F5 解决方案
在本方案中,除了传统网络的路由交换设备保证网络的连通性以外,还要考虑系统的多链路互联网接入,网络和应用的整体安全保护,多数据中心的应用级容灾,智能域名管理,应用系统的高可用,快速和远程用户的安全快速接入。F5设备部署在系统的关键总线位置,将整体系统使用“战略控制点”的架构方式进行部署,在完全满足以上需求的基础上,同时提供一个灵活、可靠、易管理的面向私有云架构的整体解决方案。
F5 方案优势
1. 实现应用高可用,避免“不平衡”现象
F5 LTM利用Virtual Server虚拟服务器(VS由IP地址和TCP/UDP应用的端口组成)来为用户的一个或多个目标服务器(称为Node:目标服务器的IP地址和TCP/UDP应用的端口组成,它可以是私网地址)提供服务。因此,它能够为大量的基于TCP/IP的网络应用提供服务器应用交付服务。根据服务类型不同分别定义服务器群组,可以根据不同服务端口将流量导向到相应的服务器。F5 LTM连续地对目标服务器进行L4到L7合理性检查,当用户通过VIP请求目标服务器服务时,F5 LTM根椐目标服务器之间性能和网络健康情况,选择性能最佳的服务器响应用户的请求。如果能够充分利用所有的服务器资源,将所有流量均衡的分配到各个服务器,我们就可以有效地避免“不平衡”现象的发生。
2. 服务器的健康监控和检查
F5 LTM提供了先进的监视器,用于检查设备、应用和内容的可用性,包括适合多种应用的专用监视器(包括多种应用服务器、HTTP、SQL、SIP、LDAP、XML/SOAP、RTSP、SASP、SMB等),以及用于检查内容和模拟应用调用的定制监视器。
3. 应用级安全防护
随着更多的应用流量通过网络上传输,敏感数据面临着被盗、安全漏洞和攻击的威胁,尤其是在应用层。F5的BIG-IP®应用安全管理器™ (ASM)是一个先进的Web应用防火墙,可显著减少和控制数据、知识产权和Web应用丢失或损坏的风险。BIG-IP ASM通过一个将应用交付与网络和应用加速及优化结合在一起的平台,提供了无与匹敌的应用和网站防护、完整的攻击专家系统,并且可以满足关键的法规要求。BIG-IP ASM是业内最全面的Web应用安全与应用完整性解决方案。对于对业务至关重要的应用,屡获殊荣的BIG-IP ASM能够使其保持安全性、可用性和高性能,从而保护了您企业的安全,并维护了企业的声誉。
满足安全标准的要求,先进的内置安全防护和远程审计功能可帮助您的企业以经济高效的方式满足行业安全标准的要求,包括PCI DSS、HIPAA、Basel II和SOX,您既不需要购置多个设备,也不需要对应用进行更改或重写。BIG-IP ASM提供了针对新型威胁的高级报告能力,例如第7层服务拒绝攻击(DoS)、暴力攻击和SQL注入攻击等。通过PCI报告功能,BIG-IP ASM列出了PCIDSS 1.2所要求的安全措施,并确定是否满足了要求,若未满足要求则详细说明为满足要求所需采取的措施。此外,BIG-IP ASM与WhiteHat、Splunk和Secerno集成,可支持漏洞评估、审计和实时数据库报告功能,从而实现安全违规检查、攻击防护和法规遵从。
4. 连接优化
F5 LTM通过Oneconnect技术,将所有客户端的TCP连接转移至F5 LTM进行处理;而F5 LTM与服务器之间仅建立少量的、持续的TCP连接。使Web服务器从处理大量的并发TCP请求和TCP连接建立/卸载的负担中解脱出来,同时当F5 LTM收到用户请求后才发送到服务器,服务器可免于受到客户端和网络异常的影响。F5 LTM还会缓存所有服务器的响应数据包,服务器以LAN速度发送数据到F5 LTM,服务器不会受到慢速客户端连接的牵累。服务器的大量CPU资源被释放来提供数据,而不是管理连接。
5. 动态内容控制
动态内容控制(DCC)是一组能够对用户浏览器行为进行控制的功能,它能够保证对带宽的高效使用,并避免对重复或复制数据进行下载。通过减少条件请求数量以及浏览器和Web应用之间传输的数据量,动态内容控制可以降低WAN时延和错误的影响。与差值压缩方法的常见做法不同,动态内容控制不需要安装Java程序或者对浏览器进行更改。
动态内容控制包括三大主要功能:
l 智能浏览器参照—通过杜绝对重复数据的下载,并防止浏览器向那些被误认为是动态数据的静态数据发出条件请求,可确保浏览器仅下载真正动态而唯一的内容。
l 多连接—能够让浏览器在浏览器与Web应用之间建立更多的并发连接,增强并行数据传输能力。多连接功能对于卫星网络和移动网络等高时延/高带宽网络来说是一项极其有效的功能。
l 动态线性化—能够让用户即时显示PDF页面或者跳转至特定页面,无需等待整个文件下载完毕便可以进行浏览。
6. SSL 加速模块
SSL加速模块用于从服务器卸载占用大量 CPU 资源的处理流程,以及将 SSL 解密移植到设计用来高效处理 SSL 事务的高性能设备上。
100% SSL
企业现在可以去除安全、以及线速处理的全部瓶颈(并发用户、大吞吐量和每秒新事务),并将所有通信都移植到SSL。
整合
将 SSL 证书直接整合到 BIG-IP 上,这样每个证书可以节省数百美元。
集中管理
将证书管理集中到一个单一位置,从而极大地简化管理负荷。
降低成本
不再需要为网络中的每台服务器购买和安装支持 SSL 的服务器软件。
有选择的内容加密和经过加密的 Cookie
针对整体或部分数据,或有条件地对数据进行加密;提供业界最精确的控制能力,而无需将所做更改编码到应用中。
1. 简单明了的链路高可用性
按照F5推荐的部署方式,让用户不再需要运营商分配独立自治域、提供BGP协助。基于DNS智能解析的方式可以杜绝一切多链路结构可能产生的问题,如高延时、流量难以控制等。使用GTM和LTM,用户可以得到有保证的高可用性而同时不必担心高延时或路由混乱的所产生的问题。
2. 全面提升链路性能
F5 GTM/LTM可以提供全方位的、基于不链路的优化服务来解决链路性能的问题。因为提升了链路的利用率,用户自然可以省去很多原本要花在链路上的投资,同时更能提升链路性能、降低对新增带宽的需求。简单明了的链路高可用性
3. 广域网上的TCP优化
TCP协议的设计会产生很多无用信息,而不必要的消耗过多广域网带宽。F5所有产品都运行于TMOS(Traffic Management OS)上,这是一个被独特设计专门用来处理网络流量的操作系统。其中含有被高度优化过的TCP/IP协议栈,较原来的协议很大程度上提高了运行效率。这些优化的TCP功能例如: 快速重传和恢复、适应性拥塞窗口、选择性确认、拥塞通知等,主旨都在于加速传输和减少延时。
4. 通过Quova地址库实现基于地址的流量分配
F5产品可以与Quova IP地址库协同工作,而实现基于地址的流量分配。Quova 技术可按照各种级别将IP地址和相关数据映射到地理位置。环境位置信息可以解决多种安全问题,例如根据位置设置下载和访问限制。QuovaIP地理定位数据的引入,使 F5的用户可以在网络外围解决各种企业网络问题,而不必深入到Web应用层。同时,本地化功能,例如设置网页的默认语言和为特定领域定制内容,也将依赖 Quova 数据。
5. 基于iRules脚本的可编程控制
管理员可以编写iRules 脚本,根据数据包源/目的ip地址,协议等信息来指定其所选链路。从而实现对流量的精准调控。
6. 支持下一代IPv6网络
通过GTM或LC的IPv6网关功能,用户可以在内部使用IPv6网络的服务器,而为外部用户继续提供IPv4服务,或者在两种协议间随意转换,而不会对网络造成任何额外负担。
7. 简化接入管理
F5 APM和Edge Gateway将接入服务统一到单个易于管理且经过优化的网络设备上,可帮您实现快速部署,并降低各种服务的管理成本。
8. 统一的接入服务
F5 APM和Edge Gateway为接入内部应用而配备了网络和应用接入以及内容重写服务,提供了从所有网络到企业应用的安全连接,包括远程LAN、内部LAN以及公共和内部无线网。这一灵活、高性能的设备采用SSL隧道和可选的客户端技术保证任何用户能够从任何地点和任何客户端设备实现安全接入。
9. 接入策略
利用F5 APM和Edge Gateway,您可以为终端安全检查、验证和授权设计接入策略,使用户遵从公司的规章。您可以为来自任何设备的所有连接定义一个接入简档,或者可以为不同的接入方法创建多个简档,而每个简档都有自己的接入策略。例如,您可以为企业LAN、×××或无线连接创建一个策略。通过这些策略,您的网络就具备了内容感知能力: 连接用户是谁、用户在何处接入应用,以及接入时的网络状态如何。
10. 单点登录SSO
F5 APM/Edge Gateway 支持跨域的单点登录和Kerberos ticketing。一旦用户通过一种支持的认证方式进行认证,他将可以自动登录后台的其他同一Kerberos realm的应用和服务。
更多相关资讯,请关注F5中国官方网站:www.f5.com.cn
