h 26 HYPERLINK l _Toc502169189 6.2、安全性 PAGEREF _Toc502169189 h 28 HYPERLINK l _Toc502169190 6.2

7、.1、应用访问管理（AAM） PAGEREF _Toc502169190 h 28 HYPERLINK l _Toc502169191 6.2.2、DDOS防护 PAGEREF _Toc502169191 h 29 HYPERLINK l _Toc502169192 6.2.3、DNS应用防火墙 PAGEREF _Toc502169192 h 29 HYPERLINK l _Toc502169193 6.2.4、SSL流量卸载 PAGEREF _Toc502169193 h 29 HYPERLINK l _Toc502169194 6.2.5、web应用防火墙 PAGEREF _Toc5021

8、69194 h 30 HYPERLINK l _Toc502169195 7、A10金融行业解决方案一览 PAGEREF _Toc502169195 h 30 HYPERLINK l _Toc502169196 7.1、业务高可用 PAGEREF _Toc502169196 h 31 HYPERLINK l _Toc502169197 7.1.1、传统业务高可用 PAGEREF _Toc502169197 h 31 HYPERLINK l _Toc502169198 7.1.2、电子渠道类业务高可用 PAGEREF _Toc502169198 h 31 HYPERLINK l _Toc5021

9、69199 7.1.3、传统外联伙伴高可用 PAGEREF _Toc502169199 h 32 HYPERLINK l _Toc502169200 7.1.4、数据中心级部署整体高可用 PAGEREF _Toc502169200 h 34 HYPERLINK l _Toc502169201 7.2、高效运维与管理 PAGEREF _Toc502169201 h 37 HYPERLINK l _Toc502169202 7.2.1、应用交付系统自身的便捷运维(操作界面，类cisco命令行等) PAGEREF _Toc502169202 h 37 HYPERLINK l _Toc50216920

10、3 AX/Thunder系列功能整合所提供的一体化解决方案在降硬件成本的同时，也节省部署和故障排除的时间和成本。管理人员无需掌握多种维护技能和熟悉多个维护界面，在一台设备就实现应用交付、DDoS防护、Web应用防火墙、用户访问控制等多个功能，降低了设备故障排除的复杂性。 PAGEREF _Toc502169203 h 37 HYPERLINK l _Toc502169204 同时，Thunder系列内置了直观型的中文网络管理界面，通过GUI上的2种操作模式（配置模式和监控模式），用户可以轻易的区分和定位常规操作的位置；通过工业标准CLI（类cisco命令行），即便从来没有碰过A10设备使用人员

11、，也能借用cisco等主流网络厂商设备的操作经验，快速的上手。Thunder 系列还可提供详实的统计报告以及主动告警功能，有助于管理员理解应用执行过程以及进一步调整应用加速政策。 PAGEREF _Toc502169204 h 37 HYPERLINK l _Toc502169205 7.2.2、针对应用系统业务流量的捕获（Traffic Replication） PAGEREF _Toc502169205 h 38 HYPERLINK l _Toc502169206 AX/Thunder系列支持特定流量捕获功能，可以通过定义Traffic Replication中的多种类型：mirror D

12、A，mirror SA等，将进入AX/Thunder 的特定流量重新引流到特定的收集分析器中，进而通过进一步分析排查可能遇到的问题。 PAGEREF _Toc502169206 h 38 HYPERLINK l _Toc502169207 7.2.3、针对应用系统业务的高级定制（外部脚本等） PAGEREF _Toc502169207 h 38 HYPERLINK l _Toc502169208 A10独有的脚本功能，基于TCL编程语言的aFleX高级脚本可以实现灵活的应用加速和负载均衡，从而克服整合传统应用、用户浏览器或Web2.0环境下最新混合应用中的问题。aFleX高级脚本实现流量定制处

13、理的示例包括: PAGEREF _Toc502169208 h 38 HYPERLINK l _Toc502169209 应用优化和可用性： PAGEREF _Toc502169209 h 38 HYPERLINK l _Toc502169210 根据内容分发流量到指定的服务器 PAGEREF _Toc502169210 h 38 HYPERLINK l _Toc502169211 根据用户访问语言匹配流量到指定的服务器 PAGEREF _Toc502169211 h 38 HYPERLINK l _Toc502169212 根据需要进行URL重写 PAGEREF _Toc502169212

14、h 38 HYPERLINK l _Toc502169213 安全性 PAGEREF _Toc502169213 h 38 HYPERLINK l _Toc502169214 丢弃含有特定字符的数据包 PAGEREF _Toc502169214 h 38 HYPERLINK l _Toc502169215 在攻击源甄别或者服务器补丁修补完成前，提供高效率的突发攻击防护 PAGEREF _Toc502169215 h 38 HYPERLINK l _Toc502169216 服务器信息屏蔽(Server cloaking) PAGEREF _Toc502169216 h 38 HYPERLINK

15、 l _Toc502169217 流量过载防护 PAGEREF _Toc502169217 h 38 HYPERLINK l _Toc502169218 数据保护 PAGEREF _Toc502169218 h 38 HYPERLINK l _Toc502169219 在Thunder上实现HTTP到HTTPS的转换，对于浏览器是透明的 PAGEREF _Toc502169219 h 38 HYPERLINK l _Toc502169220 今流量进出双向的深度包检查 PAGEREF _Toc502169220 h 38 HYPERLINK l _Toc502169221 用户敏感数据泄漏防护

16、 PAGEREF _Toc502169221 h 38 HYPERLINK l _Toc502169222 7.2.4、多设备统一管理系统(aGalaxy) PAGEREF _Toc502169222 h 38 HYPERLINK l _Toc502169223 A10 aGalaxy 集中管理解决方案有以下3个特点： PAGEREF _Toc502169223 h 38 HYPERLINK l _Toc502169224 1、可升级的管理解决方案 PAGEREF _Toc502169224 h 38 HYPERLINK l _Toc502169225 2、支持AX/Thunder系列所有硬件

17、和软件应用 PAGEREF _Toc502169225 h 38 HYPERLINK l _Toc502169226 3、流水线化操作降低运营成本 PAGEREF _Toc502169226 h 38 HYPERLINK l _Toc502169227 在大型网络中，多个AX/Thunder系列硬件设备，无论是物理的还是虚拟的，被部署到关键业务系统用以确保关键流量能到达他们的用户。同时，通过使用CLI命令行方式、GUI图形管理方式或者aXAPI的外部控制方式，能更加高效的对AX/Thunder系列设备进行完全的控制，随着更多的 设备被添加，集中式和自动化管理的优势就会越来越明显。 PAGERE

18、F _Toc502169227 h 38 HYPERLINK l _Toc502169228 个aGalaxy的简单使用案例，可以同时查看欧洲的SSL和备份恢复，北美洲的升级操作以及亚洲的配置检索及比对。 PAGEREF _Toc502169228 h 38 HYPERLINK l _Toc502169229 一个aGalaxy的简单使用案例，可以同时查看欧洲的SSL和备份恢复，北美洲的升级操作以及亚洲的配置检索及比对。 PAGEREF _Toc502169229 h 39 HYPERLINK l _Toc502169230 A10的aGalaxy 网络管理解决方案支持网络管理员从一个固定的位

19、置访问任意的AX设备。aGalaxy是一个健壮的网络监控和网络管理解决方案，它提供了一个直观的界面，可以执行或者自动完成各种重要的任务。例如，aGalaxy可以进行高效的集中监控，升级，SSL证书管理，基于TCL语言的aFleX脚本管理，配置，备份和恢复。 PAGEREF _Toc502169230 h 39 HYPERLINK l _Toc502169231 aGalaxy可运行在快速部署的虚拟设备上，随着越来越多的设备被启用，可以提供快速的投资回报。 PAGEREF _Toc502169231 h 39 HYPERLINK l _Toc502169232 简单的设备管理 PAGEREF _

20、Toc502169232 h 39 HYPERLINK l _Toc502169233 物理或者虚拟AX/Thunder设备的自动发现 PAGEREF _Toc502169233 h 39 HYPERLINK l _Toc502169234 适用于所有AX/Thunder系列设备的实时和集中式管理 PAGEREF _Toc502169234 h 39 HYPERLINK l _Toc502169235 AX/Thunder系列设备的配置，备份和恢复 PAGEREF _Toc502169235 h 39 HYPERLINK l _Toc502169236 集中式的ssl管理，包括证书和密钥，检索

21、，存储，部署和过期警报 PAGEREF _Toc502169236 h 39 HYPERLINK l _Toc502169237 为软件版本升级提供集中式管理 PAGEREF _Toc502169237 h 39 HYPERLINK l _Toc502169238 重启设备和关机特性 PAGEREF _Toc502169238 h 39 HYPERLINK l _Toc502169239 配置的部署和比对 PAGEREF _Toc502169239 h 39 HYPERLINK l _Toc502169240 基于TCL语言的aflex脚本管理，包括检索，存储和部署 PAGEREF _Toc5

22、02169240 h 39 HYPERLINK l _Toc502169241 事件管理和报告 PAGEREF _Toc502169241 h 40 HYPERLINK l _Toc502169242 支持通过严重程度，事件ID和其他方式进行分类 PAGEREF _Toc502169242 h 40 HYPERLINK l _Toc502169243 能直观的观察到网络的可用性，使用率，性能等准确信息 PAGEREF _Toc502169243 h 40 HYPERLINK l _Toc502169244 支持根据用户名，IP地址和登录时间等信息检索日志 PAGEREF _Toc5021692

23、44 h 40 HYPERLINK l _Toc502169245 将多个面板数据整合到实时web仪表盘 PAGEREF _Toc502169245 h 40 HYPERLINK l _Toc502169246 动态的仪表盘监控 PAGEREF _Toc502169246 h 40 HYPERLINK l _Toc502169247 基于向导方式进行系统配置 PAGEREF _Toc502169247 h 40 HYPERLINK l _Toc502169248 系统正确运行时间历史记录 PAGEREF _Toc502169248 h 40 HYPERLINK l _Toc502169249

24、可定制的事件警报/告警 PAGEREF _Toc502169249 h 40 HYPERLINK l _Toc502169250 高级管理 PAGEREF _Toc502169250 h 40 HYPERLINK l _Toc502169251 基于角色的访问控制管理 PAGEREF _Toc502169251 h 40 HYPERLINK l _Toc502169252 支持基于RADIUS和TACACS+的扩展认证 PAGEREF _Toc502169252 h 40 HYPERLINK l _Toc502169253 支持对带宽和访问限制设置黑/白名单 PAGEREF _Toc50216

25、9253 h 40 HYPERLINK l _Toc502169254 高度可扩展的管理解决方案 PAGEREF _Toc502169254 h 40 HYPERLINK l _Toc502169255 支持所有AX系列硬件和软件设备 PAGEREF _Toc502169255 h 40 HYPERLINK l _Toc502169256 简化操作，降低运营成本 PAGEREF _Toc502169256 h 40 HYPERLINK l _Toc502169257 A10网络管理解决方案提供了您网络中所有AX设备的实时的统一的视图。图形界面可以通过单个的web流量器提供快速的状态一览表。 P

26、AGEREF _Toc502169257 h 40 HYPERLINK l _Toc502169258 8、A10银行业应用案例 PAGEREF _Toc502169258 h 42 HYPERLINK l _Toc502169259 8.1、银联数据 PAGEREF _Toc502169259 h 42 HYPERLINK l _Toc502169260 8.2、中国农业银行总行北京中心金融业务网扩容 PAGEREF _Toc502169260 h 44 HYPERLINK l _Toc502169261 8.3、中国宝信外网及核心区应用交付及链路负载均衡 PAGEREF _Toc50216

27、9261 h 46 HYPERLINK l _Toc502169262 8.4、中国平安健康保险多链路出口优化 PAGEREF _Toc502169262 h 48 HYPERLINK l _Toc502169263 8.5、中国期货业协会 PAGEREF _Toc502169263 h 49 HYPERLINK l _Toc502169264 9、A10公司介绍 PAGEREF _Toc502169264 h 521、前言 银行业在我国金融业中处于主体地位。我国共有各类银行业金融机构3万多家。主要包括：3家政策性银行，4家国有商业银行，13家股份制商业银行，115家城市商业银行，626家城市

28、信用社，30438家农村信用社，57家农村合作（商业）银行，238家外资银行营业性机构，4家金融资产管理公司，59家信托投资公司，74家企业集团财务公司，12家金融租赁公司，5家汽车金融公司，以及遍布城乡的邮政储蓄机构。银行业资产占我国全部金融机构资产的90%以上。银行业金融机构包括政策性银行、国有商业银行、股份制商业银行、城市商业银行、农村商业银行、农村合作银行、城市信用社、农村信用社、邮政储蓄银行、外资银行和非银行金融机构。 国有商业银行 包括：中国工商银行、中国农业银行、中国银行、中国建设银行。 股份制商业银行 包括：中信银行、银行、华夏银行、广东发展银行 、深圳发展银行、招商银行、上海

29、浦东发展银行、兴业银行、民生银行、 恒丰银行、浙商银行、渤海银行、交通银行。 其他类金融机构 包括：政策性银行、农村商业银行、农村合作银行、外资金融机构、城市信用社、农村信用社、集团财务公司、信托投资公司、金融租赁公司、汽车金融公司、货币经纪公司和邮政储蓄银行。 中国四大银行包括中国银行、中国建设银行、中国工商银行和中国农业银行。目前，四大银行都具有办理人民币存款、贷款和消费信贷，居民储蓄，各类结算，办理外汇等业务。四大国有商业银行是我国金融业的主体，维系着国民经济的命脉和经济安全。 我国现有股份制银行 13家，银行股全面上市和融资之后，股份制银行将会迅速的扩张。为弥补网点覆盖率的先天不足，股

30、份制银行的网络银行、电子银行将成为发展热点，并且扩展目前单纯传统业务渠道的功能，向“金融门户”发展。 中国的金融电子化建设开始于70年代，二十余年来，金融电子化从无到有，逐步发展，初步形成了电子化系统的格局，并达到了一定的规模，为全面实现金融电子化打下了坚实 的基础。另外，网络技术和电子商务的革命使传统国界消失。由于信息流的全球化，物品市场、劳务市场和金融市场迅速国际化。其中，由于其数字密集的本质特征，金融市场的全球化最为迅速。因此，中国金融企业走向世界的步伐会加快。愈来愈多的中国银行、证券、基金和保险公司将会在全球范围内开设分支机构，与外国金融企业同时在海内外展开竞争。换句话说，全球化由于信

31、息化而加快。 目前几乎所有的银行业机构都已经或正在把企业信息化作为企业发展的战略之一。银行信息化规划则是实施这一战略的蓝图。银行信息化规划以整个企业的发展目标，发展战略，和银行各部门的目标与功能为基础，结合行业信息化方面的实践和对信息技术发展趋势的掌握，提出企业的信息化远景，目标，和战略，全面系统地指导企业信息化的进程，协调发展地进行信息技术的应用，及时地满足企业发展的需要，以及有效充分地利用企业的资源。不断提升并完善银行信息化的价值是一项复杂的系统工程，它既需要软件和硬件设备的大量投资，又需要人力、物力、智力的投入。近年来，很多银行企业都加快了信息化建设的步伐，通过互联网及企业内部网（专网）

32、，宣传企业或开展电子商务；使用办公OA 系统、ERP、CRM 等信息管理系统；建立自己的门户网站等，以此提高企业核心竞争力。 因此，在网络信息技术高速发展的今天，银行信息系统网络是否高效、畅通、安全在很大程度上影响企业的生产、销售、管理等各个环节。对于现代化的银行来说，及时了解客户的需求和市场动态非常重要，建立一个高效、可靠、灵活的银行信息网络架构就显得尤为迫切。 借助A10公司近8年的金融行业研发经验，结合公司为金融行业提供的优秀高科技产品，能够共同帮助中国的银行业实现动成长企业战略，使得企业就能够在变化降临的各个阶段快速实现业务决策，化被动为主动。使得企业随市场而变，随用户而动，而银行核心

33、业务系统随企业而动；帮助中国银行业的创新模式就能够随时随地转化为满足用户需求的竞争力、满足市场变化的竞争力。使得银行系统不断创新，永续成长，成为动成长企业的卓越典范。2、应用交付控制的驱动力目前，在国内外大型商业银行中，均在启动新一代信息系统建设计划。新一代信息系统规划通过自动化、资源整合与管理、虚拟化、安全以及能源管理等新技术的采用，解决目前信息系统普遍存在的成本快速增加、资源管理上的日益复杂、信息安全方面的严峻挑战、以及能源危机等尖锐问题，从而打造与行业/企业业务动态发展相适应的新一代企业基础设施。 驱动新一代银行信息系统变革，其主要变革的动力来自于以下三点：1、 交易通道的变革，逐步的，

34、越来越多的交易不是通过传统的柜台交易系统，而是通过ATM、自助终端或者网上银行等规则的自动系统来进行。据估算，到2010年，将有50%以上的交易将会通过此类通道实现。数据中心的发展必须面向此类终端交易要求的7X24不间断交易需求。2、 数据存储量的飞速增长，按照IDC的统计数据，在金融行业中除去传统的结构化交易数据，非结构化的数据如文档类、支票影像化等数据基本上以每年100%以上的速度在飞速的膨胀中。对于非结构化数据的管理和维护，将成为数据中心存储系统面临的一个新的重要问题。3、 居安思危，在进行数据大集中后，数据的安全可靠性变得尤其重要，传统的金融灾难备份式的备份中心建设已经暴露出切换慢、能

35、源消耗大、切换风险高等弊端。因此，必须考虑多中心的并行运行。 这些挑战，不尽来自于IT基础设施所需要的高额投入，也来源于IT基础设施增长所带来的复杂度和相应的能源消耗。 因此，企业必须部署更多的技术、由于旧有的部署技术效率很低，必须部署新的架构、采取新的思维方式、获得新的突破。 而这种新的思维方式就需要采用一种全新的架构来实现，交付中心网络的出现，将有力的帮助银行建设新一代的信息系统。3、应用交付控制的概念 交付中心，首先的一个问题就是应用的发布问题。 任何应用系统都离不开物理的数据存放。数据最终都是以二进制编码方式存放在物理设备上，通常，这些都是存放在存储设备上，比如常见的硬盘、磁盘阵列等存

36、储系统上。通过服务器操作系统，可以将这些数据按照应用系统所要求的格式进行读取和写入。 服务器在这中间起到了一个桥梁性作用，一方面，服务器从物理存储设备上读取和写入数据，另一方面，服务器对外提供网络的接口，通过网络将数据进行发布。 应用系统则是安装在服务器上的软件应用，对数据进行进一步处理，应用系统包括常见的数据库系统、中间件系统等。应用系统主要完成商务逻辑运算、数据加工整理等功能。 最后，通过门户系统对外呈现一个统一的界面和接口，如Apache、IIS等Web服务器，对数据进行进一步格式化，转变成用户端可见的界面，并提供服务端口，供用户端进行访问。 所有的存储、服务器、应用系统和门户系统都部署

37、在数据中心里。ISP则是连接用户端和数据中心的桥梁。最终用户通过ISP提供的链路资源访问到数据中心，并最终通过门户系统、应用系统和服务器系统来读取和写入应用数据。这样，就完成了整个应用的发布过程。 交付中心中所有中间环节就是让最终用户可以输入和使用位于数据中心的数据。应用则通过不同的展现手段，提供给终端用户不同的内容。 在应用发布的整个过程中，直接性的，信息主管面临以下问题：应用整合:随着企业自身的发展，对IT信息化建提出了更高的要求，因此应用系统的整合度越来越高，所以对服务器的性能、高可用性方面的要求也随之提高。服务器整合:在应用整合后，服务器的整合随即变得非常的重要，如何使位于数据中心的服

38、务器资源得到合理的共享、动态调配，降低能源消耗，已经现实的将问题摆在了信息主管的面前。安全攻击:从DDOS到SQL Injection，各种类型不同的攻击手段，都在影响着交付中心的顺畅，轻则导致应用变慢、不顺畅，重则导致业务中断、系统瘫痪。用户分散加剧:目前大部分银行的业务系统都从最初仅面向一个营业网点或者一个小范围的客户群体，发展到面向全国甚至全球的使用者。用户分散加剧也导致了交付中心的环境变得越来越恶劣。SOA建设:银行业务的复杂性，需要SOA架构来进行多应用，多协议的整合，信息主管需要有完善的架构设计理念和实施部署方案，实现这些不同种类的应用的最佳部署结构。针对交付中心的各个环节中的薄弱

39、点，A10 交付中心方案提供了端到端的解决方案。应用整合：通过对应用系统的深层次识别和各种应用加速技术，提高应用系统的访问效率和响应速度。服务器整合：通过使用本地负载均衡、应用优化设备，实现服务器的高可用性、高安全性和可扩充性。安全攻击：通过网络层安全防护、应用层安全防护和传输通道加密技术，提高系统的整体安全性。用户分散加剧：通过广域网用户引导、多链路用户引导等技术，引导用户选择最佳的数据中心，通过最佳的链路到达应用服务器。SOA建设：通过多协议、多平台的支持，对应用中的各种协议流量进行分析，实现精确引导和应用发布。 传统的数据网络主要关注的是网络的互连互通，而各种新兴繁杂的网络应用，关注的则

40、是业务逻辑和功能。应用交付控制（ ADC ）的理念则将重点放在了这两者之间的地带，在现有架构的基础上，实现应用交付的快速、安全和高可用。4、银行信息系统架构现状分析在所有的行业中，银行业属于率先实现全面的信息化，实现了业务的核心处理。传统银行在信息化建设中，根据其自身的特点以及涉及的区域大小，在前期规划中均采用了以网络连通性为核心的规划理念，如下图所示：网络规划中采用了以由两个或多个数据中心和省行网络构成核心一级网，而由省行到各支行构成二级网络，用于连接银行内部用户、分支机构、合作伙伴等并提供关键网络应用发布。通常，在数据中心，还存在有Internet接入以用于网上银行等开放电子渠道业务。在银

41、行的实际运行环境中，其业务系统非常庞大而且复杂，很难通过一些很明显的界限对其进行划分，本书从应用部署、高可用性架构、连接类型和运行环境几个方面对系统进行了大致的划分。并根据每种运行环境进行分析。重点在于发现在当前银行运行环境中可能出现的问题和薄弱环节。 4.1、按照应用部署结构进行划分在大型国有银行中，基本上都实现了数据大集中。即所有的核心业务数据都存放在两个或多个数据中心的核心设备上。在数据中心之间实现实时的数据复制，保证核心数据的安全可靠性。在中小型银行中，也基本上根据自身的业务发展需求，建立了容灾数据中心或者是建立了数据备份中心，以保证核心数据的安全可靠性。在数据大集中建设完成后，应用系

42、统基本上以总行的数据中心为主要存放地点，在分行仅存放一些中间数据或者非关键交易数据。在这种结构下，应用的访问存在两种基本模式:4.1.1、数据中心集中型在数据中心集中型的应用系统中，所有的数据均存放在总行的数据中心，包括应用服务也是部署在数据中心内。使用者通过柜台-地市级分行-省分行-数据中心的通路直接访问位于数据中心的业务。由于集中进行部署，使应用系统的版本维护和功能调整更加容易。到目前为止，大部分此类应用均以客户端浏览器访问模式（B/S）为主，即终端通过浏览器，直接访问数据中心的Web服务器或者应用服务器。这样，当应用需要调整或者更新版本的时候，直接更换在总行数据中心的服务器即可投产新的应

43、用版本，而不需要再将新版本应用客户端软件分发到使用终端。大大的节省了软件的维护成本。数据中心集中访问的应用系统所带来的一个最主要的问题点就是终端到数据中心的带宽占用较大。在一些使用范围较广的应用系统中，每个终端都需要直接访问数据中心，这样，就给骨干网带来比较集中的压力承受点。并且和传统的C/S 应用结构相比，B/S 应用本身就需要耗费较多的传输带宽在图片、HTTP 显示结构、包头等开销上。4.1.2、分行前置性分行前置型应用系统通常为银行的核心业务系统。其发展和演变由最初的未集中式的应用部署结构而来。在分行前置型业务系统中，使用者通过“终端-分行前置-省行前置-数据中心前置-主机”的分级次数据

44、交换存取核心业务数据。是否采用分行前置型应用部署结构主要取决于终端的类型和业务的分布状况，同时，和应用的数据传输对于骨干网带宽占用也存在较大的关联。比如目前大部分的柜台终端均为字符型终端，这种终端无法直接连接到总行的数据中心，因此必须有分行的终端服务器和前置服务器进行数据预处理，然后转发到总行的数据中心。另外，一些特殊应用如电话银行等业务需要在当地处理，因此也通常会采用分行部署的模式进行。通常情况下，分行前置型应用系统都采用C/S 结构进行设计。即在终端都采用字符型终端机或者专用的客户端软件，通过TCP 长连接或者是短连接模式，和位于分支机构的前置服务器进行通讯。前置服务器在进行一些初步的数据

45、处理之后，进行本地流水号记录等操作，然后再将数据转发到数据中心的前置服务器，再由数据中心的前置服务器将数据进一步处理，转换为主机系统可识别的数据格式，将数据转发到主机系统。在主机系统返回结果后，将返回结果进行层层返回。 4.2、按照连接类型进行划分通过对银行业务系统的分析，我们可以大致将银行的应用系统按照连接类型划分为以下三类：4.2.1、B/S架构 B/S结构应用指的是用户通过浏览器直接访问的应用系统。典型的应用平台包括MSIIS(ASP.net架构)，Apache，IBM WebSphare，BEA WebLogic、Tomcat等Web服务平台和中间件业务平台。在银行业务中，B/S架构的

46、后台通常由Web服务器、应用服务器和数据库服务器三个部分组成。Web服务器位于系统的最前端，用于接收用户浏览器的请求，并对其进行判断，如果用户请求的是静态资源，则直接从Web服务器上进行返回，如果用户请求的是动态资源，则将请求转发到后台的应用服务器上。应用服务器在接收到请求后，根据用户查询条件的不同，执行后台数据库的查询指令。并将查询结果进行整理后，返回给Web服务器，再由Web服务器返回给发起请求的用户端。这样完成一笔完整的交易请求。由HTTP协议决定，所有的B/S类型的业务均为短连接模式，在一次TCP连接的过程中，只能实现一次（HTTP 1.0）或有限多次（HTTP 1.1）请求和回应。一

47、个用户端完成一个交易，会发起多次TCP连接，在每个TCP连接里进行一次或多次请求。而在服务器端，则是通过用户请求内容中的HTTP Cookie或者URI中的特殊标志位（JSESSIONID）来标识每一个用户。 在实际运行环境中，通常压力较大的部分是应用服务器和数据库服务器。为实现功能的灵活和跨平台的体系设计，银行中一般采用基于JAVA或者.Net的应用服务器系统，其特点是功能实现和部署灵活，跨平台能力强，缺点是性能较差，在大用户量访问的时候响应延迟迅速增大，同时，系统崩溃的可能性也随之增高。4.2.2、C/S结构短连接C/S 结构通常为银行自行编写的应用软件，C/S结构采用专用的客户端和专用的

48、服务器端进行通讯，每次通讯均采用TCP短连接方式进行（在银行业务系统中UDP应用非常少）。在每次TCP连接中执行一次单笔交易，即客户端发送一个请求，服务器回应一个应答。然后在客户端和服务器端都关闭连接。等待下次交易进行。在业务量较小时，C/S短连接方式比较精干，错误几率小，可靠性高，因此有较多的业务时基于此类连接方式。但是，如果在业务量较大时C/S短连接将导致服务器端频繁的建立和关闭TCP连接，造成系统性能下降。4.2.3、C/S结构长连接和C/S短连接方式一样，C/S长连接结构也通常是一些银行自行开发的应用系统中使用。另外，在一些诸如终端、中间件和IBM MQ之类的应用中也都采用了长连接的结

49、构。C/S 长连接在运行时，由客户端向服务器端发起一个TCP连接，在连接建立后，并不关闭连接，而是在同一个连接中处理多笔交易。多次的客户端请求和服务器应答都在同一个连接中进行。C/S长连接避免了在短连接模式下的服务器频繁关闭和开启TCP连接的问题。但同时，由于连接建立后并不关闭，因此，在C/S的应用中，需要进行必要的设计，避免被中间的设备如防火墙、负载均衡设备设置的TCP timeout时间到期将连接关闭的情况。另外，在设计时，也必须考虑连接如果被异常中断，如何进行重新连接的机制。4.2.4、开放运行环境系统 对于银行而言，开放式运行环境系统主要是外联系统，典型的开放运行环境系统包括：网上银行

50、系统：主要是通过互联网完成部分柜面交易，客户可以通过登录网上银行业务系统，实现帐户余额查询、转账、基金、黄金等的购买交易。作为一个大众化的电子渠道，在网上银行系统中也包含了很多和中间业务相关的业务处理。银证交换系统：主要是银行和证券公司之间的银证通讯接口。通常由银行和各相关证券公司建立交易专线。实现交易帐户的资金来往操作。中间业务系统：主要是银行和移动、联通、网通、电力公司等协作单位的接口，银行通过其柜台、自助终端或网上银行通道，完成协作单位的费用代收代缴等业务。人行接口系统：主要是银行和人民银行的支付网关之间的接口，用于处理大额、小额的的跨行转账支付交易。大客户接入系统：对于银行的一些大客户

51、，采用专线接入，保证交易的实时、可靠性。信用卡组织系统：银行和国际或国内的信用卡发卡组织之间的接口，如Visa、Master和银联等发卡组织等。在实际环境中，由于银行的业务系统庞大而复杂，因此无法在此进行一一列举。但由于银行业务特殊性，因此，在开放运行环境中的系统重点需要考虑安全性的问题。尽量采用SSL等加密传输方式和外部机构进行数据交换4.2.5、封闭运行环境系统 在银行的生产运行网络中，以账务系统为核心，柜台终端为支点，形成了一个封闭运行环境系统。在实际的生产环境中，这个系统并不是完全封闭的。因为基本所有开放运行环境中的系统的最终交易都要汇总到核心账务系统中。但从网络的角度上讲，基本上这是

52、一个封闭的内网结构，所有和这个封闭内网进行相连的外部系统都必须通过隔离网关、前置或者防火墙之类的安全设备，才能和这个封闭内网环境进行数据交换。随着基于网络化应用规模不断的扩大，银行的经营运作对网络应用的依赖越来越强，任何基于网络的应用故障，访问缓慢，服务器宕机，安全漏洞，攻击等问题的出现，都会严重影响银行的正常运作，从而降低企业生产力，丧失信誉度，影响企业形象等。在银行的生产运行环境中，存在有大量的业务系统运行在封闭运行环境中，对于这些应用而言，如何保证其高可用性往往是最重要的一个环节。5、A10应用交付控制帮助银行应付挑战在多年的银行信息化建设从无到有的过程中，银行的信息系统架构已经从以网络

53、部署为核心向一切以保证应用发布为导向的目标发展。众多银行的CIO或CTO们，正在面临如何有效进行资源整合，如何保证关键应用的发布，如何整体提高网络及应用的安全等问题所带来的前所未有的挑战。 对于每个银行来说，其内部都存在有大量的应用系统，在传统的基于网络的部署结构下，容易产生一些弊端，这些弊端包括：复杂的部署方式 由于缺乏整体的部署概念，网络和应用开发部门各自为战，而各个应用系统之间相对独立的部署，导致了应用的部署变得及其复杂。每个应用系统在部署时都提出不同的部署环境需求，导致网络部门为不同的应用系统准备不同的网络环境而致使网络结构也异常的复杂。系统利用率低 由于缺乏精确的业务增长规划，因此在

54、进行项目设计时，通常采用同期最高端的产品和设备，并由于缺乏高可扩展设计而导致资产迅速贬值，造成资金浪费。系统的可用性差 在目前的大量银行应用部署中，仍然存在有许多的单台服务器部署或者采用双机HA方式部署的系统。这些系统都存在有潜在的高可用性问题，一旦出现问题，则影响到某种业务的正常运行，导致客户投诉出现。业务灵活性低 业务处理资源消耗不均，在各银行中普遍存在，缺乏资源的动态调配系统，直接导致在一些系统处理及其繁忙的同时，其他资源基本处于闲置状态客户体验较差 开发人员在开发系统时，往往注重于系统的逻辑处理，而忽略应用的优化和高可用性设计。造成系统在面向复杂网络环境客户时，较差的客户体验。系统风险

55、高 在传统的系统设计中，安全部门往往只是关注于网络层面上的安全，偏重于传统防火墙、VPN等安全技术使用，而忽视了应用层面的安全。造成系统的高风险性存在。对于大多数的银行来说，交付中心建设都是一个比较新的概念。在银行的现有业务系统中，实际上已经或多或少的开始了交付中心建设。但都没有实现一个整体的设计和规划。 传统的银行信息系统架构由于以前更关注网络连通性的架构设计，因此在面临问题时，通常都是采用”打补丁”式的解决方案将负载均衡设备，安全网关，带宽管理，SSL加速，应用防火墙等产品添加到网络中。 这种”打补丁”式的方案虽然可以部分解决性能压力，访问延迟，安全漏洞等问题，但在实际使用中，其结果却是管

56、理费用浩大、繁杂，导致显著的应用延迟。企业仅仅是在”拆东墙补西墙”，并未真正解决问题。A10 Networks通过对网络和应用之间存在的问题进行分析，提出了以快速，低能耗，安全为核心的应用交付控制概念，通过集中式管理模式，并从虚拟化、及应用加速优化，应用安全等几个方面入手，帮助银行构架交付中心，提高系统的高可用性、利用率和客户体验，并降低应用安全风险. 5.1、虚拟化提高系统可用性银行现有应用系统中常用的OA系统，Mail系统，核心账务系统，财务系统，网上银行系统，CRM、ERP等众多的应用已成为银行日常运作的重要组成部分，任何一个系统的访问失败都会影响银行运营的进行。目前的银行数据中心内都包

57、含上千个内部/外部的业务应用系统，其关系错综复杂。然而，用户在通过网络访问到银行所发布的应用所经过的处理环节中，造成应用访问失败的原因有很多，比如：单一的Internet或专线接入链路出现的单点故障，各网络设备或安全网关类设备的异常中断，后台服务器软硬件系统的失效或日常维护时的停机重启等操作，都无法有效保证银行关键应用系统可以7*24小时不间断运行。 处于业务系统的部署需求和成本管理控制，没有任何一个银行可以采用单一的操作系统和单一厂商硬件设备来构建整个的数据中心，用户接入端的种类越来越丰富，对交付中心需求的时间要求越来越高，也带来了对系统高可用性越来越高的要求。虚拟化技术（Virtualiz

58、ation）可以有效的提高系统的整体高可用性。虚拟化技术实际上在业界已经存在很长的时间，只是目前在开始逐渐清晰，并将其作为一个主流的技术进行展现。按照不同的用户接入和应用服务层面，虚拟化可以分为很多个层次。数据中心虚拟化 虚拟化的数据中心建设，可以将两个或者多个数据中心进行虚拟化建设，使最终的使用用户感觉不到多个数据中心的存在，用户通过统一的入口访问，由数据中心虚拟化系统将用户的访问请求引导至多个实际的数据中心。同时，数据中心虚拟化系统对各数据中心的应用系统进行监控，实现业务的并行处理和灾难切换。链路虚拟化 在数据中心通常存在很多条接入链路，包括互联网接入链路和专线接入。链路虚拟化建设，可以将

59、多条接入链路进行虚拟化处理，使最终的使用用户感觉不到多条链路的存在，用户通过统一的入口访问，由链路虚拟化系统将用户的访问请求引导至多条链路。同时，链路虚拟化系统对每条链路的健康状态进行监控，实现多链路的并行处理和故障切换。服务器虚拟化 在目前主流的服务器硬件设备和操作系统级别上，均提供了不同程度的虚拟化功能。包括基于CPU的硬件虚拟化功能的系统如Citrix XenServer，Windows Hyper-V等技术，也包含了基于软件的服务器虚拟化系统如VMware。在主流的CPU如Intel、AMD、PowerPC和SPARC等CPU上，也实现了硬件的虚拟化技术，使单台服务器可以被切分为多台服

60、务器系统。从而使操作系统认为其使用的是一个完整的硬件平台。然后在后台进行资源的统一调度和管理。应用虚拟化 和服务器虚拟化技术相反，应用虚拟化技术是将运行在多台服务器系统上的多个应用系统进行整合，将多个应用系统对外整合成为一个统一的应用系统，实现应用的统一访问，再通过应用虚拟化技术将对用户的请求访问分配至不同的后端服务系统上，实现应用系统的高性能和高可用性。在一个完善的虚拟化应用系统中，所有的应用系统均要求有最大的通用性、跨平台性和各厂商的协作性。通过与相关厂商的紧密合作，实现不同系统之间的相互监控和相互操作，实现资源的动态调配从而实现真正的应用系统高可用性。 5.2、 应用优化提高客户体验 随