一、第三方電子支付平台網路

本文主要介紹第三方電子支付平台網路結構的特點、主要組成及相關技術和部署情況。

一、網路結構

比較典型的第三方電子支付平台網路結構如下圖

第三方電子支付平台對外通訊主要包括兩部分：

前置業務通訊：用戶和商戶使用計算機終端或移動終端經互聯網（Internet）和無線互聯網（WAP），通過路由器A訪問平台；商戶的信息系統也是通過該鏈路連接至商戶介面前置機，實現與平台對接。

後台業務通訊：平台使用路由器B通過專線或VPN線路實現與銀行、移動通信運營商用戶、固定電話運營商等機構信息系統連接。依託於這些機構的信息系統所提供的網關介面實現清、結算業務。

第三方電子支付平台內部結構可通過外層防火牆、內層防火牆和後置防火牆劃分為三個安全域：

1）外層防火牆。將平台 Web 伺服器和商戶介面前置機與外部網路隔離，基於埠和 IP地址的訪問規劃，將這些設備保護起來，以阻止非法的訪問者和非法數據的進入。現在的防火牆一般具備一些安全插件可將常見的諸如埠掃描、拒絕服務攻擊等來自外部的惡意攻擊阻擋在平台之外。

2）內層防火牆。將平台的 Web 伺服器同應用伺服器、資料庫伺服器隔離。通過內層防火牆上的訪問控制列表實現網路流量管理，如內部資料庫可設定只對從特定介面來的請求做出反應，對其他的 IP 地址則不理會，以保證數據和文件的保密性。通過內、外兩層防火牆隔離 Internet 和平台的核心業務系統，內層和外層防火牆配合形成非軍事化區，形成對 Internet 訪問的雙重隔離，使網路體系結構受到更好的保護。除 Web 伺服器放在非軍事化區內，其他如應用伺服器和資料庫伺服器等均位於內部應用內，該區主機不允許外部用戶直接訪問。

3）後置防火牆。用來阻止非法用戶和數據通過金融專用網或 Extranet 進入系統。

二、雙機熱備

電子支付平台需要7*24小時不間斷運營，一般所有設備要求做熱備冗餘，消除設備單點，防止因某一台設備故障導致系統不能對外服務。比較常見的方法是雙機熱備技術。

雙機熱備就是對於重要的服務，使用兩台伺服器，互相備份，共同執行同一服務。當一台伺服器出現故障時，可以由另一台伺服器承擔服務任務，在不需要人工干預的情況下，自動保證系統能持續提供服務。

典型的雙機熱備工作模式包括主從、互備、多點集群三大類：

1）主從模式。是最標準、最簡單的雙機熱備，即是目前通常所說的 active/standby 方式。它使用兩台伺服器，一台作為主伺服器（Active），運行應用系統來提供服務。另一台作為備機，安裝完全一樣的應用系統，但處於待機狀態（Standby）。當 active 伺服器出現故障的時候，通過軟體診測（一般是通過心跳診斷）將 standby 機器激活，保證應用在短時間內完全恢復正常使用。在這種工作模式下，備機在絕大部分工作時間內處於空閑狀態，硬體資源得不到充分的利用。

2）雙機互備。在雙機熱備的基礎上，兩個相對獨立的應用各自部署在不同的伺服器同時運行，但同時又互為備機。正常工作狀態下，這兩個應用分別在各自的伺服器上運行，它們之間通過軟體診測，監控彼此伺服器上所運行應用的狀態。當某一台伺服器出現故障時，另一台伺服器可以在短時間內將故障伺服器的應用接管過來，保證應用的持續性。雙機互備方式避免了兩個應用使用四台伺服器分別實現雙機熱備，節約了硬體成本。這種方式也存在著性能瓶頸，如果進行切換後，一台伺服器上就會同時運行兩個應用，有可能負載過大。

3）多點集群。可以理解為雙機熱備在技術上的提升。多機伺服器可以組成一個集群。根據應用的實際情況，可以靈活地在這些伺服器上進行部署，同時可以靈活地設置接管策略。比如，可以由一台伺服器作為其他所有伺服器的備機，也可以設置多重的接管關係，等等。這樣就可以充分地利用伺服器的資源，同時保證系統的高可用性。

根據雙機熱備實現過程中數據存儲方式的不同，可分為基於共享的存儲設備的方式和沒有共享的存儲設備的方式（純軟體方式）：

1)基於存儲共享的雙機熱備是較常見的一種方案，這種模式多用在資料庫及郵件服務等場合。採用兩台（或多台）伺服器，使用共享的存儲設置（磁碟陣列櫃或存儲區域網 SAN）。工作狀態下，只有一台伺服器可對共享存儲設備進行寫操作，以保證共享數據的完整性。

2)對於純軟體的方式，則是通過支持鏡像的雙機軟體，將數據可以實時複製到另一台伺服器上，這樣同樣的數據就在兩台伺服器上各存在一份，如果一台伺服器出現故障，可以及時切換到另一台伺服器。純軟體的方式比較適合交換機、防火牆及少量數據存儲的應用伺服器等設備做雙機熱備。

第三方電子支付平台最重要的資料庫系統雙機熱備簡要介紹：

圖4-5，資料庫伺服器A、B兩台共享一個磁碟陣列做成主備模式雙機熱備。假設資料庫伺服器A 為主機，B為備機。它們的 IP 地址分被為 192.168.0.2、192.168.0.3。在兩台伺服器上安裝有雙機熱備軟體，負責進行雙機熱備系統的管理。兩台伺服器通過心跳線彼此診測對方的工作狀態。兩台伺服器通過虛擬 IP(192.168.0.1)對外服務，所有的外部請求全部是對虛擬IP發起。

正常工作狀態下，A掛接磁碟陣列並對其進行讀寫操作，B對磁碟陣列不做操作：雙機熱備軟體控制外部的所有請求通過虛擬 IP 都轉發給 A處理。

一旦 A 發生故障，B 上的雙機熱備軟體通過心跳線通訊感知到對方狀態異常，則雙機熱備軟體將執行如下操作：停止運行 A 上的資料庫服務、卸載 A 上的共享磁碟陣列、在 B 上掛接共享磁碟陣列、在 B 上啟動資料庫服務、修改虛擬 IP 指向 B 的物理 IP（192.168.0.3）。這個轉換過程一般時間較短（幾分鐘內），從而在外部看來，資料庫一直是可用的。

三、防火牆

防火牆技術是當前信息系統建設中採用最多的安全設備，一般部署於網路中安全域的邊界，通過對不同安全域採取既定的訪問控制策略來達到規範網路訪問的目的。

傳統的防火牆技術有很多優點，但不能防範網路內部的威脅，也不能保護網路免受病毒或其他一些方式（協議欺騙等）的攻擊。因此，必須要結合其他技術和手段來提高網路的安全性。

七層防火牆可對應用級別進行細粒度訪問控制。目前市場上還出現了集成防火牆、VPN、網關防病毒、IPS、防拒絕服務攻擊、Net-Flow流量統計分析、AAA認證計費以及QoS帶寬管理等眾多產品功能於一體的集成式安全產品（UTM），具有電信級的性能和穩定性。

四、負載均衡

負載均衡建立在現有網路結構之上，提供了一種相對經濟有效的方法擴展伺服器帶寬和增加吞吐量，加強網路數據處理能力，提高網路的靈活性和可用性。負載均衡主要完成以下任務：解決網路擁塞問題，服務就近提供，實現地理位置無關性；為用戶提供更好的訪問質量；提高伺服器響應速度；提高伺服器及其他資源的利用效率；避免了網路關鍵部位出現單點失效。同時隨著業務不斷擴張，可以靈活的增加應用伺服器，實現設備的線性擴容，而不影響原有業務。

五、應用伺服器

應用伺服器承載著電子支付平台的應用程序，對外向用戶提供服務，伺服器的穩定性尤為重要。通過統計該電子支付平台平均訪問量、突發訪問量以及應用程序執行效率可為平台提供很好的設備選型參考。但是，單台伺服器的硬體配置總是有限的，即使選配硬體再高，應用程序也有可能由於這樣那樣問題導致系統性能問題。就需要在應用部署的時候充分考慮，一般來說，靜態頁面與動態頁面應分別部署在不同物理主機、資料庫查詢應用與交易應用分開、伺服器負載影響很大的服務應單獨部署，這樣，即使平台的某一部分出問題，不會導致平台整體不能對外服務。

六、交易資料庫

交易資料庫是整個電子支付平台最核心的部分，它承載了與交易有關的數據及客戶的各種信息，因此資料庫硬體、軟體選型中應慎之又慎。根據交易規模最好選用高配小型機組成集群對外提供服務。所有的交易數據應在磁碟陣列等專業存儲設備上存放，以防止數據丟失或損壞。

交易資料庫性能影響最大的操作是由各種各樣的查詢引起的。商戶要統計各種交易信息形成報表、第三方電子支付平台也需要查詢各種數據甚至進行大規模數據挖掘，這些資料庫查詢操作會消耗大量的資料庫伺服器資源（內存、CPU等）。如果交易和查詢服務由同一台資料庫伺服器提供，則可能由於大量並發查詢導致正常交易無法進行。因此，資料庫部署上，根據業務分離原則，建議將交易資料庫與查詢資料庫分別獨立部署於不同的資料庫伺服器，以保證整體對外服務的效率。

建議可採用兩台高性能的資料庫伺服器掛接磁碟陣列。一台用作交易資料庫、另一台用作查詢資料庫，同時兩台資料庫之間做雙機熱備，通過心跳通信互相偵測對方工作狀態，如果其中任意一台資料庫伺服器工作異常或宕機，則通過雙機熱備策略由另一台工作狀態正常的資料庫伺服器接管其工作，交易、查詢業務在物理上分離；同時又避免了單獨為兩台伺服器做雙機熱備冗餘而分別部署硬體設備帶來的巨額投入，提高了伺服器的利用率。

此外，建立一套行之有效的評估查詢語句效率的方法很有必要。事實上，即使最有經驗的程序員也有可能寫出對資料庫造成嚴重影響的SQL語句。

七、數據的存儲備份

第三方電子支付平台的數據存儲量巨大，對於第三方電子支付平台來說，數據的安全性是極為重要的，一旦重要的數據被破壞或丟失，就會對平台造成重大的影響，甚至是難以彌補的損失。因此，平台建設必須考慮數據的存儲備份。

企業的數據存儲主要有 DAS、NAS 和 SAN 三種模式：

1）DAS（Direct Attached Storage，直接外掛存儲）。這種存儲方案的伺服器結構的特點是：外部數據存儲設備（如磁碟陣列、光碟機、磁帶機等）都直接掛接在伺服器內部匯流排上，數據存儲設備是整個伺服器結構的一部分。DAS能夠解決單台伺服器的存儲空間擴展、高性能傳輸需求。但是，它依賴伺服器主機操作系統進行數據的 I/O 讀寫和存儲維護管理，數據備份和恢復要求佔用伺服器主機資源（包括 CPU、系統 I/O 等），數據備份通常佔用伺服器主機資源 20%~30%,因此許多企業用戶的日常數據備份常常在深夜或業務系統不繁忙時進行，以免影響正常業務系統的運行。直連式存儲的數據量越大，備份和恢復的時間就越長，對伺服器硬體的依賴性和影響就越大。

2）NAS（Network Attached Storage，網路附加存儲）。採用獨立於伺服器，單獨為網路數據存儲而開發的一種文件伺服器。NAS伺服器中集中連接了所有的網路數據存儲設備（如各種磁碟陣列、磁帶、光碟機等），存儲容量可以較好地擴展，同時由於這種網路存儲方式是NAS伺服器獨立承擔的，所以，對原來的網路伺服器性能基本上沒什麼影響，以確保整個網路性能不受影響。它提供了一個簡單、高性價比、高可用性、高擴展性和低總擁有成本的網路存儲解決方案。

3）SAN（Storage Area Network，存儲域網路）。與NAS完全不同，它不是把所有的存儲設備集中安裝在一個專門的NAS伺服器中，而是將這些存儲設備單獨通過光纖交換機連接起來，形成一個光纖通道的網路，然後這個網路再與企業現有區域網進行連接，在這種方案中，起著核心作用的就是光纖交換機，它的支撐技術就是 Fibre Channel（FC，光纖通道）協議，這是 ANSI 為網路和通道 I/O 介面建立的一個標準集成，支持 HIPPI、IPI、SCSI、IP、ATM等多種高級協議。在 SAN中，數據以集中的方式進行存儲，加強了數據的可管理性，同時適應於多操作系統下的數據共享同一存儲池，降低了總擁有成本。

八、其他建議

要在業務程序開發前考慮到系統部署。

系統設計、部署要考慮信息安全的因素，將信息安全要求內涵於設計中而不是到時候打補丁。

不要忽視信息系統基礎設施建設，統一的日誌伺服器、時間伺服器、DNS伺服器等在系統運維階段（尤其是調查取證和安全分析中）體現價值。

系統部署要不斷的調整優化以適應業務的需要和公司的發展。