[发明专利]一种用于组成DMZ区域的系统及方法

说明书

本发明公开了一种用于组成DMZ区域的系统，包括：可编程交换机，其用于接收并处理来自外部网络的流量，并将经处理的流量转发至服务器集群；服务器集群，其用于接收并清洗由所述经处理的流量，并将经清洗的流量转发至所述可编程交换机，其中，可编程交换机还用于将所述经清洗的流量转发至业务区域。

技术领域

本发明涉及计算机网络领域，尤其涉及一种用于组成DMZ区域的系统及方法。

背景技术

DMZ(Demilitarized Zone，非军事化区)区域是金融行业所采用的计算机网络体系中的一个重要区域，其作用是是隔离不可信外网与可信内网的之间的网络流量(也称“流量”)。可信内网指金融机构的内部的信任程度较高的内部网络。不可信外网指相对于可信内网的、在金融机构外部的网络，例如，各种银行、第三方机构的网络和互联网等。

图1示出了传统的DMZ区的系统示意图。当前构建DMZ区的方案是采用昂贵的F5负载均衡设备，数十台传统交换机以及执行Web反向代理的上千台传统服务器。该方案的吞吐量通常在100Gbps以下，并且最大吞吐量受限于F5负载均衡设备，只能通过更换新型的F5负载均衡设备来实现扩容。因此，该方案存在成本高、吞吐量不足和难以扩展的问题。

发明内容

本发明的一个方面提供了一种用于组成DMZ区域的系统，包括：可编程交换机，其用于接收并处理来自外部网络的流量，并将经处理的流量转发至服务器集群；服务器集群，其用于接收并清洗由所述经处理的流量，并将经清洗的流量转发至所述可编程交换机，其中，可编程交换机还用于将所述经清洗的流量转发至业务区域。

本发明的另一个方面提供了一种用于组成DMZ区域的系统，包括：前置可编程交换机；可编程交换机；以及服务器集群。所述前置可编程交换机用于接收来自外部网络的流量，并基于预定规则将所述流量分发到所述可编程交换机，所述可编程交换机用于接收并处理来自所述前置交换机的流量，并将经处理的流量转发至服务器集群，所述服务器集群用于接收并清洗由所述经处理的流量，并将经清洗的流量转发至所述可编程交换机，其中，所述可编程交换机还用于将所述经清洗的流量转发至业务区域。

本发明的又一个方面提供了一种用于组成DMZ区域的方法，包括：通过可编程交换机接收并处理来自外部网络的流量，并将经处理的流量转发至服务器集群；通过服务器集群接收并清洗由所述经处理的流量，并将经清洗的流量转发至所述可编程交换机；以及通过可编程交换机将所述经清洗的流量转发至业务区域。

本发明的再一个方面提供了一种用于组成DMZ区域的方法，包括：通过前置可编程交换机接收来自外部网络的流量，并基于预定规则将所述流量分发到可编程交换机；通过所述可编程交换机接收并处理来自所述前置交换机的流量，并将经处理的流量转发至服务器集群；通过所述服务器集群接收并清洗由所述经处理的流量，并将经清洗的流量转发至所述可编程交换机；以及通过所述可编程交换机将所述经清洗的流量转发至业务区域。

根据本发明的实施例的DMZ区域可以不采用价格昂贵的F5负载均衡设备，从而有效地降低成本。相对于采用F5负载均衡设备的方案而言，本发明的实施例还可以极大地提高流量的吞吐量。此外，本发明还提供了易于扩展的DMZ区域的方案，使得根据本发明的实施例的DMZ区域能够进一步提高流量的吞吐量。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过参考附图阅读下文的详细描述，本发明示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本发明的若干实施方式，其中：

在附图中，相同或对应的标号表示相同或对应的部分。

图1示出了根据现有技术的DMZ区域的系统的示意图；