證券局域網三層結構分析與研究

2019-11-05 03:03:28

字體：大中小

來源：轉載

供稿：網友

摘要本文著重闡述了三層結構證券局域網的結構及特點，并以一個物理上完全隔離的三層結構網絡為例進行了測試和分析。
　　要害詞三層結構中間件虛網硬三層
　　1. 概述
　　證券行業是對計算機要求很高的行業，一般說來，每個證券營業部都有自己的局域網。證券交易/行情業務數據以文字為主，僅帶有少量圖形信息，但數據量大，更新頻繁，網絡要求具有很高的可靠性、數據傳輸率和安全性。
　　2. 傳統的證券局域網結構
　　通常，傳統的證券局域網一般是以交換機作為主干的二層結構星形網絡。網絡環境大多采用100/1000M交換以太網做主干，10/100M交換以太網到桌面的連接方式。其拓撲結構如圖1所示。
　　資金服務器(Windows NT) 行情服務器(NetWare)
　　二級交換機
　　工作站二級交換機
　　工作站工作站
　　圖1 傳統的證券局域網
　　網絡一般采用C/S（Client/Server）模式，資金和交易數據主要保存在后臺的NT Server上，無盤工作站可以直接訪問前臺的Novell Server，但不能直接訪問后臺的NT Server，而后臺的PC工作站則可以在許可的權限范圍內直接訪問NT Server。這種網絡結構具有高效、易擴展等特點，但也存在一些安全性問題，主要是由于前臺系統和后臺系統存在物理上的連接，因而不能完全杜絕用戶操作無盤工作站利用某種非法手段進入后臺系統作案的可能性。且作案后一般不會留下可供追查的線索。
　　
　　3. 三層結構證券局域網分析
　　3.1 三層結構證券局域網的產生背景
　　隨著近年來網絡技術的飛速發展和Internet的普及，證券公司所面臨的被惡意或非惡意入侵機會越來越多，非凡是新技術和新思路的不斷涌現，對證券網絡的正常運行和日常維護提出了嚴重的挑戰，對信息系統的安全性、可靠性的要求越來越高，三層C/S結構的證券網絡就是針對上述情況而提出來的。這種網絡在數據治理層和用戶界面層之間增加了一層結構——中間層。這樣就將整個網絡的體系結構劃分為三層：服務器端、中間件（構成中間層的構件）和客戶端。中間件的存在，將網絡分隔為完全分離的內部網和外部網，使前端用戶無法看到后臺數據庫服務器和文件服務器，有效地防止了黑客的攻擊。中間件在系統處理能力上采用多線程技術，大大提高了工作效率，可靠性和擴展性也較二層結構強。符合中國證監會關于證券經營機構信息系統治理的“三分離”原則，即數據與網絡分離、技術與業務分離、前臺與后臺分離。被證券業界一致認為是今后交易系統的發展方向。
　　
　　3.2三層結構證券局域網的分類
　　目前，三層結構證券局域網主要有兩種模式，軟三層結構和硬三層結構。
　　3.2.1軟三層結構
　　軟三層結構主要通過虛網（VLAN）來實現。它依靠用戶的邏輯設定將原來物理上互連的一個局域網劃分為兩個（或多個）虛擬網段，劃分的依據一般是交換機的物理端口（也可以是用戶節點的MAC地址等）。劃分的結果使得同一虛網內數據可自由通訊，而不同虛網間的數據通訊則需要通過路由來完成。這樣在一定程度上加強了虛網間隔離，能有效防止外部用戶入侵，提高安全性。此外，劃分虛網還可以隔離廣播信息，一個虛網內節點發送的廣播信息不會被轉發到其他虛網上去，這對于提高證券網絡的運行效率是很有幫助的。其拓撲結構如圖2所示。
　　資金服務器(Windows NT) 行情服務器(NetWare)
　　二級交換機
　　工作站
　　工作站工作站
　　內網中間件外網
　　
　　
　　圖2 利用虛網設置的三層結構證券局域網
　　
　　軟三層結構具有成本低、結構簡單的特點。但治理、維護較復雜，需要對交換機的端口進行設置，并建立端口與內外網之間的對應關系。
　　
　　3.2.2硬三層結構
　　硬三層結構是物理上完全隔離的三層結構，以下是某證券營業部的網絡拓撲圖：
　　資金服務器(Windows NT) 交易服務器(NetWare) 行情服務器(NetWare)
　　工作站
　　
　　中間件工作站
　　內網外網
　　
　　圖3 物理上完全隔離的三層結構證券局域網
　　
　　相對軟三層結構來說，硬三層結構治理、維護較為簡單，網絡劃分只需在交換機一級進行，不涉及每一具體端口。但網絡結構復雜、建設成本高。
　　
　　圖3所示網絡的外網（行情系統）和內網（交易系統）在物理上是完全隔離的，外網主干交換機是Cisco Catalyst 4006，內網交換機為Cisco3548。連接到桌面的網絡設備采用Cisco1924。中間件運行平臺為Windows NT4.0，中間件上安裝兩塊網卡，分別連接內網和外網，在NT中安裝ipX/SPX協議（不安裝TCP/IP協議，這樣可以有效防止TCP/IP數據包攻擊），關閉這兩塊網卡的內部路由功能，這樣外網的用戶便無法利用中間件的軟件路由功能直接訪問內網數據，而客戶的委托成交數據則利用中間件程序轉發。為進一步增加安全性，還可將這兩塊網卡綁定不同的協議，如連接外網的網卡只綁定IPX/SPX協議，連接內網的網卡只綁定TCP/IP協議，由于兩塊網卡連接的協議不同，在一定程度上增加了系統的安全。
　　3.2.3 網絡測試
　　以下是我們使用聞名的Sniffer軟件對該營業部網絡的檢測概況：
　　(1)Dashborad
　　某日在外網主干交換機上對服務器網卡進行監控，結果如下：
　　
　　Network Size Distribution Detail Errors
　　Packets 472,573 64s 19,301 CRCs 0

　　Drops 0 65-127s 20,221 Runts 0
　　Broadcasts 21,275 128-255s 18,763 Oversizes 0
　　Multicasts 4,015 256-511s 12,418 Fragments 0
　　Bytes 618,700,250 512-1023s 3,177 Jabbers 0
　　Utilization 25 1024-1518s 398,693 Alignments 0
　　Errors 0 Collisions 0
　　
　　從表中可以看出，主干交換機4006利用率為0~25%，網絡中錯包和沖突包、CRC錯包數都是0，網絡工作狀態良好。
　　
　　(2)Captured Data of Server NIC（EXPert分析）
　　在4006交換機上設置sniffer端口用來監控行情服務器網卡的端口，并捕捉8M數據，進行expert的分析。結果如下：
　　Broadcast/Multicast Storm
　　Threshold 40
　　Peak Broadcast Rate 143
　　Broadcast Frames 5,996
　　Local Frames 11,874
　　Remote Frames 0
　　First time 2001/7/3 10:02:24.266
　　Storm Duration 2m 23s 128ms
　　Station1 name 0036BE51000
　　Station1 name 0002FDCC4029
　　Station1 name 0004271D3040
　　……
　　
　　Sniffer expert分析只有廣播、多目廣播風暴，由于證券網中的乾隆等行情揭示系統往往采用廣播方式傳送行情，所以出現廣播風暴是正常的
　　
　　(3)Delta Time（網絡延時）
　　……
　　No. Status Source Address Dest Address Summary Len Rel. Time Delta Time
　　27 1E111.1 113.
　　00400565890 NCP: R OK 566 0:00:06.383 0.000.423
　　28 113.
　　000021D3E63 1E111.1 NCP: C Get current size of file F=DC4F 0300 60 0:00:06.384 0.000.068
　　29 1E111.1 113.
　　0050BA72CD1 NCP: R OK 566 0:00:06.384 0.000.425
　　……
　　
　　從表中可以看出，Delta time值較小，沒有到秒一級別，說明網絡延時很小，網絡工作狀態良好。
　　(4)系統日常運行統計
　　服務器相關運行值
　　測試項目結果
　　CPU利用率一般10~30%
　　CPU利用率分布情況 IPX RTR NCP Work to do 0~15%
　　Interrupt 5~15%
　　內存占用和空閑情況
　　Current Service PRocesses <50
　　Dirty cache buffers <500
　　Current disk requests <51
　　Long term cache hits 100%
　　Long term cache dirty hits 100%
　　LRU sitting time >1 小時
　　Cache buffers >2000
　　Memory blocks free
　　工作站上網情況
　　錢龍上網速度正常
　　錢龍81速度 <2秒
　　成交回報速度 <5秒
　　主干交換機相關數值
　　與服務器、轉換機相連端口錯包率、沖突率無
　　交換機利用率（內存、CPU） 30~50%
　　4. 結論
　　綜上所述，三層結構的證券網對提高證券行情、交易的效率以及防范黑客攻擊是大有好處的。當然，即使進行了虛網的設置甚至是物理分隔，因為中間件運行的操作系統Windows NT Server本身存在不少安全漏洞，加之針對NT的黑客工具較多，并不能保證網絡系統無堅不摧。所以如何提高中間件自身乃至整個網絡的安全性，仍然是我們下一步的重要任務。
　　hfyin@sina.com

上一篇：揭密局域網計算機病毒獨有的七大特點

下一篇：怎樣突破局域網中對用戶上網的限制簡介