证券公司数据中心解决方案

IToIP解决方案专家H3C证券公司数据中心解决方案○市场需求近两年来，在各行各业的大型企业的IT规划中，广泛探讨的主题是数据中心大集中。同样在证券行业，“集中交易”也成为证券公司广泛探讨的一个热门话题。在证券行业IT建设的不断发展过程中，为了加快对市场的响应速度，对IT应用系统开发的速度提出了更快的要求，为适应这种变化，IT的体系结构从原来单一集中式模式，走向分布式模式，并逐步演变成难以控制的分散式架构。实践证明，在这种分散式架构给证券行业的业务开展带来了诸多负面效果：●资源利用率不足：设施闲置率高；●建设标准不统一：运维复杂、低效；●抵御风险能力差：信息资源分置，无法形成统一的容灾方案和业务永续计划；●安全策略不一致：安全需要整体部署，单个信息点的安全问题带来的是整网的安全隐患；●灾备复杂且昂贵：在众多的分散中心的条件下，实施相互灾难备份的费用是非常庞大的，其管理及运作是及其艰难的面对这些挑战：●如何更好的支持现有业务的运营以及新业务的开展？●怎样加强对公司众多分支机构、营业网点的管理？●怎样有效快速地分析业务数据？解决之道就是进行数据集中，建立数据中心，数据中心是放置关键业务的服务器资源、存储资源、网络资源的中心位置，IToIP解决方案专家H3C实现了对计算、存储和网络资源的可控的、集中化的管理，并提供连续性、安全性和可扩展性保障。数据集中有利于管理的集约化和精细化，也是证券公司优化业务流程和管理流程的必要手段。H3C的数据中心解决方案作为证券公司信息系统平台的重要组成部分，为集中交易系统、监控稽核系统、CRM系统、资产管理系统等业务系统提供基础的IT平台。○解决方案●数据中心之标准化证券数据中心整体的建设包含了网络、安全、存储等一体化基础平台的建设，H3C可以提供全线产品和一体化的基础平台；而对于证券数据中心的统一管理，H3C的IMC的智能管理中心可以实现对基础架构的一体化管理，可以说证券数据中心解决方案是IToIP的最佳实现解决方案。IToIP解决方案专家H3C●数据中心之高可靠随着券商之间竞争的加剧，股民对券商服务的要求越来越高，保证数据中心的高可用性，提供7×24小时网络服务成为券商建网的首要目标，也是数据中心建设关注的第一要素。导致网络不可用，即网络故障的原因主要有两类：－不可控因素，如自然灾害、战争、大停电、人为破坏等通过建设生产中心、本地备份中心、异地容灾中心，即“两地三中心”模式，通过良好的整体规划设计，保证不可控因素影响下数据中心的高可用性。－可控因素，如设备故障、链路故障、网络拥塞、维护误操作、恶意攻击等。H3C在相关产品设计上考虑了诸多因素，提供了全系列的解决方案，包括物理设备、链路层、IP层、传输层和应用层，全方位的提高网络可用性。◎硬件设备冗余，如设备双主控、单板热插拔、冗余电源、冗余风扇。◎物理链路冗余，如以太网链路聚合等。◎环网技术，如：RPR、RRPP等技术。◎二层路径冗余，如：MSTP、SmartLink。◎三层路径冗余，如：VRRP、ECMP、动态路由快速收敛。◎快速故障检测技术，如：BFD等。◎不间断转发技术，如GR等。除了产品高可用性外，H3C在证券数据中心整体设计上还提供完整的高可用方案：服务器接入高可用设计，接入层到汇聚的高可用设计，汇聚层的高可用设计。●数据中心之智能安全在深入分析证券公司IT安全形势的基础上，H3C提出基于状态演进的安全模型，把IT的安全分成：◎单机安全：单机安全强调权限管理、病毒防护、数据备份◎局部安全：局部安全强调远程接入、入侵检测、安全融合、安全协作◎深度安全：深度安全强调容灾备份、深度抵御、安全审计、流量分析◎统一安全：统一安全强调风险管理、企业内控、统一规划、统一管理随着安全状态的演进，安全向着应用智能的安全方向发展。在任何情况下，信息只存在于三种状态之一：◎计算：计算是信息被创建、修改、删除、查询以及深度处理的过程。◎通讯：通讯是信息在不同的环境之间以及环境内部传递的过程。◎存储：信息被以某种形式临时或者永久性保存的过程。安全的目标就是在保证数据在这三种状态下的安全。信息的安全状态决定安全的策略。对于数据中心来讲，信息的安全策略包括访问控制策略、补丁管理策略、攻击抵御策略、渗透抵御策略、病毒控制策略、流量控制策略、风险管理策略。安全策略的基础是基于业务的安全分区，数据中心业务安全分区的优势：◎增加新功能区更容易◎不同区域可实施不同的安全策略◎每个分区按照需求可独立的扩展◎具有发生故障时易定位、易恢复等优点因此，按照分区的思想，数据中心按照业务类型分为不同的逻辑区域，每个分区制定不同的安全策略和信任模型。从实际部署上看，又分成：◎边界访问控制◎深度智能防御◎智能安全管理IToIP解决方案专家H3C边界访问控制H3CSecPath系列防火墙是H3C公司面向企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（ApplicationSpecificPacketFilter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TPVPN、GREVPN、IPSecVPN、动态VPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。从形态上看：防火墙可以是一台独立的盒式设备，如SECPATHF1800/F1000/F100。也可以是一块网络插卡，内置在网络设备中，成为多业务融合智能网络设备，如H3CSecBladeI/II。深度智能防御H3CIPS系列产品是业界领先的IPS产品。产品以在线或者旁路的方式部署在客户网络的关键路径上（可以实现在线防御，也可以配置Layer2-back，即二层回退），通过对流经该关键路径上的网络数据流进行2到7层的深度分析，能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用，从而可为客户网络提供三大保护功能：保护网络应用、保护网络基础设施、保护网络性能。同时，H3CIPS系列产品还具有强大、实用的带宽管理和URL过滤功能，可为客户带来IPS之外的更高附加价值。智能安全管理H3C安全管理中心SecCenter可以即时收集安全事件、网络事件、系统事件、应用事件，并把原始数据转换为智能、安全、有效信息，是数据中心安全管理的有效工具。SecCenter可管理近100家主流厂商的安全与网络产品、1000余种报表的自动或手工生成、流量与攻击的实时监控、海量事件关联和威胁分析、安全审计分析与追踪溯源。总之，H3C通讯安全目标是提供面向业务的端到端的安全保障，覆盖客户端、网络和数据中心的服务器和存储系统。●数据中心之应用智能优化随着证券业务的快速发展，数据中心的性能瓶颈日趋凸现，为了解决诸如此类的性能问题，出现了流量管理产品，比如能够深度识别和管理P2P流量的路由器，产品工作在网络层以解决数据传输中的应用优化问题；负载均衡设备，产品的目标是解决服务器访问的瓶颈问题。但是这些产品不足以解决数据中心应用层的性能问题，因此H3C应用优化设备应运而生，它采用先进的连接管理技术进行TCP卸载和传输层端到端优化，考虑到SSL、压缩、加密等更多并发处理，极大的提高了数据中心的数据访问性能。SecPathASE系列是H3C公司推出的一款面向Web应用和数据中心的高性能应用加速硬件产品，它将web加速、SSL卸载和加速、压缩、TCP优化、负载均衡、防DDos攻击等技术集成在一个硬件平台上，并且每个功能模块都是由专有的硬件芯片运行。利用全硬件加速处理技术来帮助企业提高应用性能，最大可使Web服务器的性能提升10倍。同时，SecPathASE还可以提供高可用性负载均衡、快速与超智能的第4-7层交换、精细的互动控制以及其它诸多特性，为数据中心网络提供最好的保护。产品主要功能：◎TCP连接优化ASE采用TCP连接终结技术，将所有客户端的TCP连接转移至ASE，实现硬件加速；ASE与服务器之间仅需要建立少量的、持续的TCP连接。ASE使服务器从处理大量的并发TCP请求和TCP连接建立/卸载的负担中解脱出来，服务器的大量CPU资源被释放；同时，ASE与服务器之间以局域网的速度通讯，大大提高了传输效率。◎负载均衡ASE提供了完全的第4〜7层服务器负载均衡功能，可在IToIP解决方案专家H3C单一设备上支持多个应用和服务器集群的部署。ASE可以根据各种算法和要求分配用户请求，大大提高整个系统的运行效率和可靠性，降低维护成本。◎SSL卸载与加速所有SSL连接被ASE终结，ASE处理所有的SSL连接建立、握手、加密和解密工作,以高于明文的速度提供安全内容。SSL事务处理和管理的卸载，可以为服务器释放昂贵的CPU周期，极大降低系统开销，把服务器处理需求减少多达40%，从而实现应用资源的整合，提供立竿见影的投资回报。◎内容压缩ASE根据需要压缩返回用户的数据，可以将带宽占用降低60%，用户得到更快的响应，同时消除服务器处理压缩的开销。压缩功能由专门的硬件模块来完成，不占用系统资源，不影响其它功能。同时，与传统的软件压缩相比，ASE数据压缩的吞吐量和压缩速度大大提高。◎安全防护ASE集成的DDoS防护功能，能够抵御SYN，Land，Teardrop，ICMP等多种DDoS攻击。其独特的设计和结构仅允许合法的用户请求传送到服务器，并在识别攻击的同时继续向合法用户提供服务，从而为用户应用提供一道安全层。◎高峰负荷保护ASE连接和请求处理机制及其强大的处理能力能够保护服务器免于超载，使得服务器可以充分发挥其潜力，而由ASE处理高峰负荷。SecPathASE的单臂部署方案采用单臂模式，可以将ASE旁路部署在网络内部，不需要改变网络原有部署。访问Web服务器资源的用户首先要被牵引到应用加速设备ASE上，连接终结后，ASE再与后台服务器进行服务请求。由于单臂模式无需改变网络环境，因此在大大提高应用运行速度的同时，也保证了应用的可靠性，减少网络维护工作量和日常运营成本。SecPathASE的在线部署方案将ASE部署在服务器群前端，串行接入网络，为用户提供应用加速和负载均衡功能，实现对网络应用的性能提升。在线部署ASE可以为用户提供一个应用加速通路，ASE对远程用户的连接进行终结，实现应用加速与负载均衡。使用在线部署模式时，SecPathASE实现对非HTTP协议的透明转发，确保服务器上其他服务的正常应用。同时访问Web服务器资源的用户访问的是应用加速设备，终端用户并没有与Web服务器直接连接，避免了后端服务器遭受DDOS攻击。●数据中心之容灾在灾备中心建设，在灾备中心建设时，困扰券商最大的两个问题是－在证券数据大集中的趋势下，数据中心机房内的IT基础设施规模非常庞大，而且还将持续不断的增加；不同品牌，甚至同一品牌不同型号的产品之间异构问题，难以实现数据的统一管理。－长距离异地灾备系统的高成本问题，距离越长，线路的租用费用越高，建设、运维成本和能耗也越高。H3CIV5200采用先进的存储虚拟化，可以支持物理磁盘空间动态扩展，兼容传统FC存储和IP存储，这样用户现有的设备不必抛弃，可以融入系统，保障了用户的已有投资，从而降低了用户TCO，实现了存储容量的动态扩展，同时还可以实现对存储数据的统一管理，有效的解决异构问题。H3C的IP存储在长距异地灾备方面有着天然的优势，IP存储意味着IP可达即可实现，H3CWSAN实现了跨广域CDP连续数据保护，真正意义上为用户提供高性价比的解决方案。IToIP解决方案专家H3CH3C数据中心主要产品产品选购列表产品名称产品型号数据中心广域口路由器SR8800/SR6600核心层设备选型S9500交换机汇聚层设