金融行业背景与挑战
金融行业发展趋势
金融行业网络核心服务面临挑战
金融机构面临365全天候的安全威胁
牙木SmartDDI 企业通用场景解决方案
牙木技术构建新一代金融行业网络核心服务
-
DDI (DNS | DHCP | IPAM)
提供业务的自动化基础网络的核心服务
-
安全
从DDI层构建核心服务安全防御屏障
-
可视化
通过数据可视赋能企业洞察业务能力
-
Cloud
为企业提供域名云服务平台
牙木技术场景最佳实践范例
-
内外网核心服务架构 DNS|DHCP|IPAM
更好的应用和服务高可用性
可扩展的高性能架构
DNS/DHCP/IPAM关联性设计
-
安全防护 自研非开源|域名安全保护
安全操作系统
链路层防护
高抗D架构
-
数据可视服务 NPM|APM|SOC/整合大屏输出
DNS请求及响应数据包分析
Nxdomain数据输出
域名黑白单告警
-
域名灾备服务平台 DNS Disasters Recovery
域名备份后援服务平台
内网域名化
主备数据中心内网域名化访问,根据策略智能调度;
基于数据中心、EDNS等算法实现多数据中心就行性访问;
集中化统一管理,分层架构;
权威服务器、缓存及递归服务器弹性扩展,可靠性可高达99.999%。
外网多中心应用
主备数据中心双活DNS服务能力;
业务主动探测,确保数据中心应用可用服务提升外网用户使用体验;
结合CDN技术,牙木DNS实现智能流量调度。
域名资产全网集中管理
分层设计、Anycast方式 部署,多数据中心RTO/RPO几乎为0;
全网DNS对外采用一个地址服务,递归查询一个权威IP地址模式;
DMS集中网管高可用服务架构;
DMS 主备数据库级同步确保权威数据一致性;
业务节点“分层架构”anycast 模式部署,高可靠性,高安全性,高扩展性;
SRTT算法确保DNS业务服务节点切换可以到毫秒级。
自主研发安全可信DNS系统
独有DPI级的包分析、过滤、标记技术;
SecurePRO网络安全模块(抵御DDOSSYNCICMPUDP等攻击);
高级ACL及主机安全加固;
DTS(DNS Traffic Scheduling),DNS流量调度,清洗成为可能;
授信域名、gTLD白名单、特定域名库等,实现DNS业务安全;
DNS隧道检测与防护;
重点域名监控,增加变更审核流程;
DDI安全设备可独立部署、系统内部署;
抗DDoS DNS安全解决方案
Smart DDI设备采用专用自主研发架构,具有天然安全加固基因;
非开源,非BIND,天然免疫BIND漏洞;
系统设计在链路层工作模式,单机DNS解析性能高达100万QPS,从系统架构上可以抵挡DNS DDOS攻击,包括UDP FLOODING等攻击。
高效DNS运维可视化管理
集中管理,易操作、易维护;
服务、业务、资源状态实时掌控;
用户、配置分权、分域工作流管理;
安全、审计、告警多手段;
统计、分析看问题、看趋势。
DNS冗灾YamuCloud
云解析服务
用户将域名托管至牙木云解析,云解析为用户管理并提供域名权威解析,在提高域名解析的安全性的同时节省IT建设成本和维护成本;
多节点
全球领先的DNS集群技术:多个国内、外云集群节点,分布于多运营商在同时提供专业解析服务;
域名防劫持监测服务
针对本地网络运营商更改域名解析结果的情况推出的增值服务。利用分布在全国各地的数千个检测节点,牙木产品可帮助检查网站在某个地区是否受到当地网络运营商的劫持,并及时通知。
地址管理可视化
面临的问题
终端数量的急剧增长,手工管理IP地址非常困难;
不能有效合理掌握IP地址使用情况,造成IP地址不够用;
传统DHCP无法做到高可用,存在单点故障。
解决方案
牙木DDI可提供对IP地址多维度的管理界面,统一配置管理和报表输出可实时查看IP地址的使用分配情况,掌握IP使用动态;
设备性能LPS、网络流量和终端类型等按时段、图形化统计,并要求能生成和导出统计报告;
支持DHCP HA&Failover,保障DHCP服务不间断。
牙木DNS优势对比
| 服务 | 牙木DNS | 通用BIND (Windows DNS/Linux DNS) |
|---|---|---|
| 系统开源性 | 非开源,经过17年打磨安全操作系统,专业团队技术服务保障 | 开源系统,存在天然漏洞 |
| DNS安全性 | Linux加固系统,具有securePro模块,抵御DNS 隧道、放大攻击、投毒攻击及Dns Ddos攻击 | 弱,基于主机系统防火墙管理 |
| 高可用架构(HA,Cluster模式部署) | 支持多种部署模式,支持HA或Cluster模式,架构可用性高达99.999%,支持缓存、递归、权威分层架构部署 | 无,DNS 单机部署 |
| 集中化图形部署,支持异地容灾 | 集中式配置管理部署,支持跨网段异地容灾部署 | 无,命令行界面master/slave模式部署 |
| 运维管理简单,支持第三方认证 | 中文web界面,支持Radius,Ldap,Tacacs+等第三方认证 | 无,不支持第三方认证 |
| 智能域名解析,支持源IP策略判断 | 支持GSLB、 ECS、健康状况检查,实现基于源IP智能判断 | 弱,支持基于视图域名解析,命令行配置,不支持ecs等智能策略 |
| 精细化IP、域名的安全控制管理 | 可以在分层模式下,缓存侧、递归侧、权威侧实现基于IP或域名等粒度安全策略设置 | 弱,权威侧安全防控 |
| 重点域名监控,严格资产管理 | 将运营KPI指标的域名纳入到监管,防止域名劫持、篡改等严重事件发生 | 无 |