证券局域网三层结构分析与研究摘要本文着重阐述了三层结构证券局域网的结构及特点,并以一个物理上完全隔离的三层结构网络为例进行了测试和分析。关键词三层结构中间件虚网硬三层1.概述证券行业是对计算机要求很高的行业,一般说来,每个证券营业部都有自己的局域网。证券交易/行情业务数据以文字为主,仅带有少量图形信息,但数据量大,更新频繁,网络要求具有很高的可靠性、数据传输率和安全性。2.传统的证券局域网结构通常,传统的证券局域网一般是以交换机作为主干的二层结构星形网络。网络环境大多采用100/1000m交换以太网做主干,10/100m交换以太网到桌面的连接方式。其拓扑结构如图1所示。图1传统的证券局域网网络一般采用c/s(client/server)模式,资金和交易数据主要保存在后台的ntserver上,无盘工作站可以直接访问前台的novellserver,但不能直接访问后台的ntserver,而后台的pc工作站则可以在许可的权限范围内直接访问ntserver。这种网络结构具有高效、易扩展等特点,但也存在一些安全性问题,主要是由于前台系统和后台系统存在物理上的连接,因而不能完全杜绝用户操作无盘工作站利用某种非法手段进入后台系统作案的可能性。且作案后一般不会留下可供追查的线索。3.三层结构证券局域网分析3.1三层结构证券局域网的产生背景随着近年来网络技术的飞速发展和internet的普及,证券公司所面临的被恶意或非恶意入侵机会越来越多,特别是新技术和新思路的不断涌现,对证券网络的正常运行和日常维护提出了严重的挑战,对信息系统的安全性、可靠性的要求越来越高,三层c/s结构的证券网络就是针对上述情况而提出来的。这种网络在数据管理层和用户界面层之间增加了一层结构——第1页共6页中间层。这样就将整个网络的体系结构划分为三层:服务器端、中间件(构成中间层的构件)和客户端。中间件的存在,将网络分隔为完全分离的内部网和外部网,使前端用户无法看到后台数据库服务器和文件服务器,有效地防止了黑客的攻击。中间件在系统处理能力上采用多线程技术,大大提高了工作效率,可靠性和扩展性也较二层结构强。符合中国证监会关于证券经营机构信息系统管理的“三分离”原则,即数据与网络分离、技术与业务分离、前台与后台分离。被证券业界一致认为是今后交易系统的发展方向。3.2三层结构证券局域网的分类目前,三层结构证券局域网主要有两种模式,软三层结构和硬三层结构。3.2.1软三层结构软三层结构主要通过虚网(vlan)来实现。它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为两个(或多个)虚拟网段,划分的依据一般是交换机的物理端口(也可以是用户节点的mac地址等)。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据通讯则需要通过路由来完成。这样在一定程度上加强了虚网间隔离,能有效防止外部用户入侵,提高安全性。此外,划分虚网还可以隔离广播信息,一个虚网内节点发送的广播信息不会被转发到其他虚网上去,这对于提高证券网络的运行效率是很有帮助的。其拓扑结构如图2所示。资金服务器(windowsnt)nbsp;行情服务器(netware)图2利用虚网设置的三层结构证券局域网软三层结构具有成本低、结构简单的特点。但管理、维护较复杂,需要对交换机的端口进行设置,并建立端口与内外网之间的对应关系。3.2.2硬三层结构硬三层结构是物理上完全隔离的三层结构,以下是某证券营业部的网络拓扑图:资金服务器(windowsnt)交易服务器(netware)行情服第2页共6页务器(netware)外网图3物理上完全隔离的三层结构证券局域网相对软三层结构来说,硬三层结构管理、维护较为简单,网络划分只需在交换机一级进行,不涉及每一具体端口。但网络结构复杂、建设成本高。图3所示网络的外网(行情系统)和内网(交易系统)在物理上是完全隔离的,外网主干交换机是ciscocatalyst4006,内网交换机为cisco3548。连接到桌面的网络设备采用cisco1924。中间件运行平台为windowsnt4.0,中间件上安装两块网卡,分别连接内网和外网,在nt中安装ipx/spx协议(不安装tcp/ip协议,这样可以有效防止tcp/ip数据包攻击),关闭这两块网卡的内部路由功能,这样外网的用户便无法...
