一．背景：
XXXX是一家互联网金融创新服务型企业。整个业务系统采用Java语言构建，目前已经上线运行的项目主要有多个APP应用。随着公司规模的扩大与发展，公司对数据安全性要求越来越大，希望对公司发展构建出一个完整的网络方案。


二．现状：
目前公司的数据存放于阿里云主机，五台服务器每台约十兆的带宽， 公司数据总量约为1T。
结构示意图：
设备或服务
内容
数据库
约1T
服务器
5台共约50M
分布情况
北京/深圳/上海


小结：
1. 金融客户核心数据不建议存放于公网云端，需要考虑数据转移自有IDC；
2. 客户对整个基础架构的自行设计和扩容度性能弱，控制力不强；


三．面临的问题：
1.主要问题：
1、核心数据存放于公有云端，无自有IDC机房。
2、当前业务平台仅在单一阿里云部署，
3、客户对整个基础架构的自行设计和扩容度性能差，控制力不强 .
4、将云端数据迁移至自有机房，以及业务快速扩张时网络支撑问题。


四.客户需求：
需求预期
1、完成新版基础架构设计
2、实现业务全国(乡镇级)范围覆盖
3、实现业务高并发时秒级响应速度
4、提供灾备(数据级、应用级)及故障快速恢复方案 5、提供系统安全、入侵检测及审计方案
6、提供客户体验度持续优化方案
7、提供远程维护接入方案
8、实现架构演进路线及系统架构目标的多层次整    体规划
9、实现架构标准、团队电子化管理


五.解决方案：
1.方案内容
1、在深圳选取T3或以上级别机房IDC。
2、将北京、上海、深圳阿里云服务器和深圳总部通过SSL VPN与深圳IDC连接起来，实现数据实时互联互通。
3、接入电信、联通双运营商的城域网线路。
4、阿里云作为应用层与IDC互联。
5、增加CDN服务系统来加速以及防攻击，为IDC设立了一个缓冲器，也设立了一个牢固的“高 能”防火墙。实现抗DDoS攻击，网站防火墙、高效DNS服务器、加速访问服务，实现源服务器IP隐藏。
工期：1-2周


2.需求设备资源


网络设备和服务





3.所需线路资源
网络线路链接





机房IDC选型






4.方案优势
1. 实现了北京、上海、深圳阿里云服务器与IDC数据互  联互通。
2. 双运营商城域网专线接入，实现双机双网双应用，不  但能互为备份，还用于实现流量分流。
3. 部署CDN服务，为用户选取最优接入点，加速了用    户访问速度，通过节点检测技术，实现 .完全自动的   备份切换功能。并且能够有效的防止DDOS攻击，    高效DNS服务器，隐藏真实IP，提高了IDC的稳定    性和安全性。
4. 阿里云端可以与IDC互为备份。


5.未来规划
一期实施方案
建立高可靠性及高安全性IDC，接入双运营商城域网专线， 部署CDN服务，提供24小时永不间断高速互联网金融应用服务。


方案说明：
IDC:
1. FW：部署NGFW（下一代防火墙）/UTM(统一威胁管理防火墙)双机热备份（故障自动切换）；既是互联网接入 的核心设备，也是个体网络与互联网的第一道屏障； 2. WEB：在双FW的架构下，各自增加一台WAF（WEB应用防火墙），在应用层上进一步提高对WEB应用的安全 保护。 3. 分区：仅允许需对外的DMZ区域接入互联网，内网区域（数据库服务器等）完全隔离互联网，避免任何网络入 侵和攻击，有效保护重要数据的安全。
组网：
1. 多运营商线路，多网备份，有效避免单线或单运营商瘫痪等因素导致全网中断； 2. 配合CDN及智能DNS解释，为使用不同运营商接入的用户提供同样优质的服务。 3. 双机双网双应用，稳定，安全，流量工程提高网络带宽利用率，节约网络成本。
CDN:
1. 部署CDN服务，配合智能DNS解释，提供最优访问节点，将不同运营商的用户引入到IDC相应的入口（如电信接 入口或联通接入口）。避免用户跨运营商访问，限制了流量或延迟较大的情况。 2. 通过CDN把用户分流到不同接入口，达到双线负载均衡的效果，流量通过两台FW进入内网，也实现了FW的负 载均衡。 3. 隐藏真实IDC节点，有效避免直接的DDOS攻击，提高IDC安全指数。


6.IDC内部搭建





.双FW/WAF冗余备份，保障了网络可靠性的 情况下，为  IDC提供全方位的安全保护（网络 层到应用层的保护）；
.双Core-SW冗余（热备），提供LAN可.TC/UC双城域网实现负载/备份功能；
靠性；
.双机双网，与异地机房组成互联骨干，高速同 步数据，主线使用MSTP，备线借用TC/UC城 域网一个IP实现。（根据MSTP运营商决定使 用TC/UC）
.严格的区域划分，非DMZ区域隔离任何不安全因素。


拓扑图：





1、机房：1. 双设备防护：具备WAF\防火墙等设备冗余热备份防护，增加机房安全。 2. 服务器划分：区分DMZ区与内网区，数据库拒绝公网访问，加大对数 据安全的保护。
2、接入不同运营商：1. 相互做备份，单某一运营商瘫痪或其他原因无法使用时，可使用 另一运营商； 2. 同运营商访问：访客通过与其一致的运营商网络，加快访问速度。
3、CDN： 1. DNS加速访问，根据不同运营商IP选择不 同运营商网络； 2. 缓冲加速访问：Cache缓存最近访问数据， 访客直接访问Cache可直接获取数据； 3. 高能防火墙：隐藏真实IP，防DDOS攻击， 防黑客入侵机房。 4. 通过cdn部署，把客户源服务器做到隐藏 的效果。


优势方案：
1. 部署冗余设备（双FW/双WAF），避免了设备故障造成的网络中断，提高了IDC在运行中 的可靠性和稳定性。通过一次性投资，避免了日后因设备故障造成的直接经济损失。
2. 双运营商城域网专线接入，不但能互为备份，还用于实现负载均衡。
3. 部署CDN服务，为用户选取最优接入点，加速了用户访问速度，通过节点检测技术，实现 完全自动的备份切换功能。并且能够有效的防止DDOS攻击，高效DNS服务器，隐藏真实 IP，提高了IDC的稳定性和安全性。
4. 本方案在单一IDC的情况下，在设备、线路上实现了完全冗余备份，通过CDN实现了最优 接入线路选择、自动备份和真实IP隐藏。在最少的投入下，组建最稳定快速智能的网络。