F5应用交付解决方案综述.doc

应用交付网络（ADN）解决方案综述F5Networks目录前言4当今的IT系统现状分析4传统的企业IT架构血临的新挑战51.如何保证应用的可用性52.如何提升应用的访问速度6 1.如何提升不同类型的访问终端的访问速度72.如何保证数据在基于WEB方式传输时的数据安全73.如何提升安全防御能力74.如何提供史便捷的VPN访问方式75.如何摆脱传统文件存储基础架构的束缚7传统的企业IT架构存在的弊端91.复杂的部署方式92.网络延时增加93.增加运维成木10ADN・实现现代企业IT架构H标的源动力101.ADN体系架构各关键元素介绍11•TM/OS-ADN的核心元索11•BIG-IPGlobalTrafficManager-全球网流量管理器12•BIGIP-LinkController-多链路接入智能控制器12•Wom■广域网数据传输加速器13•FirePass-SSLVPN接入控制器13•BIG-IPLocalTrafficManager-本地流量管理器14•BIGIPWebAccelerator-Web应用加速器15•BIGIPASM(ApplicationSecurityManager)-Web应用防火墙16•F5AcopiaARX智能文件虚拟化16•EnterpriseManager■企业管理器16•l-Control-免费的应用开发接口17 1.ADN各元素在企业网络屮的部署建议17•链路接入部分18•应用前端18•文件存储服务器前端202.ADN架构让企业应用发布高枕无忧21•保证应用的可用性21•提升应用的访问速度21•保证数据在基于WEB方式传送时的数据安全21•显著提升安全防御能力21•提供便捷的应用访问方式22•建立容灾中心，避免站点故障22•统一管理，应用维护的真正体现22•灵活的扩展架构22•简化的部署方式22•节省运维成木22总结23 MB随着信息技术几十年來的飞速发展，日前几乎所有的现代化企业都U经或正在把企业信息化作为企业发展的战略之一。企业信息化规划则是实施这一战略的蓝图。企业信息化规划以整个企业的发展日标，发展战略，和企业各部门的日标与功能为基础，结合行业信息化方面的实践和对信息技术发展趋势的掌握，提出企业的信息化远景，日标，和战略，全血系统地指导企业信息化的进程，协调发展地进行信息技术的M用，及时地满足企业发展的需要，以及有效充分地利用企业的资源。不断提升并完善企业信息化的价值是一项复杂的系统工程，它既需要软件和硬件设备的人量投资，又需要人力、物力、智力的投入。近年来，很多企业都加快了信息化建设的步伐，通过互联网及企业内部网（专网），宣传企业或开展电子商务；使用办公0A系统、ERP、CRM等信息管理系统；建立自己的门户网站等，以此提高企业核心竞争力。因此，在网络信息技术高速发展的今天，企业信息网络是否高效、畅通、安全在很人程度上影响企业的生产、销售、管理等各个环节。对于现代企业來说，及吋了解客户的需求和市场动态非常重要，建立一个高效、可靠、灵活的企业信息网络架构就显得尤为迫切。当今的IT系统现状分析传统人小型企业在信息化建设小，根据其自身的特点，在前期规划屮均采用了以网络连通性为核心的规划理念。同时，为了能够实现“快速”，“安全”，“高可用”的用户访问体验，企业的IT建设步伐，一直没有停顿过。然而，企业的关键商业倍息（如WEB、CRM、ERP、MaiLOA等）都是通过一个虚拟的访问管道将信息传递给企业内部或外部用户、分支机构、合作伙伴。如下图所示：商业真聂终用户访问者随着基于网络化应用规模不断的扩人，企业的经营运作对网络应用的依赖越來越强，在企业将商业信息通过这个虚拟的访问管道进行应用发布的过稈屮，必然会经过物理存在 的服务器，应用,门户，ISPs等元素到达不同的类型的客户端最终到达用户，任何基于网络的应川故障，访问缓慢，服务器宕机，安全漏洞，攻击等问题的岀现，都会使原木畅通的管道变窄，无法提供最佳的用户访问体验，最终严重影响企业的正常运作，从而降低企业生产力，丧失侍誉度，影响企业形象等。如下图所示:SOA复杂性用户体验的分访问用布户式・安全・快速・高可用在多年的企业信息化建设从无到有的过程小,企业的IT架构匕经从以网络部署为核传统的企业IT架构面临的新挑战心向-切以保证应用发布为导向的日标发展。“怎样才能不做任何改动就能让我的应用运行得史好，并J1•不会增加基础设施成木及管理上的显著开销呢？”。“怎么样才能使我的网络及应用尽可能优化、尽可能简单、同时对资源的影响又最小？”。众多企业的CIO或CTO们，正在面临如何保证并提升应川发布管道的畅通，如何有效进行资源整合，如何保证关键丿应川的发布，如何整体提高网络及应JU的安全等问题所带來的前所未有的挑战。1.如何保证应用的可用性企业现右应用系统屮常用的0A系统，Mail系统，KOA系统，财务系统，物流系统，WWW发布，网上定单系统，CRM、ERP等众多的应川已成为企业H常运作的重要组成部分，任何一个系统的访问失败都会影响企业运营的进行。然而，用户在通过网络访问到企业所发布的应用所经过的处理坏节111,造成应用访问失败的原因有很多，比如：单一的Internet或专线接入链路出现的单点故障，各网络设备或安全网关类设备的异常屮断，后台服务器软駛件系统的失效或H常维护时的停机重启等操作，都无法有效保证企业关键应用系统可以7*24小时不间断运行。 1.如何提升应用的访问速度业务人集屮后，所有关键应用都将以企业总部为屮心，各分支机构、合作伙伴、通过Internet或专线访问的方式进行发布，然而：•总部Internet链路接入的带宽不断扩大，但访问速度仍然很慢人量非关键应川的流量在网络进行传播，使得无限扩充的链路带宽始终无法得到有效利用。企业内部用户访问internet资源时，或外部用户访问企业发布的内部资源时，会受到ISP提供簡网间互通的瓶颈，造成访问快慢不一的现像。例女山如果企业采用的ISP是通过网通接入的，在访问处于电信的资源时，会由于不同ISP之间互连互通的问题造成访问变慢，而访问网通资源时,就不会存在问题。•如何向遍布在全国范围的服务网络提供相同的快速访问途径各分支机构或合作伙伴采用的网络接入方式，带宽的接入质量存在差异性，造成了访问企业总部应用时的快慢不一。人数彊的应用数据传输时出现的延吋或丢包等现像，严重影响了企业的关键信息数据发布或收集。•如何有效提升服务器的性能当应用系统模块的增加，突发流量的产生，SSL业务对服务器压力，不均衡的服务器资源使用时，采用简单的服务器硬件升级方武，造成投入史多的服务器升级成木的同时，却无法真正实时智能的缓解服务器的性能压力。•如何加快WEB应用的访问速度肖前，许多企业在实施了数百力美元的web应用部署之后，却发现与原有的客户端服务器应用相比，新部署的性能不能让用户感到满意。同时，企业出于监管和数据安全性要求需要将服务器集屮管理，而webhV川的川户却作为远程分支办事处和移动用户而分布得更加分散。与此同时，不幸的是，广域网延迟、错误和其它问题使得web应用无法快速交付。在门户应用、CRM应用、协作应用及其它企业应用情形小，web应用架构师和管理员发现其交付性能难以满足用户的期望。•安全与性能如何才能兼得？为保护企业网络及应用的安全，应对永不消失的黑客攻击、恶意入侵、垃圾邮件等等的侵扰,企业在网络中添加了更种IDS、IPS,防火墙,VPN之类的安全网关设备，对用户的身份进行认证，对访问请求进行层层过滤，虽然提高了企业网络的安全程度，但却严重影响了用户访问到丿应用的速度，造成生产力下降。例如防病毒设备的网络吞吐量通常只有3—10Mbps,因此网络屮的安全设备成为了制约网络传输速度的新的瓶颈点。 1.如何提升不同类型的访问终端的访问速度基于CDMA、GPRS的拨号上网方式,具备上网功能的手持设备,如PDA,智能手机等被广泛戒用，使用户可以随时随地的访问企业的内部信息，然而无论企业端的网络多么畅通，服务器处理性能如何强大，都无法解决由于客户端访问速率低所产生的问题。2.如何保证数据在基于WEB方式传输时的数据安全银行帐号，电子定单，财务数据等关键的应用数据通过基于WEB应用的方式进行传输时，一旦非法人员获取，将使企业或合作伙伴造成重人的经济损失。3.如何提升安全防御能力变化多样的网络攻击及蠕虫病毒在企业的网络屮人量泛滥，促使企业不得不想尽一切办法来捉升“木桶”的高度，以此來抵描各种类型的攻击。口前，企业更多是将精力投放在对网络层的入侵防护，但从近期的攻击来看，多数都是通过WEB应用进入的。随着互联网资源的广泛利用，各人企业公司对网络流量管理及安全应用的需求也日益增长。现在，针对WEB应用的攻击方式层出不穷，例如cookies篡改、劫持WEB会话、还有就是利用脚木來实现攻击的phishers（网络钓鱼者）。这些WEB应用攻击是网络防火墙等无法识别的攻击类别，这种请求在网络层的防护來说具有合法的格式，是--种有效的请求，既不是蠕虫、也不是其它什么病毒。它唯一出格的行为是：想要访问未授权的信息。6・如何提供更便捷的VPN访问方式随着企业的业务发展，对于便捷安全的远程接入的需求越來越强，远程接入的使用者的需求就是可以使用任何上网设备，随时随地接入企业网络，访问数据。以往的IPSecVPN因为无法解决高可用性以及受网络接入条件的限制，无法满足随时随地接入的需求，具体表现在客户端使用不方便、某些网络条件下无法接入、无法满足7X24小吋的高可用要求。7.如何摆脱传统文件存储基础架构的束缚当前的文件存储基础架构存在一些与自身相关的问题: ApplicationsandUsersIPNetworkBItillNASandFileServersNetApp|1HP|EMC?|IBM|1SUN|1DELL|Windows|1Linux*复杂性。今天，一•般的企业存储基础架构由一系列存储平台、文件系统和操作系统组成，而这些设备可能來自不同供应商o遗憾的是,人多数设备并没有完美无缝地—•起协同工作，而且每个设备不得不作为存储“孤岛”进行管理。*缺乏灵活性。用户和丿应用程序静态映射到包含它们需要访问的数据的物理文件存储资源。在某些坏境中，这有可能产生数百或数千个独立映射（或安装点）。每当文件存储坏境发生变化，例如，当提供新存储或移动文件时，这些静态映射都会被破坏。更新坏境时，要求手动配置和系统停机。事实上，企业战略集团（ESG）估计超过40%的企业每周或每月都要进行数据迁移，而人约58%的企业报告因为数据迁移而导致它们延长停机时间或遭遇突然停机。此外，这些停机与当今全天候的全球业务环境要求格格不入，意外停机已越來越不能被容忍。*低效率。虽然可能有一些特定的文件服务器或网络连接存储（NAS）设备得到高度利用，但总的看来，文件存储设备并没育被充分利用，在人多数企业坏境小容量利用率平均起来仅达到40-50%0这通常不是设备利用率不足的结果，而是设备供应过多的结果，因为一直没有一种简单但又不具破坏性的方法在不会造成停机的情况下平衡文件系统的需求或增加容量。*人规模增长。容量需求正在快速增长，而文件数据占到了该增长的70%以上。这进一步加剧了这个问题：随着存储需求的增长，需要不断补充存储设备，这又会使环境变得更加复杂、更不灵活和效率更低。 对更人存储容量永不满足的需求，再加上管理存储所需的史人成木，导致了存储费川螺旋式上升。因此，必须耍有一个更好的方法來管理这种快速增长的文件存储基础架构，而且不会相应地增加管理费用。传统的企业IT架构存在的弊端传统的企业IT架构由于以前史关注网络连通性的架构设计，因此在企业血临上述挑战吋，通常都是采用“打补丁”式的解决方案将负载均衡设备，安全网关，带宽管理,SSL加速，应用防火墙等产品添加到网络中，如下图所示：用户应用/文件存储手机台式机:::::::带宽管理SSL加速链賂及服务器负载平衡::::!：：：：：：：应用防火墙imtn:ittt流畳压缩：：:sit:tins拒绝B艮务友击保1护^■统一的网络应用基础设施服务连接优化::::::::::::■三三关理■i户管客系三三^9SFAII客戸关_企业资==系管理源规划==*企亚资■企亚资ii源规^II源规划客芦关二SFASFA（销售力量自动化）定制的应用托管主机这种“打补丁”式的方案虽然可以有效解决性能压力，访问延迟，安全漏洞等问题，但在实际使用屮，其结果却是管理费用浩人、繁朵，导致显著的应用延迟。企业仅仅是在“拆东墙补两墙”,并未真正解决问题。这些问题主要体现在以下几个方血：1.复杂的部署方式在添加这些产品时，将涉及各厂商设备Z间兼容性问题，互协调性等问题。而为避免 点单故障问题，也将采用兀余的方式，对原有网络的进行人的改动。1.网络延时出每添加一台设备都将加人网络的延时，都有可能成为新的性能瓶颈点。 1.增加运维成本方案中使用了人量新兴的如负载均衡，流量控制，连接优化等多种多样的复杂技术,这样就必需要求企业的技术人员需要掌握更多的新兴技术，才能对各厂商的产品进行管理。同时，企业需要与越来越多的产品提供商，服务提供商进行沟通，人人增加了企业的运维投入成木。ADN・实现现代企业IT架构目标的源动力基于现代企业IT架构日标的广泛需求，F5公司率先推出了确保网络/应用可用性，提升处理速度，促进安全等三人技术为一•体的统一网络/应川基础IT架构，即ADN（应川交付网络）解决方案。F5公司的ADN解决方案以确保应用交付为核心，其产品及技术涉及到了负载均衡，应用健康状况监控，带宽管理，应用加速，数据压缩，SSL加速，SSLVPN安全远程接入，防止拒绝服务攻击等ttt界领先的技术。应用/文件存储客尸关系管理用户统一的网络虑用基础设施服务手机笔记本数揭库SiebelBEAPeople-SoftIBMLegacy.NETSAP台式机流量管理操作系统定制应用SFA(TM/OS)如上图所示：F5公司所推荐基于ADN的IT架构设计中，极人减少了企业的投入成木，并可以利用F5公司所提供的产品及技术提升企业原有网络/应用的可用性，性能及安全性。 1.ADN体系架构各关键元素介绍F5公司的ADN体系统架构依托于传统的网络架构基础之上，并以确保应用发布为核心。因此,在ADN架构中，各组成部分将主要围绕可用性,高效,安全等三大方面。secureInternationalDataCenterUsersBIG-IP®LocalTrafficManageroaoo»occoaSCJOCOCX%aocxsaocUOOOODCEnterpriseManager™Applications&Storage、BIG-IP®GlobalTrafficManagerBIG-IP®LinkControllerBIG-IP®Web-AcceleratorBIG-IP®ApplicationSecurityManagerBIG-IP®WANOptimizationModuleBIG-IP®AccessPolicyManager/ARX®FileVirtualization丿FirePass®SSLVPNBIG-IP®EdgeGatewayiControl®TMOS®ADN各元素包括：•TM/OS-ADN的核心元素TFvIMrvlicrokernelClient6三三OdinssexxLLIdoln=.dl?二Sa_va:dllH1EXuonTCPPloxyssvd®■匚ClieitSide=.2ssa>==uoo一。a==ooa=ossanxUJdolServeiiRulesADN的核心是一•款创新体系结构，称为TM/OS（流量管理/操作系统）,它为企业提供了一•套统一系统来帮助具实现最佳应川交付。TM/OS针对BIG-IP上的 每项功能都做了改进，在支持BIG-IP智能地适应应用与网络日新月异的需求同时，提供了血向所有服务的完全可见性、灵活性和控制能力。TM/OS使BIG-IP能够高效地将客户机与服务器端数据流隔离开來、独立维持每个连接设备的最佳性能，并承担起系统间的通信工作，以改进应用性能。TM/OS融合了可定制的iRules和通用检测引擎，为处理应用交易或流程中的应用流量提供了前所未有的控制能力。通过全血的有效负载检测和转换能力、事件骡动的iRules和会话感知的交换技术，BIG-IP负载均衡器提供了业内最智能的控制点，因此能够以网速解决各种应用交付问题。F5产品家族屮所有运行在TM/OS体系架构屮的产品，即可以单独运行在一台设备上，乂可以以软件模块的形式共同运行在同一-台设备屮，减少破件设备数量。通过TM/OS的创新体系结构，任何与BIG-IP相连的系统或IP应用都将可以更高效地工作。•BIG-IPGlobalTrafficManager-全球网流量管理器User・SeattlegggBIG-IPGTMSanFrandscoNewYorkBIG-IP全球流量筲理（以前称为3-DNS）可以为运行于多个全球（或全国）散布的数据小心的应用提供极高的可用性、最出色的性能和集中式管理。Milan基于F5模块化和可扩展的TMOS构架，BIG-IP全球流量管理器可根据业务策略、数据屮心和网络条件来分配最终川户应用请求，以确保最高的可用性。9G-»UntController•BIGIP-LinkController-多链路接入智能控制器BIG-IPLKtStroilerRrewdk|随着企业开始史多地使用互联网來交付其应用，只有一条到公共网络的链路意味着较高的单点故障和网络安全性风险。BIG-IP链路控制器可以无缝地监控多条■B—J~WANISP连接的可用性和性能，以智能地管ggoC^rpcrsloNetwo-kCorpMSOutlookWebAccessxSiebeKHyperion>Peoplesoft>Plumtree、SAP,以及.其它定制web应川。 ASM是一款WebhYjlJ防火墙，提供了完善的前瞻性应川层安全保护，能够令效抵御传统防火墙和其它类型安全设备不能检测或预防的安全隐患。ASM与其它入侵检测和防护设备的区别在于，它釆川了一种积极的安全模型，能够筛选出潜在的安全威胁。消极的安全模型通常根据已知的威胁列表，对进入的流量进行筛选。与此不同，ASM采川了“crawler”技术来搜索应用并创建一个允许进入规则集或策略列表。这些策略用于筛选所有直接到此应川的流量，并拒收任何与策略不符的流量。这一方法的优势在于，它能够识别并阻I卜一•些“零时差（zeroday）”攻击。此类新病毒一般不存在现有的配置文件，但经证明会给企业带來重人损失。•F5AcopiaARX智能文件虚拟化F5AcopiaARX设备是具有高性能、高可用性的智能文件虚拟化系统，能够人幅度地简化文件存储管理。BEFOREAppbcatxxnandUsersIPNetworkAFTERApplicationsandUsersUnitedStoragePoof使用F5AcopiaARX设备，您可以将智能文件虚拟化引入到文件存储基础架构屮，消除与存储管理肓关的所令障碍并自动完成许多存储管理任务，从而突破这些限制和约束。这将人幅度地帮您降低成本、提高企业灵活性和业务效率。•EnterpriseManager-企业管理器F5駛件型企业管理器使您可以集屮管理网络屮的所有F5设备。借助企业管理器，您可以：o针对应急计划存档设备配置o对新设备作集屮、远程配置，无需到现场 0降低设备管理的人工成本0轻松、快速地部署软件升级与安全补丁企业管理器产品支持所有F5TMOS设备。这使用户在单个界血即可完成所有关键设备管理功能，从而减少单台设备管理所需的时间。•1-Control费的应用开发接口F5产品包括一个称为i-Control的开放式API、以及一种基于标准的语言，从而使得F5产品能够在相互之间、以及与其它网络设备和应用进行通侍。卜Control允许用户创建--种“可识别应用”的网络。在这一网络屮，应用能够自动预测不断变化的网络条件，并相应地做岀响应和调整°通过进行这一-通信，它能够消除应川和流量管理设备之间的手动干预。从而企业将无需耗费技术人员人量的宝贵时间来进行服务器维护等日常工作，并能够口动完成诸多当前仍需要于动干预的工作。2.ADN各元素在企业网络中的部署建议F5TMOSUOD分支机构劇暮:二iBIG-IPEnterpriseManagerDMZBIG-IPLinkController[FirewallI移动用户□齟yEdgeClient~big¥"GlobalTrafficManagerInternetorWANrBIG-IPApplicationSecurityManagerBIG-IPLocalTrafficManager••••eraBIG-IP、UnkControllerBIG-IPbAcceleratorOFM.IDgASEBSPsftSiebelRACPortalF5TMOS总部生产数据中心灾备数据中心BIG-IPGlobalTraflicManagerBIG-IPlocalTraficManagerIISIBeE*Uk»iks20OU，卄okrrF5TMOSWebAccelerator •链路接入部分o部署BIG-IPLController选择两个或两个以上的不同ISP运营商，作为企业对Internet的出口,并在Internet出口处部署BIG-IPController,由链路控制器提供智能选路功能。即可避免因单条Internet链路故障等问题造成的Internet故障，又可以解决各ISP运营衙之间因为网间路由产生的访问瓶颈所造成的应用访问缓慢。o部署Worn如果企业的分支机构或合作伙伴在远程访问总部的应用数据吋出现人量延迟，可以在访问端及总部LTM上集成部署Worn广域加速模块。Worn可对文件传输、电子邮件、客户端一服务器应用、数据复制及其它应用进行加速，在广域网屮实现局域网--样的应用性能。o部署FirePass借助FirePass强人的SSLVPN功能，企业将能够支持在家办公或在路上移动办公的员丁，使用任何支持Web的设备（如PDA,手机等），通过任意接入网络随时随地安全地远程访问网络资源。o部署BIP-IPGlobaltrafficmanagement一旦企业建立灾备中心并部署了BIP-IPGlobaltrafficmanagement后，当主屮心的IDC出现站点级别的重人事故时，BIG-IP全球流量管理器可以智能将用户的请求导向备份中心，及时恢复业务。BIG-IP全球流量管理器可以为运行于多个散布的数据屮心的应用提供极高的可用性、最岀色的性能和集中式管理。•应用前端 o部署BIG-IPLocaltrafficmanagement仏2BIGIP2RS232FMeBIG-IP2伏态同步-rssSt在企业原有Web服务器与应用服务器前端的核心交换机位置旁路接入两台BIGIP本地流量控制器(工作在兀余状态下)，并建议与交换机配合采用Tagvlan的方式将不同的应用系统划分在不同的vlan区间内,确保灵活的扩展性且便于管理。在部署BIGIP木地流量控制器之后，可通过BIGIP强人的应用性能优化，负载均衡，应用状态监控，应用安全过滤等功能，确保应用的安全交付。o部署WebAccelerator-Web应用加速器F5的WebAccelerator是一款高级web应用交付解决方案产品，可提供一系列智能技术，以解决影响用户性能的浏览器、web应用平台和广域网延迟相关问题。凭借F5的智能浏览器参考(IBR)特性，WebAccelerator可将许多web应用、门户应用、CRM应用及协作应用的用户端性能提升高达10倍,这些应用包括MSSharepointxOraclePortalaMSOutlookWebAccess、SiebekHyperion>Peoplesoft、Plumtree>SAP,以及其它定制web应用。oASM-Web应用防火墙ASM是一款应用防火墙，提供了完善的前瞻性应用层安全保护，能够有效抵御传统防火墙和其它类型安全设备不能检测或预防的安全隐患。 ASM与其它入侵检测和防护设备的区别在于,它采用了一种积极的安全模型，能够筛选出潜在的安全威胁。消极的安全模型通常根据C知的威胁列表，对进入的流量进行筛选。与此不同，ASM采用了“crawler”技 术來搜索丿WJLI并创建一■个允许进入规则集或策略列表。这些策略川于筛选所有直接到此应用的流量，并拒收任何与策略不符的流暈。这一方法的优势在于，它能够识别并阻止一些“零吋差（zeroday）”攻击。此类新病毒一•般不存在现有的配置文件，但经证明会给企业带來重大损失。•文件存储服务器前端o部署F5AcopiaARX智能文件虚拟化设备PRESENTATIONSimple.logicalaccesstophysicalfilesystemsAUTOMATIONDataMigrationMoveeeaacrosshete/ogeneoussggenorwisrupovdyStorageTieringRacedataontheapcxopna(estoragefterDataReplicationRepkJtedMamEeu低饲ebUnifiedStoragePoolLoadBalancingftitoxedemmdmtomemlv