Viprion应用整合及应用交付解决方案.doc

XXXX新数据中心架构方案建议书v2.1刘勇F5广州办事处2011/6/25 前言4第二章需求分析52.1高度的架构灵活性，支持虚拟化技术52.2完善的负载均衡功能52.3具有强大的性能，并具备无缝的硬件性能扩展能力52.4高度的架构高可用性，实现7x24的不间断提供服务52.5统一的配置与管理平台62.6提供对完整的安全防护6第三章数据中心架构---SLB架构建议73.1方案设计的特点83.1.1架构灵活83.1.1.1服务器与数据中心整合83.1.1.2数据中心自动化93.1.1.3业务连续性133.1.1.4虚拟桌面153.1.1.5应用虚拟化163.1.1.6云计算173.1.2I-rules提供良好的应用兼容性193.1.3应用交付性能按需扩展203.1.4高可用的架构设计213.1.4.1硬件设备的高可用设计213.1.4.2多链路和多数据中心的高可用设计213.1.5统一的硬件管理平台和应用性能监控功能233.1.5.1统一的硬件管理平台---EM233.1.5.2后台应用的性能可视性---AVR功能243.1.6提供完善的应用系统安全273.1.6.1LTM提供的系统安全性273.1.6.2ASM提供的专业的WEB应用防护功能313.1.7Geolocation为商业智能决策提供参考343.1.8节能环保，增强机柜空间利用率363.1.9高投资回报比373.1.10为内部私有云的发展转变提供了坚实的架构基础38 第五章产品资料及其他技术文档415.1Viprion2400产品资料415.2vCMP技术简介435.3LTM产品资料455.4GTM产品资料465.5ASM产品资料475.6EM产品资料48 前言随着XXXX中国现在的业务进入一个新的快速增长阶段，现有的IT架构越来越难以支撑新业务的快速发展。因此，XXXX中国准备对数据中心的架构重新进行整体规划，以达到一个灵活的基础架构，以适应业务的快速增长，为新业务的快速部署提供强有力的IT支撑。F5公司作为应用交付领域领先的厂商，结合多年的客户案例和经验以及XXXX中国的客观需求，针对数据中心的架构进行设计，并与网络架构部分进行整合，达到新数据中心IT整体架构的要求。 第二章需求分析在新的数据中心架构下，整体的架构的基本目标是：数据中心网络交换虚拟化，增强空间利用率，统一设备配置与管理。最终的目标是建设一个灵活的IT架构，能够支持新业务的部署和现有业务的迅速发展，同时提供一个非常高的可用性和安全性，来保障业务的安全、快速和高可用的交付。经过调研，我们总结出具体的需求点如下：2.1高度的架构灵活性，支持虚拟化技术支持各种各样的虚拟化技术，以减少新业务部署的时间和增加机架空间利用率，实现IT架构的虚拟化和高度的灵捷性。2.2完善的负载均衡功能除了必须的服务器负载均衡能力外，还要求负载均衡设备具有良好的系统兼容能力，能够适应不同的网络环境和应用环境。比如说现在的负载均衡架构下，如果访问终端和服务器在同一个二层网络，需要在SLB设备上将访问终端的地址进行转换，并且无法做到一一对应，这样会对日常的记录和排错造成影响。2.3具有强大的性能，并具备无缝的硬件性能扩展能力需要解决数据中心内部跨二层的网络备份流量经过LB设备可能会造成的传输瓶颈，在不同的ZONE的设备之间，在进行数据备份或者跨ZONE之间调用数据时，该流量需要经过负载均衡设备，因此，要求负载均衡的吞吐性能要很高，并且在未来应用增加，用户增多，数据增大的情况下具备无缝的硬件的性能扩展能力。2.4高度的架构高可用性，实现7x24的不间断提供服务新的数据中心将会承载在XXXX中国 所有的内部和外部的业务系统，因此整个架构的高可用性必须非常的高，从服务器硬件级别到应用级别再到链路级别最后到数据中心级别，必须有一整套的高可用性的解决方案。2.5统一的配置与管理平台方便系统维护人员能够方便的维护与管理配置文件，系统版本，补丁升级以及设备配置文件等，并能够方便的查看设备上面的性能报告与状态。2.6提供对完整的安全防护应用已成为当今企业经营过程的一项核心内容。应用对企业的收入有着直接的影响，因此，保护关键业务信息免受恶意攻击至关重要，这些攻击通常包括针对应用漏洞的攻击，以及低级网络攻击。企业在实现真正的网络和应用安全时，面临着诸多挑战，因为：应用漏洞越来越多——当今的安全系统和防火墙并非智能型系统，不能检测新型的应用层攻击，也不能单独防御此类攻击。这些设备无法确认应用的类型，它们仅是锁定/解锁某个地址、端口或资源。这些传统设备不能对数据包进行深度检查，不能通过维持会话状态信息来检测攻击，也不能防止应用攻击的发生。应用攻击通常包括：注入和执行受到限制的命令，cookie篡取、获得非法访问敏感文档和用户信息的权限。这些攻击会导致损失大量的收入，以及生产效率降低，上述结果反过来还会影响企业的信誉。网络漏洞越来越多——网络攻击变得越来越复杂和广泛。恶意用户正在寻找新的突破网站防线、窃取有价值信息、甚至使整个站点停机的方法。诸如拒绝服务攻击、分布式拒绝服务攻击、无序包泛滥、TCP窗口大小篡改等复杂攻击，正给安全系统抵御大量攻击带来巨大的压力。在发起攻击之前，黑客和恶意用户还启用了站点扫描技术（一种被称之为profiling（特性描述）的技术），从似乎无害的源码（如服务器错误代码、源代码注释）当中检索任意系统或应用信息。内部安全危害与信息泄露——当今企业所面临的其中一个最大的威胁是来自企业内部的攻击。这些攻击难以检测和预防，因为企业内部的用户是可信域中的一部分。当今的安全系统不能灵活地部署安全策略，不能在对企业内部某些关键业务流量进行加密的同时，允许其它未加密的非关键流量通过。企业正借助其现有解决方案努力部署高效统一的安全策略，使企业的组织机构符合诸如萨班斯奥克斯利法案、HIPAA以及FIPS等安全监管标准。最近一系列的安全事件，包括Sony,Paypal，Citigroup等被攻击，用户数据失窃，表明WEB应用越来越容易遭受各种各样的攻击，完全的应用安全防护也是必需的。 第三章数据中心架构---SLB架构建议根据XXXX中国的要求，结合F5多年来在数据中心架构设计方面的经验，F5建议的新数据中心的第一阶段的SLB整体架构如下：架构设计说明：1、在新数据中心的接入核心交换机nexus7000旁挂一对F5的VIPRION2400应用交付器。2、通过与NEXUS的VDC技术配合，F5Viprion2400通过vCMP技术虚拟出多个逻辑独立的F5应用交付设备，通过portchannel的方式与虚拟交换机VDC或者真实的NEXUS7000接入核心交换机实现旁挂式连接，实现对不同的系统zone的应用交付。3、后台服务器的网关都指向SLB设备的IP。 3.1方案设计的特点3.1.1架构灵活通过F5的vCMP技术和CISCO的VDC技术再加上vmware的vsphere平台，可以帮助XXXX中国实现一个灵活的IT架构，可以根据业务的发展和需要在部署新的业务区域而不需要去采购和部署新的硬件设备，通过虚拟化技术，可以直接在现有的硬件设备上虚拟出来一套基础架构设备，从而实现灵活的IT架构，并大大的提高新业务的部署时间。F5与vmware有众多的联合解决方案，可以帮助用户实现高度灵活的IT架构。3.1.1.1服务器与数据中心整合降低硬件、电力和设备成本虚拟化几乎是在最佳的时机出现的，目的是满足企业对于在当前经济形势下提高效率的需求。在所有规模的数据中心内，大量的服务器利用率不足。通过使这些额外的容量每次可用于不止一个应用，企业能够削减硬件基础架构，将这些应用的运行整合到更小或者更少的数据中心内，并最终节约空间和电力成本。整合数据中心服务的好处极具吸引力，但只有在降低成本的意图不会导致性能或可用性降低的情况下，企业才能真正地从虚拟化战略中获益。企业需要确信它们有必要的负载平衡和流量管理解决方案，用于保持应用的性能和可用性。随着虚拟化环境的扩展，企业通常面临着与VMDK(虚拟机磁盘格式)文件存储相关的额外挑战。文件数量不断增加，共享存储池规模也是如此。因此，文件管理变得更加复杂，存储瓶颈通常会出现，而且存储成本会提高。 F5解决方案有效地位于虚拟机上的应用服务器之前，并且在资源受限的情况下优化连接，选择流量路由，并平衡负载。F5BIG-IP本地流量管理器将对虚拟机造成CPU和内存压力的许多功能转移出去，例如安全套接字层(SSL)交易、缓存和压缩。将这些功能转移到专用设备上可以释放50%的总体服务器资源，使服务器能够更有效地运行，并且提高服务器容量的可用性。通过利用F5的ARX产品，企业还可以应对与存储相关的挑战。ARX通过从物理存储位置提取虚拟文件位置而实现智能的文件虚拟化。这将实现不同存储层之间透明、自动化的基于策略的分配。需要高性能的文件位于第一层，不需要高性能的文件位于第二层。这样可以降低对昂贵的一层存储的需求高达80%。优点•最大程度提高现有硬件资源的性能，并且避免对物理服务器的额外投资•通过卸载CPU密集型任务而提高应用性能•通过数据中心之间和内部的高级负载平衡而提高可用性•优化文件存储基础架构，并降低成本3.1.1.2数据中心自动化实现应用交付网络自动化已经部署虚拟机的IT服务提供商、数据中心和其它大型企业都知道，应用流量意外激增可能对可用性服务等级协议产生破坏。这些情况可能要求更多超额配置的基础架构。此外，随着虚拟机数量的增加，管理虚拟机所需的时间也增加。IT人员通常会不必要地浪费时间去处理例行管理和维护任务，而这些任务可以有效地自动完成。F5解决方案通过自动化运行而大大简化网络部署、管理和维护。例如，在数据中心内部和数据中心之间，F5BIG-IP通过其iControlAPI与VMWare的VirtualCenter 管理控制台直接通信，指导用户根据不断变化的应用状况而调整网络。F5management插件forvmwarevsphere： 虚机的平滑关机：Disable虚机：自动执行变更或人工审批： 处于审批阶段的操作：插件日志： 例如，当vCenter配置新的虚拟机时，BIG-IP本地流量管理器可以自动收到指令，将新服务器添加到其负载平衡池中，并开始将流量定向到其中。BIG-IP具有充足的智能化，会等到虚拟机发出响应后开始发送流量。同样，BIG-IP知道虚拟机或整个数据中心何时超负荷运转或者不可用，并相应改变流量的路由。利用内置的智能，BIG-IP可对波动的流量负载做出响应，而无需手工干预。另外一个例子:当用户请求进入多个数据中心之间运行的虚拟化环境时，F5的BIG-IP广域流量管理器解决方案可自动检测用户的地理位置。然后，该产品从距离用户最近的数据中心为应用提供服务，以保证提供尽可能最高的性能等级。它还可以根据不同的服务等级协议，从最具性价比的位置处理流量。与此相似，BIG-IP本地流量管理器可以识别和区别不同的用户“类别”。例如，与标准用户不同，来自高优先级用户的请求可由性能更高的服务器池处理。这一功能以及其它类似功能保证了应用资源的最充分利用，并且使网络管理员更轻松地开展工作。优点•提高网络响应虚拟化环境需求的速度•降低虚拟化环境中的管理复杂性•利用自动化任务和简化的管理而降低成本，提高IT人员效率•最大程度减少手工配置错误3.1.1.3业务连续性保护您的业务，最大程度缩短应用停机时间 企业不能没有核心应用和基于Web的服务。当一个应用瘫痪时—无论是简单的硬件故障还是火灾或洪灾—企业需要知道应用无论在任何情况下都能无故障运行。在传统IT环境中，将应用从一个数据中心移到另一个数据中心，或者只是从一台服务器移到另一台服务器就非常困难。为了解决这个问题，许多企业过度配置基础架构，但如果硬件增加一倍，成本也会增加一倍。虚拟化环境提供了将应用封装到当文件中，并在几秒钟内在另一台服务器上重新启动文件的能力。虚拟化还允许企业轻松地制订和测试灾难恢复计划，而无需关停生产环境。因此，与传统灾难恢复解决方案相比，虚拟化提供了性价比更高、更灵活、更可靠的替代方案。然而，企业仍需要应对大量的网络挑战，以保证其应用在灾难发生时的持续可用性。F5的BIG-IP广域流量管理器解决方案可作为虚拟化环境的一部分而部署，用于在数据中心之间有效地实现负载平衡。在整个站点出现事故时，它可以根据应用负载和性能，自动将流量定向给备用的数据中心。如果第二个数据中心不可用，BIG-IP广域流量管理器可以将核心应用转移到外部第三方服务器。这种共享的虚拟化服务器设施有时称为“云”，可为灾难恢复提供高性价比的灵活选项。为了提高数据在数据中心之间的传输性能，企业还可以利用F5的WAN优化解决方案。它用于将大量数据更快地从源数据中心传输到目标数据中心。F5解决方案在数据传输时进行数据压缩和重复数据删除，以减少WAN上发送的总体数据量。传输的数据量更少意味着带宽要求的降低，同时缩短了有效传输的延时。在数据中心或IT部门内，企业可以部署F5的BIG-IP本地流量管理器，以防止核心应用由于硬件故障而不可用。该解决方案即时地测量应用的响应时间，并且无缝地立即将流量从故障设备重定向到环境中的其它虚拟化服务器，而不会造成应用中断。优点•在数据中心之间实现负载平衡(考虑服务等级协议和云计算费用)•帮助在数据中心内实现向辅助数据中心或云环境的灾难恢复 •最大程度提高应用可用性，并降低停机时间造成的影响•加快WAN中大量数据备份的速度3.1.1.4虚拟桌面凭借应用的高可用性提供统一、安全的用户体验近年来，许多企业都选择用简单的客户端终端取代桌面PC，并授权用户通过LAN或WAN接入集中存储的应用和服务。除了节约硬件成本外，这些虚拟桌面在管理和安全保障方面更为容易实现，而且性价比更高。然而，VMwareView这样的解决方案要想成功，用户期望虚拟PC具有与传统PC一样的性能。如果存在较高的网络延时(通常在远程客户端部署项目中存在)，用户会遇到性能缓慢的问题。此外，扩展集中的连接服务器可能费用高昂。最后，企业需要保证连接的安全，但不能对连接服务器造成过高的CPU负荷。F5解决方案旨在加速WAN连接速度，从而提高虚拟桌面机的性能。F5WAN优化产品的特性最大程度利用可用带宽，并加速协议的传输，例如远程桌面协议(RDP)，以保证向用户提供一致的高性能。在数据中心内，BIG-IP可作为连接代理，并提供极高性能的SSL端接和压缩，从而将大量负荷从桌面服务器转移出去。这以极低的成本提高了系统的总体扩展能力。此外，F5解决方案通过在登录之前保证较高的终端安全性而解决了普遍存在的安全问题。F5安全接入管理器对终端设备进行登录前的检查，只有通过检查才允许登录，并提供了多种认证机制，包括双因素模式和多种后端目录服务。该解决方案还在任何远程设备上执行ActiveDirectoryGroup策略，并提高可用性。优点•确保为最终用户提供优质的服务 •最充分地利用WAN带宽•最大程度减少所需的服务器数量，从而降低大型虚拟桌面部署项目的成本•确保严格的端到端网络和应用安全3.1.1.5应用虚拟化确保企业应用的高性能SAP、Oracle、MicrosoftExchange和MicrosoftSharePoint等企业应用支持并整合业务的不同部分，因此，这些应用对于日常业务至关重要。但是，它们也可能是低效的来源。在传统IT环境中，这些应用可能需要大量的服务器，而并非所有服务器都得到了充分利用。通过将企业应用迁移到虚拟化或部分虚拟化的环境中，企业有机会整合硬件要求，并降低相关的电力、管理和维护成本。然而，虚拟化技术主要针对操作系统层—而非该层应用。因此，当企业决定推行虚拟化战略时，需要采取措施保证新环境不会对应用性能产生负面影响。F5提供了针对特定应用而预先优化的解决方案，并在BIG-IP中附带了综合的预先定义的档案(例如Microsoft、SAP、Oracle)，从而在迁移到虚拟化平台时而最大限度降低了特定应用的网络风险。这些预先定义的档案通常部署在传统IT基础架构中，而在虚拟化环境中同样有益。使用这些应用模板可使输入数据量减少90%，最终缩短配置时间，减少错误。BIG-IP中一个预先定义的应用档案是VMwareView(虚拟桌面)档案。这个模板提供了“ 最佳实践”配置模型，它融合了我们在设计最优VMwareView系统方面的所有经验，并显著简化了安装过程。另外，BIG-IP本地流量管理器最大程度提高了用户应用的性能。它将CPU密集型的功能分离出来，例如SSL处理、缓存和压缩，并根据确切的响应时间，智能地将流量定向给可用性最好的虚拟机。最后，高度依赖Web应用的企业可利用F5的BIGIPWebAccelerator。这个解决方案在虚拟化环境中通过智能缓存、连接通道选择和浏览器行为的利用的组合，加快了用户的接入速度加载时间，并显著降低了Web应用服务器的CPU负荷。优点•降低与实施应用虚拟化战略相关的风险•最大程度提高虚拟机密度，从而最大程度降低硬件和电力成本•优化用户享受到的性能和应用可用性•最大程度提高虚拟化战略的投资回报3.1.1.6云计算交付可靠的基于Web的服务当数据量以前所未有的速度增加，应用流量在无法预见的情况下激增时，许多企业都在寻找新的解决方案，使其能够灵活地接入更高的容量。“云计算”就是这样一种解决方案。越来越多的IT服务提供商推出的云计算是一个虚拟化IT环境，各种规模的企业都可以订购这个环境，并根据需要获得额外的服务器容量。然而，与新型IT服务一样，市场上对云计算也存在一些担忧。IDCEnterprisePanel(2008年8月)的调查指出，在该领域中，企业对安全、性能和可用性最为关注。推出云计算的IT服务提供商必须消除这些担忧，尤其是保证持续的高服务等级，以满足与客户之间的服务等级协议。服务提供商和最终用户可利用F5BIG-IP 广域流量管理器提高内部和外部共享云服务环境中的应用性能。该解决方案确定具体的数据中心的运行状况，之后将流量发送给该数据中心。利用F5的BIG-IP接入策略管理器可以验证和授权用户接入权限，并提供SSL端接。该产品可与F5WAN优化特性结合使用。WAN优化特性通过WAN执行额外的加密，并加速WAN性能。对于要求苛刻的极大型云环境，F5的VIPRION产品是一个强大而灵活的选择。该产品允许在无需手动配置或中断应用性能的情况下添加额外的刀片，从而提供了真正的按需要进行网络流量管理的能力。VIPRION是服务提供商的理想产品，因为它提供了多方租借的特性，允许管理员轻松地扩展VIPRION的容量，用于在单个VIPRION设备上分别管理不同客户的流量。优点•保证统一的高性能和高可用性，以满足客户的服务等级协议•通过可靠的应用和网络安全而保护内部业务系统以及客户系统•提高扩展能力，并按需要增加容量•提高数据中心之间的WAN性能 3.1.2I-rules提供良好的应用兼容性F5bigip提供了iRules的编程接口和通用检测引擎，TMOS融合了F5的可定制的iRules编程接口和通用检测引擎，为处理应用交易或流程中的应用流量提供了前所未有的控制能力。通过全面的有效负载检测和转换能力、事件驱动的iRules和会话感知的交换技术，BIG-IPLTM提供了业内最智能的控制点，因此能够以解决各种应用交付问题，实现独一无二的应用的兼容性。范例一：我们可以通过i-rules来进行选择性的SNAT转换并记录，范例如下：whenLB_SELECTED{if{[IP::addr"[IP::server_addr]"equals"192.168.68.100"]}{snat192.168.68.10log“sourceIPis[IP::client_addr]anddestIPis[IP::server_addr]”}elseif{[IP::addr"[IP::server_addr]"equals"192.168.68.110"]}{snat192.168.68.11log“sourceIPis[IP::client_addr]anddestIPis[IP::server_addr]”}else{usesnatpoolCorpnet-SNAT}}范例二：通过修改httpresponse的内容来实现应用的兼容性。将后台应用的真实的端口在回应中进行替换，替换成虚拟IP的标准的80端口。whenHTTP_RESPONSE{loglocal0."httprespone"if{[regsub-all"http://192.168.50.11:9081/"[HTTP::payload]"http://192.168.50.110/"newdata]}{HTTP::payloadreplace0[HTTP::payloadlength]$newdata}HTTP::release} 3.1.3应用交付性能按需扩展F5的viprion2400和cisco的nexus7000，nexus5000都是具有可扩展硬件处理能力的机架插槽式设备。F5的viprion2400最多可以插4片处理板卡，每块板卡可以提供40G的4层处理能力和18G的7层处理能力和1600万的并发连接能力。同时可以支持热插拔式的操作，可以通过添加板卡的方法来实现性能的无缝扩展。完全可以满足XXXX中国现阶段的性能需求和未来比较长一段时间内，对应用交付设备的性能的需求。 3.1.4高可用的架构设计3.1.4.1硬件设备的高可用设计Viprion2400除了双机热备功能之外，还可以在同一设备上，通过多块板卡实现板卡之间的容错，以确保最大程度的系统可用和架构的稳定性，如果数据中心的应用交付设备超过2台时，通过devicegroup的技术还可以实现N+1的系统高可用性方案。3.1.4.2多链路和多数据中心的高可用设计在建设后期，我们需要考虑到如何保障ISP接入的高可用性及为了预防地震，停电等重大灾害导致的数据中心无法提供服务时的数据中心级的高可用设计。F5可用GTM设备来同时实现多链路和多数据中心的高可用。GTM设备可以是独立的硬件设备，也可以是viprion2400上的软件模块，也可以是viprion2400虚拟出来的独立的GTM设备。具体的GTM的逻辑部署可以参见第四部分的逻辑结构图。F5的GSLB的解决方案GTM具有以下的优势： 1、完善的DNSSEC功能，可以防止类似百度的域名被劫持的dnspoison的攻击。2、强大的DNS性能，GTM设备可以支持百万级的DNS请求数。3、完善的DNS功能，可以完整的实现普通的DNS服务器的所有的功能，包括A记录，MX记录，NS记录，CNAME记录等等。4、支持IPv4和IPv6，能提供IPv4和IPv6的服务，或者是在两者之间提供转换。5、支持Geolocation功能，可以方便的对互联网的用户提供个性化的服务。 3.1.5统一的硬件管理平台和应用性能监控功能3.1.5.1统一的硬件管理平台---EMF5提供了统一的F5设备的管理平台EnterpriseManager(EM)可以实现对F5应用交付设备的配置统一管理，版本管理，流量分析和监控等。同时F5应用交付设备还提供了对后台应用的应用可视性功能，监控后台服务器的性能和响应状况。 3.1.5.2后台应用的性能可视性---AVR功能通过AVR（ApplicationVisibilityandReporting）功能，可以获取下列信息：可以帮助实现：l应用的可视性l协助应用的故障排查l应用的微调和优化l客户端的性能报告lROI或者服务器硬件性能规划客户端的延时报告：每一个URL的TPS报告： 应用的新建连接报告：服务器的延时报告： 3.1.6提供完善的应用系统安全F5的LTM与ASM配合可以提供完善的应用安全的防护。从SYN-FLOOD到DDOS（Slowloris,SlowPost等）再到暴力破解攻击、XSS攻击、SQL注入攻击以及OWASP十大Web应用安全漏洞等，来提供整个应用系统的安全级别。F5的WEB应用安全管理器ASM可以作为一个软件的功能模块在viprion2400上激活，也可以在VIPRION2400上虚拟出独立的ASM的设备，在提供完善的应用的安全防护的同时，在网络架构中不需要增加额外的设备，保持了架构的简洁和灵活性。3.1.6.1LTM提供的系统安全性BIG-IP系统可提供范围广泛的各种安全服务，在为企业安全提供支持方面发挥着至关重要的作用。BIG-IP系统可在关键网关位置进行部署，它既能添加功能强大的网络级安全策略，又能过滤最复杂的应用攻击，从而可保护您最宝贵的资源——支持您的业务正常运行的应用与网络。作为一款集成SSL加密和新兴应用安全技术领域的领先产品，BIG-IP系统能够使您的站点固若金汤，免受各类攻击。BIG-IP解决方案能够对整个应用的有效负载进行深度数据包检查，从而为企业提供了功能强大的应用级安全性。凭借BIG-IP灵活的特性集及其无可比拟的强大功能，管理员能够轻松管理并控制其应用流量。凭借BIG-IP系统全方位的认证、授权、审计，以及有效负载解析特性，在允许进行会话之前，企业就能在网络边缘执行安全策略。这些特性包括：通用检查引擎和iRule借助BIG-IP系统，企业可设置并执行通用应用级安全策略。借助BIG-IP全新的增强性通用检查引擎(UIE)和TCL规则(iRule)能力，企业能够过滤并阻止应用级攻击与威胁。借助全新的UIE组件，BIG-IP系统可检查整个应用的有效负载，同时也可根据连续流灵活地做出转变、坚持执行、或拒绝执行之决定。通过使用诸如TCL等标准编程接口创建iRule，以及创建与本企业安全方针一致的策略，企业能够充分利用BIG-IP灵活而功能强大的特性。一旦创建上述策略，即可将其分配给各文件，从而借助其全新的GUI特性就能实现轻松重复部署。通过整合这两项特性，企业就具有了无可比拟的对其应用流量进行控制和保护的能力。认证和授权通过在网络边缘提供认证功能，以及针对网络中的资源又增添一道安全防线，BIG-IP系统能够增强应用的安全性。高级客户认证(ACA)模块可视为站点的“哨所”，它能够为各种类型的IP流量提供认证代理。高级客户认证模块可与可插拔模块(PAM)引擎协同工作，借助RAM，用户能够从认证机制库中进行选择，ACA 可从服务器卸载关键认证流程，并降低一些负载和管理任务（通常它们消耗大量的服务器资源）。ACA模块能够与诸如LDAP、RADIUS以及TACAS+等各种授权机制共同工作。在客户端对证书进行处理时，在接收证书并转发数据包至目标服务器之前，BIG-IP系统可通过证书撤销列表(CRL)或在线证书状态协议(OCSP)，了解该证书的撤销状态。在网络层强化进行认证能够降低应用和服务器的负载，使企业无须花费大量的人力物力对成百上千个应用认证系统单独进行维护。应用和内容过滤借助BIG-IP系统功能强大的通用检查引擎、以及其基于策略的iRule定制引擎，企业就能有效部署其安全策略。BIG-IP解决方案具备应用和内容过滤功能，通过对流经服务器的流量进行定义，企业能部署一套积极的安全模型系统。由于具备独特的对应用中的有效负载进行数据包检查或会话流检查的能力，BIG-IP系统可阻止对记录/目录、限制性命令的非法访问，并能阻止访问应用服务器上的敏感文档，同时，还能保护企业的关键资产。BIG-IP系统还能过滤受到限制或黑名单中的网站中的内容，这有助于企业执行其安全策略。Cookie加密和认证借助这一功能强大的特性，企业能够对应用流量中使用的cookie进行加密和认证，这就能阻止黑客利用cookie来发起应用攻击。由于支持cookie加密和认证特性，因此，黑客将无法读取cookie，从而无法访问诸如JSessionID和用户ID等信息；无法利用这些信息，黑客也将不能对cookie进行修改并创建非法会话。通过阻止会话劫持、Cookie篡改等攻击（通过改写cookie内容并利用关键应用漏洞来实现），BIG-IP系统能够为企业运行的状态应用提供先进的保护功能。SSL加速与加密繁重的SSL流量会带来处理瓶颈，累垮最为强大的设备，严重影响服务或应用的总体安全性能。同时，不能为SSL协议使用的专用密钥提供保护会使用户和服务存在安全风险。BIG-IP系统的集成SSL加速能力能够强化SSL计算资源、使关键任务的管理更加集中。BIG-IP设备可提供市场上最快、最安全的加密算法。通过为企业配备AES（高级加密标准，一种对称加密技术，可选择128、192或256位块加密），BIG-IP系统可提供更高级的保护，它是企业真正的安全技术标准。结合使用AES和SSL处理，无须任何额外成本，BIG-IP系统就能提供市场上最安全的SSL加密算法。提高网络和基础设施的安全性通过提供功能强大的网络层安全特性，BIG-IP系统能够保护企业资源免受大量攻击，这将进一步提升企业的安全性。借助BIG-IP设备、其独特的通用检查引擎，以及可编程iRule语言，用户能够对网络有效负载的状况了然于胸，企业因此能够智能地管理并部署其安全策略。上述组合能够阻止一些通用网络攻击、Dos（拒绝服务）攻击、DDos（分布式拒绝服务）攻击，以及协议篡改攻击，如果再结合使用BIG-IP系统的数据包过滤能力，企业的安全性将获得前所未有的提升，从而生产效率和收入将提高、拥有成本将下降。BIG-IP系统能够提高网络和基础设施的安全性，它具备如下特性：缺省拒绝(Deny-by-default) BIG-IP系统是一种缺省设置为拒绝的设备。缺省条件下，管理员未明确允许可通过BIG-IP系统的流量类型，均会拒绝通过。这样，只有您指定的流量才能通过BIG-IP系统，从而可提供极高的安全保证。自动防护BIG-IP软件内置众多流程，能够保护您的网络免受通用攻击类型的攻击。它将忽略以子网为目的的广播地址，并且不会对广播ICMPecho进行应答（这些广播用于发起Smurf和Fraggle攻击）。由于BIG-IP设备连接表与现有连接完全一致，因此，诸如局域网攻击等欺骗连接将无法传递至服务器。BIG-IP系统可不断进行检查，实现适当的帧定位，从而可防止诸如Teardrop、Boink、Bonk、Nestea等通用碎片攻击。诸如WinNuke、Sub7以及BackOrifice远程控制工具等威胁，都将无法通过缺省的封锁端口。由于BiG-IP能够重组重叠的TCP报文段和IP碎片，因此，企业能够避免近来日益猖獗的一些新型未知攻击。SYNCHECK人们熟知的一种拒绝服务攻击类型为SYNflood，发起该攻击旨在耗尽系统资源、使其无法建立合法连接。通过发送cookie代表服务器对客户发出请求，以及不再纪录尚未完成初始TCP握手连接的状态信息，BIG-IP系统的SYNCHECK模块能够降低SYNflood带来的危害。这一独特特性确保了服务器只处理合法的连接，BIG-IPSYN队列资源将不会被耗尽，因此，正常的TCP通讯就能继续进行。SYNCHECK模块是BIG-IP系统DynamicReaping模块的完美补充；同时，DynamicReaping能够处理已建立连接的flooding，SYNCHECK能够查找处于早期阶段的flooding连接，从而可防止SYN队列被耗尽。由于SYNCHECK能够与高性能syn-cache协同使用，因此企业能够在不损耗TCP报文的情况下，使用syncookies。拒绝服务攻击(DoS)和DynamicReapingBIG-IP软件含两项全局设置，具有自适应进行reap连接的能力。为了防止拒绝服务(DOS)攻击，企业可分别标出一个低水印阈值和高水印阈值进行reaping连接。低水印阈值能够测定在哪一点之上，reaping连接（与已定义的时隙接近）中的自适应reaping会变得更加活跃。高水印阈值能够测定何时不再允许通过BIG-IP系统建立非连接(non-establishedconnection)。变量的值代表内存利用率百分比。一旦内存利用率达到此值，连接将不被允许，直到可用内存已降低至低水印阈值范围。虚拟服务器上的连接限制借助BIG-IP系统，管理员能够限制并发连接至一台虚拟服务器的最大数量。这就设置了另一道针对拒绝服务攻击等类型攻击的防护屏障。协议无害处理借助本特性，企业能够保护自身免受黑客采用IP协议篡改发起的攻击，这种攻击能够耗尽服务器的资源并使站点停机。通过在第一道屏障内保护系统资源并终止所有客户端与服务器间的TCP连接，BIG-IP系统能够阻止诸如无序包泛滥、MSStinypacketfloods、TCP窗口篡改等攻击。BIG-IP设备能够对客户端-服务器间的通讯进行清除处理，查找具有攻击特征的流量和异常情况，并清除服务器和应用所用流量。数据包过滤BIG-IP 系统的增强数据包过滤引擎提供深层数据包检查功能，管理员可根据高级数据包过滤规则接收、丢弃或拒收（使用诸如“administrativelyprohibited”等代码发回）流量。数据包过滤规则具有对第四层进行过滤的能力，允许可信流量通过，并能根据安全策略处理其它特定流量类型。企业现在能够在IPV4或IPV6条件下使用数据包过滤功能来提供基本的防火墙保护能力，并能添加另一道安全屏障。这种过滤基于数据包的源或目标IP地址，源或目标端口号（支持该端口的协议），以及诸如UDP、TCP或ICMP等数据包类型。数据包过滤能够保护系统免遭IP欺骗和bogusTCPflag（伪装TCP标记）的攻击。审计和日志记录由于出现异常或参数无效（如Land攻击，Smurf攻击、校验和出差、IP协议号或版本未经处理，等等），一些数据包可能会被丢弃，BIG-IP系统功能强大的日志记录功能能够将与此有关的事件记录下来。通过对尝试发起攻击的源IP地址，所用端口、以及尝试攻击的频率进行监控，BIG-IP设备的安全报告功能能够标识出任何收到的对服务和端口的访问企图。在找出安全网络中的漏洞方面，这一信息能够起到非常重要的作用，能够帮助确定攻击的来源。除了添加了一些新的用于通用内容交换的规则和变量以外，规则的语法也得到了进一步的扩充，其中包括两个新的规则声明：log和accumulate。借助上述功能，企业就能利用iRule来调用日志记录或系统日志信息，并向管理员实时发出威胁告警。带宽调整借助这一全新功能，企业能够有效而灵活地保护系统免受带宽滥用攻击。结合使用带宽类型与带宽过滤模块，企业现在就能实现对自身的保护，避免处于流量峰值状态，并免受定期滥用用户型攻击或可拖垮网络资源的网络攻击。企业能够设定流量和应用的限定条件，控制这些资源以哪一个速率达到峰值状态，这样就能识别并阻止试图累垮网络资源的通用安全攻击。避免信息泄露采用BIG-IP系统，那些可利用安全漏洞获取的企业宝贵信息将得到保护。黑客以扫描或分析Web站点以获得IT基础设施线索而臭名昭著。此类用户通过分析流量特征、检查错误代码来查找漏洞，通过充分利用这些漏洞，他们就能发起攻击。违反安全规则的内部用户访问的行为也日益成为一个常见问题，因为该网络内部的恶意用户尝试非法获取某些敏感数据。BIG-IP系统为企业提供了一款不可或缺的工具，借助这一工具，就能阻止对敏感和关键信息的访问，还能在需要时有所选择地实施加密。BIG-IP设备能够使信息免于泄露，它具有如下特性：资源隐藏借助BIG-IP系统，企业能够保护其自身系统免受黑客进行站点扫描或其它类似应用，或进行有关查找漏洞线索的行为。通过对资源进行隐藏，BIG-IP设备能够删除敏感信息（这些信息通常与服务器有关，包括如下内容：网页中的错误代码、源代码注释，包含相关服务器和应用重要信息的服务器标头等）。结合使用功能强大的通用检查引擎以及灵活的iRules，BIG-IP系统就能阻止/过滤任何与站点有关的敏感信息，并能保护企业免受恶意用户的攻击。安全网络地址转换(NAT)和端口映射BIG-IP系统能够对设备所用的地址和端口进行转换，并解析为可广而告之给外部用户的地址和端口。通过转换这些地址，管理员就永远不会担心其BIG-IP 设备资源的泄露，这就降低了黑客获得访问服务器权限的机会。BIG-IP系统包含一个称为智能安全网络地址转换（智能SNAT）的特性，该特性与NAT类似，能够使服务器同时具有一个不公开的IP址和一个公开的IP地址，这就能安全地与外部互联网进行连接。然而，智能SNAT与NAT不同，它允许管理员分配或映射一个单独的IP地址至一组节点，或整个子网，或VLAN。智能SNAT还能根据IP数据包数据中的任何一个部分，映射至一个IP地址。通过BIG-IP的通用检查引擎，企业现在就能根据IP数据包数据中的任何一个部分，智能映射IP地址。缺省条件下，SNAT地址只能用来启动出站连接。在缺省条件下，定向至SNAT地址的入站初始连接，将被BIG-IP系统阻止，这就提供了另一道安全屏障。可选内容加密借助BIG-IP解决方案，企业能够灵活地根据其应用安全策略和标准需求，对所选的数据进行加密，企业现在能够对其敏感应用数据进行保护，能够构建一套通用的安全策略，能够在一处中心位置在不同需求间谋求一套折衷策略。企业现在能够在清晰可见的通道下传递非关键流量，并有所选择地对敏感流量（如账号和密码）加密，这就使其能够符合诸如萨班斯奥克斯利法案、HIPAA以及FIPS等安全监管标准。3.1.6.2ASM提供的专业的WEB应用防护功能BIG-IPASM是业内最全面的Web应用安全与应用完整性解决方案。对于对业务至关重要的应用，屡获殊荣的BIG-IPASM能够使其保持机密性、可用性和高性能，从而保护了您企业的安全，并维护了企业的声誉。实时流量策略构建器BIG-IPASM的核心是动态策略构建器引擎，它负责自动的自我学习并创建安全策略。它围绕新发现的漏洞自动构建和管理安全策略，部署快速、敏捷的业务流程，而无需手工干预。当流量通过BIG-IPASM传输时，策略构建器解析请求和响应，提供独特的能力检验完整的客户端和应用流量的双向流程—包括数据和协议。通过利用先进的统计和启发式引擎，策略构建器可以过滤掉攻击和异常流量。策略构建器也可以在被告知站点更新的模式下运行。通过解析响应和请求，它可以探测站点的变化，并且相应地自动更新策略，而无需用户干预。现成的保护能力BIG-IPASM配备了一套预置应用安全策略，可为MicrosoftOutlookWebAccess、LotusDomino邮件服务器、OracleE-BusinessFinancials和MicrosoftOfficeSharePoint等常用的应用提供现成的保护能力。此外，BIG-IPASM包含快速部署策略，可立即为任何客户应用提供安全保障。这套经过验证的策略无需要花费任何时间进行配置，并且可以根据启发式学习和特定的客户应用安全需求，用作创建更先进的策略的起点。高级执行能力BIG-IPASM可保护任何参数免遭客户端的篡改，并且通过验证登录参数和应用流来防御强制浏览和逻辑缺陷攻击。BIG-IPASM还可以防护OWASP十大Web应用安全漏洞1以及零日Web应用攻击。满足安全标准的要求 先进的内置安全防护和远程审计功能可帮助您的企业以经济高效的方式满足行业安全标准的要求，包括PCIDSS、HIPAA、BaselII和SOX，您既不需要购置多个设备，也不需要对应用进行更改或重写。BIG-IPASM提供了针对新型威胁的高级报告能力，例如第7层拒绝服务攻击(DoS)和暴力攻击。此外，BIG-IPASM与WhiteHat、Splunk和Secerno集成，可支持漏洞评估、审计和实时数据库报告功能，从而实现安全违规检查、攻击防护和法规遵从。经济高效的应用安全与可用性许多网站和应用都遭受过安全威胁，这些安全威胁会导致业务中断，并损害企业的品牌。BIG-IPASM可以报告以前未知的威胁，例如暴力攻击，并且可减轻Web应用威胁，从而保护企业免遭数据侵害。BIG-IPASM有助于预防棘手而且代价高昂的应用侵害，这些侵害可导致企业遭受数百万美元的损失，包括收入下降、监管机构处罚和品牌价值受损等。集成的XML防火墙BIG-IPASM提供了特定应用的XML过滤和验证功能，保证Web应用的XML输入的结构正确。它提供了模式验证、常见攻击防御和XML解析器拒绝服务预防。DataGuard™和伪装BIG-IPASM通过分离数据和隐藏信息而预防敏感数据的泄露（例如信用卡号码、社会安全号码等）。此外，BIG-IPASM隐藏错误页面和应用错误信息，防止黑客发现底层架构并发起有针对性的攻击。漏洞评估与WhiteHatSentinelSecurity的集成提供了一种独特的漏洞评估服务，该服务将自动化工具与专业的高技能应用安全专家联系在一起。通过与BIG-IPASM集成，业界领先的WhiteHatSentinel服务可以扫描Web应用，并创建专门处理应用中发现的漏洞的BIG-IPASM规则。这样可以通过接近即时的漏洞控制响应而进行经过验证并且可行的漏洞评估，从而在开发人员纠正漏洞代码时保护应用的安全。攻击签名的实时更新为了保证最新的防护能力，新攻击的新签名需要经常更新。BIG-IPASM每天查询F5签名服务，并自动下载和应用新的签名。SMTP和FTP安全BIG-IPASM使FTP服务器组的管理轻松易行。BIG-IPASM验证FTP协议，控制暴力攻击，而且也可以对允许的FTP命令进行白名单控制。此外，BIG-IPASM可以执行命令长度限制和主动/被动连接。对于SMTP，BIG-IPASM提供了额外的全面安全检查。它还支持灰名单，目的是预防垃圾邮件，执行SMTP协议，将危险SMTP命令加入黑名单，并且控制目录获取攻击。BIG-IPASM的速率限制能力有助于应对拒绝服务（DoS）攻击。集中的高级报告和数据库安全Splunk是一个大型的高速索引和搜索解决方案，提供了15种不同的BIG-IPASM特定报告。这些报告提供了攻击和流量趋势的深入信息、用于讨论的长期数据汇总、故障响应的加速以及风险发生之前无法预期的威胁的识别。对Web访问敏感数据、破坏数据库或者执行 DoS攻击，SecernoDataWall和BIG-IPASM共享相同的报告。恶意用户可以被隔离，同时报告和告警对这些攻击的类型和威胁提供了即时的侦测和信息。 3.1.7Geolocation为商业智能决策提供参考通过与全球领先的IP地址数据供应商合作，F5可以在LTM,GTM,LC,APM及ASM产品实现将用户的IP地址直接转换为该用户所在的地域。目前可以免费提供的IP的相关地理信息如下：l大洲l国家l省份l注册机构l运营商1、通过该功能，可以实现根据地域信息的智能的应用交付，如下：2、通过直接在virtual server上直接配置该功能，除了可以获取访问业务的用户的来源地区信息之外，用户可以根据这些用户访问的地区信息，调整业务的部署。3、用户还可以利用IPGEOLOCATION功能，与应用程序配合，在页面上直接显示该地区的一些优惠业务，实现个性化的页面响应。 3.1.8节能环保，增强机柜空间利用率Viprion2400的电源是业界目前唯一一个通过了“80plus”金牌认证的电源。80plus认证简单来说就是效率的转换标准规范。“80plus”金牌认证要求电源在20%轻载和满载的情况下，转换效率必须达到87%以上，50%典型负载下则必须达到90%。通过配备具有“80plus”金牌认证的电源，Viprion2400具有非常良好的节能环保，降低碳排放的特性。同时，通过vCMP的虚拟化技术，可以减少对物理设备的需求，从而提高机柜的空间利用率。•80Plus认证的电源可以增加:–数据中心的电力使用效率(PUE)–更好的空间利用率和更低的散热要求 3.1.9高投资回报比在通过VIPRION2400可扩展的机架式硬件设备+vCMP虚拟化的功能支持下，F5建议的此种架构具有很高投资回报比。 3.1.10为内部私有云的发展转变提供了坚实的架构基础Viprion2400是F5推出的专为云计算设计的一款先进产品。它具有云计算的一些典型的特征：按需扩展，高可靠性，虚拟化，同时提供i-control的API接口，可以非常方便的与vmware的v-center和其他的云计算的管理平台进行集成，集合这些特点，F5的viprion2400为XXXX中国未来的内部私有云的建设提供了坚实的基础。1、超大规模。F5最强大的负载均衡能力可以满足云计算的超大规模业务处理能力的请求。通过负载均衡功能，F5可以把后台成百上千的物理服务器或者是VMWARE的虚拟服务器同时对外提供多个业务的服务。同时F5的负载均衡可以跨硬件平台，跨操作系统，同时对多个业务进行负载均衡。完全可以满足超大规模业务处理能力的需要。Viprion2400是F5公司专门为云计算推出的产品平台，基本配置的viprion2400的四层吞吐能力达到了40G，同时，为了满足未来的云计算的性能扩展的需求，VIPRION2400还可以通过增加刀片的方式来实现性能的无缝扩展，VIPRION2400最高可以同时插4块刀片，提供160G的四层吞吐能力以及160万每秒的四层新建连接数。2、虚拟化。F5早在05年就有了虚拟化的解决方案。F5的广域网负载均衡设备可以对多数据中心进行虚拟化，合理的分配用户的访问请求去到不同的云。F5的链路负载均衡设备还可以对链路进行虚拟话，把一个数据中心连接多条互联网线路进行虚拟化处理，保障用户从最好的线路访问云内部资源。同时，F5的服务器负载均衡设备还可以通过对内部的云资源进行虚拟化处理。F5设备本身也可以进行虚拟化，viprion2400就可以虚拟成为多个设备，每个设备上跑不同的版本和功能，并且各自独立，以实现对不同的服务提供不同的F5设备平台。3、高可靠性F5的广域网负载均衡设备GTM和Viprion2400配合，可以实现云之间的高可用性，可以智能的，无缝的把用户从一个云迁移到另一个云，也可以实现单个云的多互联网接入的高可用性，任意一条ISP线路中断，都不会对云服务造成任何影响。VIPRION2400可以保障内部资源的容错性，内部任何一个云计算的节点出现问题都不会对外面的云用户使用云资源造成任何的影响，LTM能够自动的屏蔽有问题的云计算的节点，让其停止对外服务，同时把该故障节点上的用户迁移到其他正常的节点上去。VIPRION2400除了通过双机的HA来提供高可用之外，VIPRION2400上的多个刀片之间也可以提供高可用，任何一个刀片出现问题，不影响整个设备的正常运行，同时刀片可以热插拔。 1、通用性F5的VIPRION2400设备可以跨硬件平台，跨操作系统，对于各种TCP和UDP的业务进行资源的虚拟化发布，完全可以满足云计算通用性的需求。2、高可扩展性F5的GTM可以帮助实现云之间的无缝扩展。F5的VIPRION2400可以帮助实现在云内部资源的扩展，甚至包括云内部的ISP接入线路的无缝扩展。同时，F5的产品还可以根据用户访问量的大小，动态的实现性能的扩展，F5提供了开放的API接口i-control，可以实现和其他厂商产品（比如微软、vmware等）和云计算管理平台的智能通信。VIPRION2400可以提供很多的功能模块的扩展，这些功能模块做成了软件的license的方式，实现按需购买的方式，提供了极大的功能灵活性。F5目前又推出了虚拟化版本的LTM设备，（即安装在虚拟机上的LTM）实现了F5硬件设备的虚拟化，极大的提高了F5设备本身的性能扩展性。VIPRION2400还可以通过增加刀片的方式来实现性能的无缝扩展。 第五章产品资料及其他技术文档5.1Viprion2400产品资料机架资料：VIPRION2100机架物理规格VIPRION2400机架Dimensions6.89”(17.5cm)Hx17.64”(44.8cm)Wx21.18”(53.8cm)Drack-mountchassis4rackunitsWeight:42.5lbs.(19.3kg)PowerSupply:ACpowersupplyTwo100-127VAC/200-240VAC(1400W)autoranging17Aperinputline(max)DCpowersupply(option)Two1400W38to72VDC44Aperinput(max)OperatingTemperature:32°to104°F(0°to40°C)perTelcordiaGR-63-CORE5.1.1and5.1.2RelativeHumidity:5to85%at104°F(40°C)perTelcordiaGR-63-CORE5.1.1and5.1.2SafetyAgencyApproval:EN60950-1:2006,2ndEditionEvaluatedtoallCBCountriesUL60950-1,2ndEdition,CSAC22.2No.60950-1-03 ElectromagneticEmissionsCertifications:FCCPart15ClassAVCCIClassAEN300386V1.3.2(2003-05)EN55022:2006+C1:2006EN61000-3-2:2000EN61000-3-3:1995+A1:2000EN55022:2006+C1:2006ClassAEN61000-3-3:1995+A1:2000+A2:2005刀片资料：VIPRION2100BladePhysicalSpecificationsVIPRION2100BladeTrafficThroughput:40GbpsL4,18GbpsL710GbpsHardwareCompressionMaximumSSLTPS:50,000TPSBulkcrypto:9GbpsIncludedSSLTPS:500/CPUCore|2000/BladeProcessor:SingleQuadCore(4processors)Memory:16GBHardDriveCapacity:300GB10,000RPMNetworkInterfaces:GigabitEthernetcopperports:0(OptionalSFP)Gigabitfiberports(SFP):0(OptionalSFP)10gigabitfiberports(SFP+)8SR(2Included)Note:OnlyopticsprovidedbyF5aresupported.PowerConsumption:Typical:175W(conditions:25C,50%load,110VAC)Maximum:265W(conditions:40C,110VAC)HeatOutput:Typical:597BTU/hourMaximum:904BTU/hourWeight:9.5lbs.(4.3kg) 5.2vCMP技术简介 5.3LTM产品资料见文档《big-ip-local-traffic-manager-ds.pdf》 5.4GTM产品资料见文档《big-ip-global-traffic-manager-ds.pdf》 5.5ASM产品资料见文档《big-ip-application-security-manager-ds.pdf》 5.6EM产品资料见文档《enterprise-manager-ds.pdf》