摘 要 本文着重阐述了三层结构证券局域网的结构及特点,并以一个物理上完全隔离的三层结构网络为例进行了测试和分析。
关键词 三层结构 中间件 虚网 硬三层
1. 概述
证券行业是对计算机要求很高的行业,一般说来,每个证券营业部都有自己的局域网。证券交易/行情业务数据以文字为主,仅带有少量图形信息,但数据量大,更新频繁,网络要求具有很高的可靠性、数据传输率和安全性。
2. 传统的证券局域网结构
通常,传统的证券局域网一般是以交换机作为主干的二层结构星形网络。网络环境大多采用100/1000M交换以太网做主干,10/100M交换以太网到桌面的连接方式。其拓扑结构如图1所示。
资金服务器(Windows NT) 行情服务器(NetWare)
二级交换机
工作站 二级交换机
工作站 工作站
图1 传统的证券局域网
网络一般采用C/S(Client/Server)模式,资金和交易数据主要保存在后台的NT Server上,无盘工作站可以直接访问前台的Novell Server,但不能直接访问后台的NT Server,而后台的PC工作站则可以在许可的权限范围内直接访问NT Server。这种网络结构具有高效、易扩展等特点,但也存在一些安全性问题,主要是由于前台系统和后台系统存在物理上的连接,因而不能完全杜绝用户操作无盘工作站利用某种非法手段进入后台系统作案的可能性。且作案后一般不会留下可供追查的线索。
3. 三层结构证券局域网分析
3.1 三层结构证券局域网的产生背景
随着近年来网络技术的飞速发展和Internet的普及,证券公司所面临的被恶意或非恶意入侵机会越来越多,特别是新技术和新思路的不断涌现,对证券网络的正常运行和日常维护提出了严重的挑战,对信息系统的安全性、可靠性的要求越来越高,三层C/S结构的证券网络就是针对上述情况而提出来的。这种网络在数据管理层和用户界面层之间增加了一层结构――中间层。这样就将整个网络的体系结构划分为三层:服务器端、中间件(构成中间层的构件)和客户端。中间件的存在,将网络分隔为完全分离的内部网和外部网,使前端用户无法看到后台数据库服务器和文件服务器 ,有效地防止了黑客的攻击。中间件在系统处理能力上采用多线程技术,大大提高了工作效率,可靠性和扩展性也较二层结构强。符合中国证监会关于证券经营机构信息系统管理的“三分离”原则,即数据与网络分离、技术与业务分离、前台与后台分离。被证券业界一致认为是今后交易系统的发展方向。
3.2三层结构证券局域网的分类
目前,三层结构证券局域网主要有两种模式,软三层结构和硬三层结构。
3.2.1软三层结构
软三层结构主要通过虚网(VLAN)来实现。它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为两个(或多个)虚拟网段,划分的依据一般是交换机的物理端口(也可以是用户节点的MAC地址等)。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据通讯则需要通过路由来完成。这样在一定程度上加强了虚网间隔离,能有效防止外部用户入侵,提高安全性。此外,划分虚网还可以隔离广播信息,一个虚网内节点发送的广播信息不会被转发到其他虚网上去,这对于提高证券网络的运行效率是很有帮助的。其拓扑结构如图2所示。
资金服务器(Windows NT) 行情服务器(NetWare)
二级交换机
工作站
工作站 工作站
内网 中间件 外网
图2 利用虚网设置的三层结构证券局域网
软三层结构具有成本低、结构简单的特点。但管理、维护较复杂,需要对交换机的端口进行设置,并建立端口与内外网之间的对应关系。
3.2.2硬三层结构
硬三层结构是物理上完全隔离的三层结构,以下是某证券营业部的网络拓扑图:
资金服务器(Windows NT) 交易服务器(NetWare) 行情服务器(NetWare)
工作站
中间件 工作站
内网 外网
图3 物理上完全隔离的三层结构证券局域网
相对软三层结构来说,硬三层结构管理、维护较为简单,网络划分只需在交换机一级进行,不涉及每一具体端口。但网络结构复杂、建设成本高。
图3所示网络的外网(行情系统)和内网(交易系统)在物理上是完全隔离的,外网主干交换机是Cisco Catalyst 4006,内网交换机为Cisco3548。连接到桌面的网络设备采用Cisco1924。中间件运行平台为Windows NT4.0,中间件上安装两块网卡,分别连接内网和外网,在NT中安装IPX/SPX协议(不安装TCP/IP协议,这样可以有效防止TCP/IP数据包攻击),关闭这两块网卡的内部路由功能,这样外网的用户便无法利用中间件的软件路由功能直接访问内网数据,而客户的委托成交数据则利用中间件程序转发。为进一步增加安全性,还可将这两块网卡绑定不同的协议,如连接外网的网卡只绑定IPX/SPX协议,连接内网的网卡只绑定TCP/IP协议,由于两块网卡连接的协议不同,在一定程度上增加了系统的安全。
3.2.3 网络测试
以下是我们使用著名的Sniffer软件对该营业部网络的检测概况:
(1)Dashborad
某日在外网主干交换机上对服务器网卡进行监控,结果如下:
Network Size Distribution Detail Errors
Packets 472,573 64s 19,301 CRCs 0
Drops 0 65-127s 20,221 Runts 0
Broadcasts 21,275 128-255s 18,763 Oversizes 0
Multicasts 4,015 256-511s 12,418 Fragments 0
Bytes 618,700,250 512-1023s 3,177 Jabbers 0
Utilization 25 1024-1518s 398,693 Alignments 0
Errors 0 Collisions 0
从表中可以看出,主干交换机4006利用率为0~25%,网络中错包和冲突包、CRC错包数都是0,网络工作状态良好。
(2)Captured Data of Server NIC(Expert分析)
在4006交换机上设置sniffer端口用来监控行情服务器网卡的端口,并捕获8M数据,进行expert的分析。结果如下:
Broadcast/Multicast Storm
Threshold 40
Peak Broadcast Rate 143
Broadcast Frames 5,996
Local Frames 11,874
Remote Frames 0
First time 2001/7/3 10:02:24.266
Storm Duration 2m 23s 128ms
Station1 name 0036BE51000
Station1 name 0002FDCC4029
Station1 name 0004271D3040
……
Sniffer expert分析只有广播、多目广播风暴,由于证券网中的乾隆等行情揭示系统往往采用广播方式传送行情,所以出现广播风暴是正常的
(3)Delta Time(网络延时)
……
No. Status Source Address Dest Address Summary Len Rel. Time Delta Time
27 1E111.1 113.
00400565890 NCP: R OK 566 0:00:06.383 0.000.423
28 113.
000021D3E63 1E111.1 NCP: C Get current size of file F=DC4F 0300 60 0:00:06.384 0.000.068
29 1E111.1 113.
0050BA72CD1 NCP: R OK 566 0:00:06.384 0.000.425
……
从表中可以看出,Delta time值较小,没有到秒一级别,说明网络延时很小,网络工作状态良好。
(4)系统日常运行统计
服务器相关运行值
测试项目 结果
CPU利用率 一般10~30%
CPU利用率分布情况 IPX RTR NCP Work to do 0~15%
Interrupt 5~15%
内存占用和空闲情况
Current Service processes
Dirty cache buffers
Current disk requests
Long term cache hits 100%
Long term cache dirty hits 100%
LRU sitting time 1 小时
Cache buffers 2000
Memory blocks free
工作站上网情况
钱龙上网速度 正常
钱龙81速度
成交回报速度
主干交换机相关数值
与服务器、转换机相连端口错包率、冲突率 无
交换机利用率(内存、CPU) 30~50%
4. 结论
综上所述,三层结构的证券网对提高证券行情、交易的效率以及防范黑客攻击是大有好处的。当然,即使进行了虚网的设置甚至是物理分隔,因为中间件运行的操作系统Windows NT Server本身存在不少安全漏洞,加之针对NT的黑客工具较多,并不能保证网络系统无坚不摧。所以如何提高中间件自身乃至整个网络的安全性,仍然是我们下一步的重要任务。
hfyin@sina.com
