F5解决方案交流课件.ppt

1、行业应用加速与网络安全行业应用加速与网络安全F5解决方案解决方案Presented by:Wu Dong F5 Presales Consultant 2Application网络和应用之间巨大的缝隙网络和应用之间巨大的缝隙应用关注业务逻辑和功能应用关注业务逻辑和功能传统网络关注连通传统网络关注连通网管网管应用开发人员应用开发人员新的安全漏洞高代价的扩展性能低下?3应用与网络之间的问题分析应用与网络之间的问题分析服务器端的问题客户端的问题应用网络应用整合导致速度变慢应用扩展性限制应用安全性受到挑战高资源消耗和应用配合性很差应用复杂导致使用困难网络拥挤不堪，访问速度很慢客户端安全性受到挑战接入环

2、境差异导致使用困难应用高可用性需求增强4现有的应用架构现有的应用架构广域网/InternetWEB/应用服务器数据库服务器数据库客户端5行业应用面临的问题行业应用面临的问题1-WEB/1-WEB/应用服务器瓶颈应用服务器瓶颈产生的原因 应用的整合导致业务逻辑复杂 大数据量查询与分析导致应用服务器资源占用上升 JAVA技术的广泛使用在带来开发和使用的易用性的同时导致了系统性能瓶颈 B/S结构的易用性决定了需求的持续增长传统的解决办法 更换更强的应用服务器 优化代码仍然存在的问题 单点故障 硬件投资急剧上升 新硬件平台带来的性能提升有限 随着需求的增长维护与迁移导致更高的维护成本6行业应用面临的问

3、题行业应用面临的问题1-1-数据库性能瓶颈数据库性能瓶颈产生的原因 历史数据累积，导致数据库越来越庞大 高性能计算要求，对数据库性能要求越来越高 数据深度挖掘，数据库整合，跨表查询等 大量的数据分析工作耗费大型主机资源传统解决办法 更换性能更强的数据库服务器 HA架构并不能带来性能的提升仍然存在的问题 硬件投资急剧上升 单点故障，管理维护复杂7F5 ADN解决方案解决方案-F5应用交换机应用交换机 BIGIP-LTM截取监控保持负载均衡截截获获和和检查检查流量流量,保证只有合适的数据包才能通过服服务务器器监监控和健康控和健康检查检查,随时了解服务器群的可用性状态负载负载均衡和均衡和应应用交用交

4、换换功能功能,通过各种策略导向到合适的服务器会会话话保持保持以实现与应用系统完美结合8BIGIP-LTM的作用范围的作用范围-Layer4-7Lay4-7层交换机别名:负载均衡交换机内容交换机应用交换机主动式流量管理Lay4-7层交换机工作在网络第4-7层协议上Lay4-7层交换机的作用提高应用系统/服务器的可用性提高应用系统的安全性降低IT系统的管理和升级的成本提高IT系统的效率和容量表示层会话层传输层网络层链路层物理层应用层PHYMACIPTCP/UDP/其他FTPSMTP/POP3SIP/H.323SMS/MMSSQLIIOPHTTP/HTTPSLay4-7Switch9BIGIP-LT

5、M应用的物理结构应用的物理结构客户端将请求发送到BIGIP-LTM对外的虚拟地址BIGIP-LTM将请求转发到服务器群组中BIGIP-LTM将服务器的返回发送到最初发起请求的客户端在BIGIP-LTM上制定负载均衡策略及会话保持策略在BIGIP-LTM上制定服务器健康检查策略客户端请求负载均衡分配应用交换机10BIGIP-LTM的逻辑结构的逻辑结构虚拟服务器虚拟服务器 服务器池服务器池 w/Rules举例举例virtual server192.168.101.1:80pool(name=cgi_boxes)member(server=10.1.1.3:80)member(server=10.1

6、.1.2:80)member(server=10.1.1.1:80)pool(name=asp_boxes)member(server=10.1.1.6:80)member(server=10.1.1.5:80)member(server=10.1.1.4:80)virtual addr192.168.101.1virtual server192.168.101.1:443pool(name=ssl_boxes)member(server=10.1.1.6:443)member(server=10.1.1.2:443)member(server=10.1.1.1:443)virtual add

7、r192.168.101.2LoadBalancingIntelligent Traffic Control(look at URL,client IP addr.,etc.)Port-basedTraffic DirectionIP Addr.-basedTraffic DirectionIncoming request11BIGIP-LTM在应用系统中的部署在应用系统中的部署BIGIP-LTMBIGIP-LTMBIGIP-LTM12BIGIP-LTM关于数据库负载均衡的特别说明关于数据库负载均衡的特别说明在BIGIP-LTM上尚未提供数据库读写分开的能力需要对应用层进行改动13行业应用面临

8、的问题行业应用面临的问题2-SSL压力压力产生的原因 交易中SSL应用越来越普遍，防止中途窃听和篡改 SSL安全传输广泛部署于Internet和内部网络访问 服务器对SSL处理能力有限 SSL对称加密和非对称加密占用大量计算资源传统的解决方案 采用更多的服务器负载均衡 在服务器端安装硬件加速卡 采用基于主机方式的SSL网关仍然存在的问题 管理维护复杂 增加SSL网关的软件和硬件投资巨大 在更换或者增加CA时维护复杂或难以实现 普通加速卡只能解决非对称加密的部份而不能解决对称加密部分14F5 ADN解决方案解决方案-F5 LTM SSL OffloadHTTPSHTTP/HTTPSCRLDP S

9、erverOCSP Server作废证书验证SSL加速/应用交换服务器群组CA Server证书发放，更新作废证书列表集中处理SSL流量，转换为HTTP之后发送给服务器减小服务器端压力同时处理非对称加密和对称加密支持多种CA和证书应用，支持多CA同时处理15F5 BIGIP-LTM SSL加速性能与功能加速性能与功能SSL 性能参数性能参数BIG-IP 1500BIG-IP 3400BIG-IP 6400BIG-IP 6800Max SSL TPS2,1005,10015,10020,100Max SSL Bulk500Mb/s1Gb/s 2Gb/s 2Gb/sMax SSL CC100,00

10、0200,000500,000500,000客户机到客户机到BIGIP端到端加密通道端到端加密通道 保证电子交易传输安全，可靠证书认证功能证书认证功能-支持多种CA证书体系服务器服务器SSL传输传输 实现后端服务器加密传输，提供最大安全性资源访问控制资源访问控制 控制客户端访问资源内容证书信息透传证书信息透传-提供服务器更多信息，减小服务器端压力多应用系统支持多应用系统支持-支持典型的WebSphere、WebLogic、Tomcat等应用服务器完善的日志输出完善的日志输出-加强安全审计功能16行业应用面临的问题行业应用面临的问题3-广域网广域网B/S带宽占用带宽占用产生的原因 B/S开发相对

11、简单，结构清晰，无须客户端维护 大量的传统C/S应用在进行B/S转换 B/S应用的带宽占用远远大于C/S应用 在处理中加入了大量界面代码，导致单笔交易的数据传输量增加传统的解决办法 增加广域网带宽仍然存在的问题 增加带宽仍然可能速度没有提升（网络延迟）增加带宽的资金投入为持续性，没有回报17F5 ADN解决方案解决方案-HTTP 压缩压缩/Cache/连接优化连接优化对服务器返回页面进行压缩文本的通常压缩比可达5:1选择性压缩，对不可压缩内容不压缩。对高速访问用户端不压缩减小广域网传输流量提高客户端页面加载速度连接优化可以将一个用户的多个请求或者多个用户的请求合成一个连接发送到服务器，减小应用

12、服务器的压力HTTPHTTPHTTP 动态压缩/Cache18HTTP 压缩的效果压缩的效果CompanyCompany(home page)Bytes Saved with Bytes Saved with CompressionCompressionPercentage Saved Percentage Saved with Compressionwith CompressionTransfer Speed Transfer Speed ImprovementImprovementOracleOracle71,89573%3.7xE E*tradetrade46,77270%3.3xLub

13、rizolLubrizol86,73266%2.9xXeroxXerox73,04464%2.8xHilton HotelsHilton Hotels102,48755%2.2xNorth Western MutualNorth Western Mutual55,54153%2.1xBest BuyBest Buy127,29951%2.1xBed Bath and BeyondBed Bath and Beyond114,85451%2.1xInsight EnterpriseInsight Enterprise53,77750%2.0 xProgressiveProgressive47,7

14、0152%2.1x19HTTP优化压缩优化压缩/连接优化后的实际效果连接优化后的实际效果服务器占用减少服务器占用减少 1/3 授权费用减少授权费用减少 1/3 管理时间减少管理时间减少 1/3114.8Million5Million95%Fewer Connections1.87Terabyte621Gigabytes带宽占用减少带宽占用减少66%3 Seconds1 Seconds快快3倍倍端到端的页面端到端的页面 加载时间加载时间20行业应用面临的问题行业应用面临的问题4-远程安全访问远程安全访问使用者轻车熟路 针对真正使用者 任何时间，任何地点，任何系统平台。与内网与内网访问访问方式相同

15、方式相同，不需额外负担，请请不要再不要再给给我我负负担！担！系统安全性 -针对安全管理人员 端点自检查方式，完全符合企业对安全管理的需求安全管理的需求。防范病毒入侵 防范应用攻击 管理轻松方便 针对系统管理员 与现现有的有的认证认证系统轻松融合，如此多远程用户，别别再再给给我添乱了！我添乱了！方便灵巧的跟踪跟踪报报告方式告方式，轻松记录远程访问人员何时访问过何种资源全中文界面全中文界面，方便使用者和管理者双向双向访问访问模式模式，可提供信息主主动动推送推送到端点，并对端点有效维护。21F5 ADN解决方案解决方案-F5 FirePass SSL VPNInternetLaptopMobile

16、DevicePartner应用访问应用访问门户访问门户访问网络访问网络访问动态策略动态策略后端访问后端访问任何用户任何用户任何设备任何设备KioskSecured bySSLIntranetFirePass用户认证用户认证系统系统22FirePass SSL VPN的应用部署的应用部署简化策略管理集成终端安全检查高性能InternetInternet内部非安全内部非安全网段网段隔离区隔离区网络网络无线网接入无线网接入用户认证用户认证系统系统SSL企业桌面系统企业桌面系统远程笔记本电脑远程笔记本电脑VLAN 1SSLSSL内部安全内部安全网段网段VLAN 223F5 FirePass的特色的特色

17、提供全网提供全网络访问络访问功能功能：基于IP的应用都可以访问集成终端安全检查：集成终端安全检查：可以检查客户端的软件安装、防火墙、防病毒软件的使用、Windows Patch是否安装等。与内网与内网访问访问方式相同方式相同：不需额外负担随随时时随地接入随地接入：使用SSL协议作为接入协议，与具体接入条件无关，有效的避免了IPSec VPN在某些网络条件下无法接入的弊端 多种多多种多样样的接入客的接入客户户端端：可以使用多种客户端接入，包括Mac、Linux、Solaris、Windows CE等等，大大扩展了客户端的使用便利性24行业应用面临的问题行业应用面临的问题5-广域网数据传输广域网数

18、据传输客户端客户端服务器服务器时间文件OpenFID300 ms广域网延迟Read(1)300 msRead(2)300 msRead(n)300 msRead(2)Read(1)Read(n)File一个一个WindowsWindows文件共享文件共享 拷贝拷贝100MB100MB文件大约产生文件大约产生1,700 1,700 个来回个来回局域网局域网:1,700 x 1:1,700 x 1 毫秒毫秒 =1.7=1.7 秒秒广域网广域网:1,700 x 300:1,700 x 300 毫秒毫秒 =8.5 8.5 分钟分钟！标准标准TCP协议的传输问题协议的传输问题广域网延迟广域网延迟25F5

19、 ADN解决方案解决方案-WANJet广域网加速广域网加速客户端客户端服务器服务器时间文件300 ms局域网存取文件局域网存取文件:1,700 x 1:1,700 x 1 毫秒毫秒 =1.7=1.7 秒秒加速后第一次存取文件延迟减小加速后第一次存取文件延迟减小:200 x 300:200 x 300 毫秒毫秒=1 1 分钟分钟 ：8.5 8.5 分钟（没有加分钟（没有加速）速）加速后第二次存取文件速度加速后第二次存取文件速度:6 x 300:6 x 300 毫秒毫秒 =1.8=1.8 秒秒WANJet透明加速透明加速广域网广域网Client加速隧道加速隧道CIFS 请求CIFS 应答CIFS

20、请求CIFS 应答CIFS ProxyCIFS Proxy技术动态减小数据包往返次数技术动态减小数据包往返次数WANJetWANJetWANJetWANJet26F5 ADN解决方案解决方案-WANJet广域网加速广域网加速显著的减少在WAN上的带宽消耗完全透明：用户端和服务端感觉不到加速设备的应用广泛的协议支持：包括FTP,HTTP,CIFS的任何协议广泛的文件类型支持：包括Powerpoint,PDF,CAD等任何文件类型已经压缩的数据也可以减少数据的传输：ZIP，rar，jpeg图片等没有文件的缓存或预存TDR数据字典技术具有LAN性能的 WANSSL 加密传输加密传输解密数据解密数据解

21、密数据解密数据27广域网加速的实际效果广域网加速的实际效果应用类型实际应用的最佳状态平均状态文件传输500X10X数据库(SQL)90X10X网络存储(iSCSI)50X10X备份(Veritas)15X5X远程接入(Microsoft)5X2X28F5 WANJet广域网加速的部署广域网加速的部署成熟解决方案，在大型银行中应用提高分部部到数据中心，数据中心到备份中心的传输速度29行业应用面临的问题行业应用面临的问题6-流量安全监控瓶颈流量安全监控瓶颈产生的原因 网络中传输数据的不可知性，视频会议、邮件、HTTP、即时通讯、OA、FTP。网络攻击 敏感数据明文传输 安全监控设备处理能力有限传统

22、处理办法 采用更高端的硬件采集设备 采用NetFlow等协议进行简单分析仍然存在的问题 实时性无法保证 无法做到协议级分析 投资持续增高 迄今还没有能支持到10Gbps的独立式监控系统30F5 ADN解决方案解决方案-F5 LTM镜像流量分配镜像流量分配可以根据协议、IP等条件，对镜像流量进行分配多台入侵检测/流量分析设备共同工作高可扩展性，当带宽增加的时候只需要增加前端处理设备最大可到10Gbps的流量分配入侵检测设备入侵检测设备广域网广域网TAP局域网局域网TAP 可以是一个被动的分光器,主动式的 TAP,或者是内置在以太网交换机内的镜像功能.应用交换机应用交换机入侵检测设备入侵检测设备入

23、侵检测设备入侵检测设备31协议级分析的内容协议级分析的内容-第三方产品第三方产品协议分析层：主要分析的协议及内容协议分析层：主要分析的协议及内容Radius协议：帐号、IP、上线时间、下线时间、上传流量、下载流量、上传包数、下载包数HTTP协议：帐号、源IP/端口、目的IP/端口、访问时间、域名/HOST、URL、网站类别、流量邮件（SMTP/POP）协议：帐号、源IP、发件人帐号、收件人帐号、收发时间、协议类型（smtp/pop3）、收发工具、流量即时通信（MSN/QQ/ICQ/YMSG/UC）协议：帐号、源IP、登录帐号、上线时间、下线时间、协议类型（MSN/QQ/ICQ/YMSG/UC）

24、、流量P2P（BT/EDONKEY等）协议：帐号、源IP、P2P应用类型（BT/EDONKEY）、HTTP URL、种子文件名、开始时间、结束时间、上传流量、下载流量 Tracker IP列表VOIP协议：协议：帐号、源IP、目的IP、目的IP类型（网关/网守）、协议类型（H.323/SIP）、开始时间、结束时间、流量流媒体协议：流媒体协议：帐号、源IP、目的IP、流媒体类型（RTSP/MMS）、流媒体文件名、开始时间、结束时间、上传流量、下载流量32行业应用面临的问题行业应用面临的问题7-多链路接入多链路接入测试项目测试项目网通北京网通北京ADSL用户用户访问访问 12月月2日凌日凌晨晨1时

25、时广东电信用户访问，广东电信用户访问，宽带用户，带宽带用户，带宽未知，宽未知，12月月2日日 16:30网通北京网通北京ADSL用户用户访问，访问，12月月2日日16:00上海上海ADSL宽带用户宽带用户访问，访问，12月月2日日 20:00应用应用3DNS后后DNS 解析结果解析结果202.99.30.209219.142.91.11202.99.30.209219.142.91.11网通网通电信电信网通网通电信电信网通网通电信电信网通网通电信电信Number of hits:726947652471935Requests per Second1.201.150.071.270.870.78

26、0.320.58Socket Connects737057753482036Total Bytes Sent(in KB)14.1913.470.9614.9613.6112.233.877.03Bytes Sent Rate(in KB/s)0.240.220.020.250.230.200.060.12Total Bytes Recv(in KB)4148.244001.90256.584388.543019.942703.2621733983Bytes Recv Rate(in KB/s)69.1266.684.2873.1250.3245.050.360.66网通电信拆分后，南北网络访

27、问速度差异极大，接近20倍证券用户访问困难，客户投诉增加单链路中断导致全部访问中断33F5 ADN解决方案解决方案-F5 GTM/LTM网通电信电信线路接入路由器网通线路接入路由器外层防火墙BIGIP-LTM外层防火墙BIGIP-LTMBIGIP-LTMBIGIP-LTMBIGIP-GTMBIGIP-GTMBIGIP-GTM负责Internet用户的访问引导BIGIP-LTM负责多链路处理、防火墙负载均衡、服务器负载均衡将DNS处理与链路处理放在独立的设备上，提高系统安全型、抗攻击能力和扩展性可以完成多种复杂的功能配置和需求34F5 ADN解决方案解决方案-F5 LinkControler实现

28、多链路的高可用性动态选择最佳链路根据应用需求可灵活定义内置带宽控制功能，保证优先业务运行可选压缩功能可减小带宽占用简化设备配置，减小维护工作量InternetBIG-IP Link Controller服务器集群内部客户端ISP1ISP2ISP3防火墙内部网络2121证券用户远端服务器35什么是什么是ADN？-Application Delivery NetworkADN 的目标：通过最有效率，最方便的实现方式来实现应用的Secure、Fast和AvailableApplicationDeliveryNetworkUsersData CenterSAPMicrosoftOracleAt Hom

29、eIn the OfficeOn the Road36F5 ADN的全家福的全家福应用系统用户异地数据中心Enterprise ManagerTMOSiControlBIG-IP Global Traffic ManagerWANJetFirePassBIG-IP LocalTrafficManagerTrafficShieldWebAcceleratorBIG-IP LinkController37ADN的管理的管理-Enterprise Manager集中管理所有F5设备简化配置管理、软件升级等设备证书统一管理38ADN的开发接口的开发接口-iControl通用的软件架构支持F5产品的互相

30、通讯:收集信息 发送指令免费的软件开发工具包(SDK)让软件开发者开发应用使开发与F5产品通讯的模块全自动化的应用控制网络功能“个性化管理软件个性化管理软件技术技术 F5 网络控制网络控制架构架构 通过将网络通过将网络应用软件与应用软件与F5网络网络硬件设备无缝集成硬件设备无缝集成使使F5公司遥遥领先公司遥遥领先于竞争对手于竞争对手.”PC MagazineJanuary 2,200239ADN的基础的基础-TMOSiControl iControl for Application IntegrationF5 ProductsF5 ProductsTMOSTMOSOperating Syste

31、mShared Application ServicesShared Network ServicesApplicationOptimizationApplication SecurityApplicationAvailability40F5 ADN产品集合总结产品集合总结广域网加速、优化、应用高可用性高可用性和优化接入对Internet/Intranet用户实现高可用性 与 应用加速安全统一接入控制 多站点并行处理和灾难备份BIG-IP Link ControllerBIG-IP Global Traffic ManagerWANJet FirePassBIG-IP Link ControllerBIG-IP Global Traffic Manager BIG-IP Local Traffic ManagerWebAcceleratorBIG-IP Global Traffic Manager BIG-IP Local Traffic ManagerFirePass BIG-IP Global Traffic Manager FirePass41谢 谢