f5 解決方案
方案提出
方案說明
在本方案中,除了傳統網絡的路由交換裝置保證網絡的連通性以外,還要考慮系統的多鍊路網際網路接入,網絡和應用的整體安全保護,多資料中心的應用級容災,智能域名管理,應用系統的高可用,快速和遠端使用者的安全快速接入。f5裝置部署在系統的關鍵總線位置,将整體系統使用“戰略控制點”的架構方式進行部署,在完全滿足以上需求的基礎上,同時提供一個靈活、可靠、易管理的面向私有雲架構的整體解決方案。
f5 方案優勢
應用區
<b>1. </b><b>實作應用高可用,避免“不平衡”現象</b>
f5 ltm利用virtual server虛拟伺服器(vs由ip位址和tcp/udp應用的端口組成)來為使用者的一個或多個目标伺服器(稱為node:目标伺服器的ip位址和tcp/udp應用的端口組成,它可以是私網位址)提供服務。是以,它能夠為大量的基于tcp/ip的網絡應用提供伺服器應用傳遞服務。根據服務類型不同分别定義伺服器群組,可以根據不同服務端口将流量導向到相應的伺服器。f5 ltm連續地對目标伺服器進行l4到l7合理性檢查,當使用者通過vip請求目标伺服器服務時,f5 ltm根椐目标伺服器之間性能和網絡健康情況,選擇性能最佳的伺服器響應使用者的請求。如果能夠充分利用所有的伺服器資源,将所有流量均衡的配置設定到各個伺服器,我們就可以有效地避免“不平衡”現象的發生。
<b>2. </b><b>伺服器的健康監控和檢查</b>
f5 ltm提供了先進的螢幕,用于檢查裝置、應用和内容的可用性,包括适合多種應用的專用螢幕(包括多種應用伺服器、http、sql、sip、ldap、xml/soap、rtsp、sasp、smb等),以及用于檢查内容和模拟應用調用的定制螢幕。
<b>3. </b><b>應用級安全防護</b>
随着更多的應用流量通過網絡上傳輸,敏感資料面臨着被盜、安全漏洞和攻擊的威脅,尤其是在應用層。f5的big-ip®應用安全管理器™ (asm)是一個先進的web應用防火牆,可顯著減少和控制資料、知識産權和web應用丢失或損壞的風險。big-ip asm通過一個将應用傳遞與網絡和應用加速及優化結合在一起的平台,提供了無與匹敵的應用和網站防護、完整的攻擊專家系統,并且可以滿足關鍵的法規要求。big-ip asm是業内最全面的web應用安全與應用完整性解決方案。對于對業務至關重要的應用,屢獲殊榮的big-ip asm能夠使其保持安全性、可用性和高性能,進而保護了您企業的安全,并維護了企業的聲譽。
滿足安全标準的要求,先進的内置安全防護和遠端審計功能可幫助您的企業以經濟高效的方式滿足行業安全标準的要求,包括pci dss、hipaa、basel ii和sox,您既不需要購置多個裝置,也不需要對應用進行更改或重寫。big-ip asm提供了針對新型威脅的進階報告能力,例如第7層服務拒絕攻擊(dos)、暴力攻擊和sql注入攻擊等。通過pci報告功能,big-ip asm列出了pcidss 1.2所要求的安全措施,并确定是否滿足了要求,若未滿足要求則詳細說明為滿足要求所需采取的措施。此外,big-ip asm與whitehat、splunk和secerno內建,可支援漏洞評估、審計和實時資料庫報告功能,進而實作安全違規檢查、攻擊防護和法規遵從。
<b>4. </b><b>連接配接優化</b>
f5 ltm通過oneconnect技術,将所有用戶端的tcp連接配接轉移至f5 ltm進行處理;而f5 ltm與伺服器之間僅建立少量的、持續的tcp連接配接。使web伺服器從處理大量的并發tcp請求和tcp連接配接建立/解除安裝的負擔中解脫出來,同時當f5 ltm收到使用者請求後才發送到伺服器,伺服器可免于受到用戶端和網絡異常的影響。f5 ltm還會緩存所有伺服器的響應資料包,伺服器以lan速度發送資料到f5 ltm,伺服器不會受到慢速用戶端連接配接的牽累。伺服器的大量cpu資源被釋放來提供資料,而不是管理連接配接。
<b>5. </b><b>動态内容控制</b>
動态内容控制(dcc)是一組能夠對使用者浏覽器行為進行控制的功能,它能夠保證對帶寬的高效使用,并避免對重複或複制資料進行下載下傳。通過減少條件請求數量以及浏覽器和web應用之間傳輸的資料量,動态内容控制可以降低wan時延和錯誤的影響。與內插補點壓縮方法的常見做法不同,動态内容控制不需要安裝java程式或者對浏覽器進行更改。
動态内容控制包括三大主要功能:
l 智能浏覽器參照—通過杜絕對重複資料的下載下傳,并防止浏覽器向那些被誤認為是動态資料的靜态資料發出條件請求,可確定浏覽器僅下載下傳真正動态而唯一的内容。
l 多連接配接—能夠讓浏覽器在浏覽器與web應用之間建立更多的并發連接配接,增強并行資料傳輸能力。多連接配接功能對于衛星網絡和移動網絡等高時延/高帶寬網絡來說是一項極其有效的功能。
l 動态線性化—能夠讓使用者即時顯示pdf頁面或者跳轉至特定頁面,無需等待整個檔案下載下傳完畢便可以進行浏覽。
<b>6. </b><b>ssl </b><b>加速子產品</b>
ssl加速子產品用于從伺服器解除安裝占用大量 cpu 資源的處理流程,以及将 ssl 解密移植到設計用來高效處理 ssl 事務的高性能裝置上。
<b>100% ssl</b>
企業現在可以去除安全、以及線速處理的全部瓶頸(并發使用者、大吞吐量和每秒新事務),并将所有通信都移植到ssl。
<b>整合</b>
将 ssl 證書直接整合到 big-ip 上,這樣每個證書可以節省數百美元。
<b>集中管理</b>
将證書管理集中到一個單一位置,進而極大地簡化管理負荷。
<b>降低成本</b>
不再需要為網絡中的每台伺服器購買和安裝支援 ssl 的伺服器軟體。
<b>有選擇的内容加密和經過加密的 cookie</b>
針對整體或部分資料,或有條件地對資料進行加密;提供業界最精确的控制能力,而無需将所做更改編碼到應用中。
網際網路接入區
<b>1. </b><b>簡單明了的鍊路高可用性</b>
按照f5推薦的部署方式,讓使用者不再需要營運商配置設定獨立自治域、提供bgp協助。基于dns智能解析的方式可以杜絕一切多鍊路結構可能産生的問題,如高延時、流量難以控制等。使用gtm和ltm,使用者可以得到有保證的高可用性而同時不必擔心高延時或路由混亂的所産生的問題。
<b>2. </b><b>全面提升鍊路性能</b>
f5 gtm/ltm可以提供全方位的、基于不鍊路的優化服務來解決鍊路性能的問題。因為提升了鍊路的使用率,使用者自然可以省去很多原本要花在鍊路上的投資,同時更能提升鍊路性能、降低對新增帶寬的需求。簡單明了的鍊路高可用性
<b>3. </b><b>廣域網上的tcp優化</b>
tcp協定的設計會産生很多無用資訊,而不必要的消耗過多廣域網帶寬。f5所有産品都運作于tmos(traffic management os)上,這是一個被獨特設計專門用來處理網絡流量的作業系統。其中含有被高度優化過的tcp/ip協定棧,較原來的協定很大程度上提高了運作效率。這些優化的tcp功能例如: 快速重傳和恢複、适應性擁塞視窗、選擇性确認、擁塞通知等,主旨都在于加速傳輸和減少延時。
<b>4. </b><b>通過quova位址庫實作基于位址的流量配置設定</b>
f5産品可以與quova ip位址庫協同工作,而實作基于位址的流量配置設定。quova 技術可按照各種級别将ip位址和相關資料映射到地理位置。環境位置資訊可以解決多種安全問題,例如根據位置設定下載下傳和通路限制。quovaip地理定位資料的引入,使 f5的使用者可以在網絡外圍解決各種企業網絡問題,而不必深入到web應用層。同時,本地化功能,例如設定網頁的預設語言和為特定領域定制内容,也将依賴 quova 資料。
<b>5. </b><b>基于irules腳本的可程式設計控制</b>
管理者可以編寫irules 腳本,根據資料包源/目的ip位址,協定等資訊來指定其所選鍊路。進而實作對流量的精準調控。
<b>6. </b><b>支援下一代ipv6網絡</b>
通過gtm或lc的ipv6網關功能,使用者可以在内部使用ipv6網絡的伺服器,而為外部使用者繼續提供ipv4服務,或者在兩種協定間随意轉換,而不會對網絡造成任何額外負擔。
<b>7. </b><b>簡化接入管理</b>
f5 apm和edge gateway将接入服務統一到單個易于管理且經過優化的網絡裝置上,可幫您實作快速部署,并降低各種服務的管理成本。
<b>8. </b><b>統一的接入服務</b>
f5 apm和edge gateway為接入内部應用而配備了網絡和應用接入以及内容重寫服務,提供了從所有網絡到企業應用的安全連接配接,包括遠端lan、内部lan以及公共和内部無線網。這一靈活、高性能的裝置采用ssl隧道和可選的用戶端技術保證任何使用者能夠從任何地點和任何用戶端裝置實作安全接入。
<b>9. </b><b>接入政策</b>
利用f5 apm和edge gateway,您可以為終端安全檢查、驗證和授權設計接入政策,使使用者遵從公司的規章。您可以為來自任何裝置的所有連接配接定義一個接入簡檔,或者可以為不同的接入方法建立多個簡檔,而每個簡檔都有自己的接入政策。例如,您可以為企業lan、×××或無線連接配接建立一個政策。通過這些政策,您的網絡就具備了内容感覺能力: 連接配接使用者是誰、使用者在何處接入應用,以及接入時的網絡狀态如何。
<b>10. </b><b>單點登入sso</b>
f5 apm/edge gateway 支援跨域的單點登入和kerberos ticketing。一旦使用者通過一種支援的認證方式進行認證,他将可以自動登入背景的其他同一kerberos realm的應用和服務。
更多相關資訊,請關注f5中國官方網站:www.f5.com.cn