ESA全面支撑金融行业的速度与安全。
在数字化浪潮的席卷下,金融行业正面临着前所未有的变革趋势。一方面,全球经济增速的调整和结构转型的深化,促使金融企业改变其发展策略,以更好地服务实体经济出现的新需求;另一方面,云计算、大数据、人工智能等新兴技术的迅速崛起,既为金融行业带来了创新机遇,也对其现有技术和业务模式提出了更高的要求。数据的安全与传输、用户的体验、网络性能的优化、海外访问的稳定性等都成为金融企业在全球化发展的过程中急需提升和解决的新需求。
在此背景下,阿里云边缘云凭借其丰富的服务经验和对金融行业痛点的深刻洞察,推出了一套面向金融行业的安全加速一体化的解决方案,旨在帮助金融类企业突破发展瓶颈,实现数字化转型和发展变革。
面向金融行业的安全加速一体化解決方案
阿里云边缘安全加速 ESA 针对金融行业提供安全加速一体化解决方案和丰富的服务经验,通过边缘原生 WAF 和 DDoS 防护能力,ESA 可帮助线上交易业务有效抵御各类安全攻击和爬虫威胁,保护客户的安全服务和数据安全;通过全球广泛分布的边缘节点,提高网站访问速度和用户体验,同时帮助金融企业解决全球化业务扩展的跨境延迟问题。
全面加速ESA 金融行业解决方案
缓存加速
支持传统 CDN 的静态资源缓存加速能力,同时支持更高级的缓存策略:冷资源缓存保持、高性能的多级缓存。
四层代理
提供低时延、高可靠的 TCP/UDP 传输服务,解决跨运营商网络不稳定、单线源站、突发流量、网络拥塞等诸多因素导致的延迟高、服务不稳定问题,提升传输性能和用户体验。
跨境网络优化
提供中国大陆网络-接入优化的功能,基于中国香港等地区的节点和全球加速网络,有效解决跨地域服务的网络问题。
源站管理ESA 金融行业解决方案
负载均衡
支持通过按比例分配,以及基于 HTTP 请求头、URL、URI 等字段值做自定义规则等调度策略平衡多源站的负载,降低链路延迟并提升业务可用性;同时支持源站健康探测、会话保持。
Waiting Room
当大量用户访问需要回源时,为防止大流量冲击导致源站宕机,可通过 ESA 的 Waiting Room 管理用户访问,限制并发访问源站的用户数以及为正在等待的用户提供秩序管理。
源站防护
为保障金融客户源站不会被外部 IP 恶意攻击或非法访问,可以开启源站防护功能, ESA 将会列出所有的回源节点 IP 地址(包括 IPv4 和 IPv6 ),支持客户将这些 IP 列表添加至源站访问 IP 地址白名单中。
安全防护ESA 金融行业解决方案
WAF 防护
提供边缘原生 WAF 防护功能,有效识别业务流量恶意特征,将正常、安全的流量回源,避免网站服务器被恶意入侵,保障业务核心数据安全,解决因恶意攻击导致的服务性能异常问题。
DDoS 防护
提供最高 Tbps 级防护能力,大流量 DDoS 攻击发生时,所有边缘安全加速节点都可以实时抵御 DDoS 攻击,ESA 边缘原生安全的防护架构可以最大限度在 DDoS 防护时仍保持加速性能。
场景的最佳实践
CASE七层加速场景
背景
随着移动支付、实时交易等金融在线业务的发展,支付、银行及证券业的移动应用用户规模快速增长,并广泛分布在全球各地,对数据安全、用户体验和服务稳定性均提出更高要求。
业务挑战
• 时延
- 全国乃至全球流量汇聚到集中的数据中心的方案,存在因长距离数据传输导致延迟高的问题和源站网络带宽有限的瓶颈,导致终端用户反馈下载速度慢、体验不佳。
• 高并发
- 手机银行纪念币抢购活动、证券突发行情等事件,往往会导致几十万 QPS 的突发访问,对源站承载能力带来极大挑战。
• 高可用
- 金融业务对服务稳定性具有极高要求,当源站异常时可以快速探测并及时逃逸。
• 安全
- 金融业务在对外服务中面临多项安全挑战,集中式数据存储易成为攻击目标,存在数据泄露风险;边缘流量盗刷导致客户高额费用损失;瞬时 DDoS 攻击导致客户域名服务异常;源站数据中心有严格的防火墙策略,只允许加白访问。
解决方案
• 多级缓存和预热
- 对手机银行和证券在线应用的图片、音视频、CSS 文件、安装包等静态资源在边缘节点上进行缓存,用户请求时大部分内容在 ESA 全球节点就近响应;大型活动时,支持提前将活动页涉及到的静态资源预热至 ESA 节点。
• 边缘负载均衡
- ESA 负载均衡功能支持网络或应用流量按照自定义规则分配到多个源地址池,并支持使用 ICMP Ping、TCP、HTTP/HTTPS、UDP 和 ICMP 等协议对源站进行健康探测,并剔除故障源站,探测结果变动后 20s 以内生效。
• WAF和DDoS防护
- 边缘 WAF 结合了 ESA AI 引擎能力提供智能限频和频次控制规则,可自动识别异常访问流量,全天候自动化 CC 攻击拦截。边缘原生 DDoS 实例支持同时防护四层和七层业务流量。
• 源站防护
- ESA 支持客户通过控制或调用 API 方式获取 ESA 全部回源节点 IP 信息,当节点变动时, 在客户点击确认更新后 ESA 服务节点更新生效。
客户价值
• 延迟优化
- 客户端请求在节点响应,大幅提升访问性能,延时优化 30% 以上。
• 成本节省
- 有效减少静态资源 90% 以上回源流量和带宽
• 异常逃逸
- 源站异常时可支持 20s 内快速逃逸。
• 安全防护
- 结合智能模型和可视化报表, 提供拦截效率
CASE四层加速场景
背景
金融客户,尤其是证券类客户,在高频交易、实时行情数据传输、交易系统响应速度以及跨数据中心数据同步等场景,需要 4 层 TCP 加速用于优化网络性能。
业务挑战
• 时延
- 高频交易对网络延迟极其敏感,通常要求在毫秒甚至微秒级别完成数据传输和交易指令的处理;对于证券公司高频交易(HFT)和算法交易场景来说,用户终端(如交易客户端、网页端)的访问体验至关重要。
• 高可用
- 交易系统中的订单提交、成交确认、撤单等操作需要高效可靠的网络支持。
• 全球访问
- 客户用户群体遍布全球各地,海外用户回国内源站面临网络抖动、延迟高的问题。
解决方案
• 优质节点和海量端口
- 对手机银行 4 层加速采用优质 BGP 节点保障服务质量;
- 对基于 TCP/UDP 四层协议的应用做全球加速,四层代理支持配置 1~65535 的所有端口。
• 四层安全配置
- DDoS 实例一键防护 4 层加速业务,保障金融交易查询业务安全加速;支持真实 IP 传递和封禁。
• 日志运维
- ESA 提供了多维度的四层代理分析及可视化展示,主要包括流量、连接数、连接时长等指标的时间趋势曲线、国家/地区分布和 Top 排行等数据。
• 回源负载均衡
- ESA 负载均衡功能支持四层流量按照自定义规则分配到多个源地址池,并支持 ICMP Ping、HTTP、HTTPS、TCP、UDP 等探测协议主动探测源站健康状态,探测结果变动后 20s 以内生效。
客户价值
• 延迟优化
- 香港、新加坡跨境回源国内首包延时低于 100ms ,美国、东南亚国家跨境回源国内首包延时低于 150ms ,表现优秀。
• 安全升级
- 20Tbps 抗D资源储备,支持国家/省份、IP、ASN 访问控制。
• 高可用
- 国内全优质线路节点服务更稳定;海外多线路中心节点服务,异常秒级切换。
• 配管效率
- 支持多端口、端口段配置,支持 TCP、UDP 双协议配置,配管效率提升 3 倍
CASE数字金融交易场景
背景
海外未备案的域名无法直接为中国内地用户提供服务,国内用户跨境访问不稳定,会面临页面卡顿、登录失败、交易确认超时等问题。
业务挑战
• 未备案域名服务效果
- 部分金融客户的的 Web 服务部署在海外,并通过海外加速的站点对全球用户提供服务,由于中国大陆和海外之间网络链路的高延迟、高丢包率及抖动等问题,中国内地用户的访问体验较差,甚至部分地区存在访问失败的问题。
• 攻击频发
- 数字金融交易场景频繁遭受恶意攻击,攻击者聚焦高价值业务场景,如交易 api 接口、用户钱包提现通道等,单次攻击峰值可达到 Tbps ;利用生成式 AI 模拟真实用户行为(如藏品浏览轨迹、合成操作逻辑),攻击流量与正常流量差异率低至0.5%。
解决方案
• 跨境网络优化方案
- 为优化中国大陆用户的访问体验,ESA 提供了中国大陆网络-接入优化的功能,基于中国香港等地区的节点和全球加速网络,有效解决跨地域服务的网络问题。
• WAF 和 DDoS 防护
- 边缘 WAF 结合了 ESA AI 引擎能力提供智能限频和频次控制规则,可自动识别异常访问流量,全天候自动化 CC 攻击拦截。边缘原生 DDoS 实例支持同时防护四层和七层业务流量。
• 日志运维
- ESA 提供了多维度的四七层流量分析及可视化展示,主要包括流量、连接数、连接时长等指标的时间趋势曲线、国家/地区分布和 Top 排行等数据。
客户价值
• 延迟优化
- ESA 通过接入精品 BGP 网络的香港节点服务中国大陆用户,优化后访问时延约 75ms ,整体优化约 70% 。
• 安全防护
- 通过丰富的 WAF 防护规则、AI WAF 能力和 Anycast 高防节点抵御 DDoS 攻击,实现业务安全加速。
未来,阿里云边缘云将深度融入更多行业和业务场景,探索更多可能。
随着技术的持续迭代,能力的不断优化,阿里云边缘云将在数字化金融浪潮中,提供更高效、更便捷、更安全的服务,为金融行业带来更多高质量的体验。
END
来源 | 阿里云Edge Plus公众号
