- 998.50 KB
- 37页
- 1、本文档共5页,可阅读全部内容。
- 2、本文档内容版权归属内容提供方,所产生的收益全部归内容提供方所有。如果您对本文有版权争议,可选择认领,认领后既往收益都归您。
- 3、本文档由用户上传,本站不保证质量和数量令人满意,可能有诸多瑕疵,付费之前,请仔细先通过免费阅读内容等途径辨别内容交易风险。如存在严重挂羊头卖狗肉之情形,可联系本站下载客服投诉处理。
- 文档侵权举报电话:19940600175。
应用交付方案建议书
一、概述41.为什么要进行应用交付42.什么是应用交付5二、需求分析6三、F5解决方案81.解决方案结构提出82.方案说明9a)部署说明9b)方案优势9i.避免“不平衡”现象9ii.服务器的健康监控和检查10iii.UIE+iRuels12iv.应用级安全防护13v.连接优化15vi.HTTP压缩16vii.高速缓存模块17viii.第7层带宽调整模块18ix.SSL加速模块19x.应用交付和应用交换功能19四、产品介绍22BIG-IP统一应用基础设施服务25应用状态检查26高可用性及交易保证26全面的负载平衡26智能应用交换26完善的IPv6网关27广域网(WAN)优化和应用加速27智能的http压缩功能27确保关键应用性能28增加服务器容量,提高站点响应性28加密无所不在28内容转换29支持应用安全性30增加关键内容保护30防御海量攻击31避免协议攻击31防火墙-包过滤31BIG-IP的性能及可靠性31创新的性能31系统HA和管理32提高可见性32丰富的用户界面32支持STP、MSTP、RSTP33
智能压缩模块35SSL加速模块35第7层带宽管理模块35先进的客户认证模块35IPv6网关模块35路由模块36一、概述1.为什么要进行应用交付随着Internet的普及以及电子商务、电子政务的发展,越来越多的应用系统需要面对更高的访问量和数据量。同时,企业对在线系统的依赖也越来越高,大量的关键应用需要系统有足够的在线率及高效率。这些要求使得单一的网络服务设备已经不能满足这些需要,由此需要引入服务器的负载平衡,实现客户端同时访问多台同时工作的服务器,一则避免服务器的单点故障,再则提高在线系统的服务处理能力。从业界环境来说,如下的应用需求更是应用交付发展的推动力:n业务系统、关键系统需要高可用性。n应用服务的高负载能力需求。n集群式服务系统的高可用性和高可靠性需要。n应用系统大集中的需要。n数据中心降低成本,提高效率。n应用级安全防护需求n高质量的用户体验需求
1.什么是应用交付应用交付技术在现有网络结构之上提供了一种廉价、有效、透明的方法,来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。它有两方面的含义:首先,大量的并发访问或数据流量分担到多台节点设备上分别处理,减少用户等待响应的时间;其次,单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备处理结束后,将结果汇总,返回给用户,系统处理能力得到大幅度提高。同时,在此过程中,对应用数据进行优化处理及应用级安全防护。BIG/IP利用定义在其上面的虚拟IP地址来为用户的一个或多个应用服务器提供服务。因此,它能够为大量的基于TCP/IP的网络应用提供服务器应用交付服务。BIG/IP连续地对目标服务器进行L4到L7合理性检查,当用户通过VIP请求目标服务器服务时,BIG/IP根椐目标服务器之间性能和网络健康情况,选择性能最佳的服务器响应用户的请求。下图描述了一个负载平衡发生的流程:
1.客户发出服务请求到VIP2.BIGIP接收到请求,将数据包中目的IP地址改为选中的后台服务器IP地址,然后将数据包发出到后台选定的服务器3.后台服务器收到后,将应答包按照其路由发回到BIGIP4.BIGIP收到应答包后将其中的源地址改回成VIP的地址,发回客户端,由此就完成了一个标准的服务器负载平衡的流程。对于所有应用服务器,可以在BIG-IP上配置VirtualServer实现应用交付,同时BIG-IP可持续检查服务器的健康状态,一旦发现故障服务器,则将其从应用交付组中摘除。一、需求分析F5的BIGIPLTM
本地流量管理器是一款出色的应用流量管理系统,可提供业内最智能,最具适应性的解决方案来保护、优化和交付应用,高达72G的吞吐能力以及99.999%的可靠性保证业务系统安全稳定高可靠的长期运行。F5的BIGIPLTM可以同时最大支持无限制的应用服务器做基于IP协议透明的应用交付,同时独有的ECV、EAV等先进的健康检查机制可以实时的深入检查应用状态之否正常,保证应用组整体的高可用及高可靠。同时可以基于服务器IP、端口和多种应用交付策略如轮寻、最小连接数、比率等进行各种应用交付组合。内建的ASM模块可以完成基于应用层的攻击防护,保护服务器不受应用层攻击。设备本身的防攻击功能模块可以保证应用系统不受外界常见攻击威胁。基于iRules的高级可编程七层脚本可以根据用户需求进行基于源地址的访问控制,并可以根据源地址将不用访问分发到不同特定的服务器上进行处理。对SNMP和SYSLOG的完美支持可以和网管及日志管理系统进行完美结合。
一、F5解决方案1.解决方案结构提出
1.方案说明a)部署说明方案建议在应用系统入口处各部署F5LTM应用交付设备。两台LTM采用Active/Standby接入方式,避免单点故障。两台LTM共享FloatingIP,保证在进行毫秒级故障切换时不会影响正常的业务流量。将Server服务器的网关指向LTM设备的FloatingIP,保证进出的流量经过LTM。b)方案优势i.避免“不平衡”现象BIG-IP利用Virtual
Server虚拟服务器(VS由IP地址和TCP/UDP应用的端口组成)来为用户的一个或多个目标服务器(称为Node:目标服务器的IP地址和TCP/UDP应用的端口组成,它可以是私网地址)提供服务。因此,它能够为大量的基于TCP/IP的网络应用提供服务器应用交付服务。根据服务类型不同分别定义服务器群组,可以根据不同服务端口将流量导向到相应的服务器。BIG-IP连续地对目标服务器进行L4到L7合理性检查,当用户通过VIP请求目标服务器服务时,BIG-IP根椐目标服务器之间性能和网络健康情况,选择性能最佳的服务器响应用户的请求。如果能够充分利用所有的服务器资源,将所有流量均衡的分配到各个服务器,我们就可以有效地避免“不平衡”现象的发生。i.服务器的健康监控和检查服务器(Node)-Ping(ICMP)
BIGIP可以定期的通过ICMP包对后台服务器的IP地址进行检测,如果在设定的时间内能收到该地址的ICMP的回应,则认为该服务器能提供服务服务(Port)-ConnectBIGIP可以定期的通过TCP包对后台服务器的服务端口进行检测,如果在设定的时间内能收到该服务器端口的回应,则认为该服务器能提供服务扩展内容查证(ECV:ExtendedContentVerification)-ECVECV是一种非常复杂的服务检查,主要用于确认应用程序能否对请求返回对应的数据。如果一个应用对该服务检查作出响应并返回对应的数据,则BIG/IP控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据,则将该服务器标识为宕机。宕机一旦修复,BIG/IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使BIG/IP可以将保护延伸到后端应用如Web内容及数据库。BIG/ip的ECV功能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询,然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。扩展应用查证(EAV:ExtendedApplicationVerification)
EAV是另一种服务检查,用于确认运行在某个服务器上的应用能否对客户请求作出响应。为完成这种检查,BIG/IP控制器使用一个被称作外部服务检查者的客户程序,该程序为BIG/IP提供完全客户化的服务检查功能,但它位于BIG/IP控制器的外部。例如,该外部服务检查者可以查证一个Internet或Intranet上的从后台数据库中取出数据并在HTML网页上显示的应用能否正常工作。EAV是BIG/IP提供的非常独特的功能,它提供管理者将BIG/IP客户化后访问各种各样应用的能力,该功能使BIG/IP在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。该功能对于电子商务和其它应用至关重要,它用于从客户的角度测试您的站点。例如,您可以模拟客户完成交易所需的所有步骤-连接到站点、从目录中选择项目以及验证交易使用的信用卡。一旦BIG/ip掌握了该"可用性"信息,即可利用负载平衡使资源达到最高的可用性。BIG/ip已经为测试Internet服务的健康情况和状态,预定义的扩展应用验证(EAV),它有二种用户界面:浏览器和CLI配置。BIG/IP预定义的应用检查:FTP、NNTP、SMTP、POP3和MSSQL。i.UIE+iRuelsBIGIP利用UIE+iRules技术,可以将TCP/UDP数据包打开,并搜索其中的特征数据,之后根据搜索到的特征数据作相应的规则处理。因此可以根据用户访问内容的不同将流量导向到相应的服务器,实现7层的应用交付。例如:根据用户访问请求的URL将流量导向到相应的服务器。
BIG-IP提供了一套有针对性的方法来减少服务器压力,降低互联网延迟和客户机连接瓶颈对其应用访问性能所造成的影响。通过综合采用多种应用优化手段以后,应用访问的性能可以得到显著提高。与此同时,由于服务器性能的提高,还可以达到减少服务器数量,减少带宽占用从而节省投资的目的。i.应用级安全防护随着更多的应用流量通过网络上传输,敏感数据面临着被盗、安全漏洞和攻击的威胁,尤其是在应用层。F5的BIG-IP®应用安全管理器™(ASM)是一个先进的Web应用防火墙,可显著减少和控制数据、知识产权和Web应用丢失或损坏的风险。BIG-IP
ASM通过一个将应用交付与网络和应用加速及优化结合在一起的平台,提供了无与匹敌的应用和网站防护、完整的攻击专家系统,并且可以满足关键的法规要求。BIG-IPASM是业内最全面的Web应用安全与应用完整性解决方案。对于对业务至关重要的应用,屡获殊荣的BIG-IPASM能够使其保持安全性、可用性和高性能,从而保护了您企业的安全,并维护了企业的声誉。满足安全标准的要求,先进的内置安全防护和远程审计功能可帮助您的企业以经济高效的方式满足行业安全标准的要求,包括PCIDSS、HIPAA、BaselII和SOX,您既不需要购置多个设备,也不需要对应用进行更改或重写。BIG-IPASM提供了针对新型威胁的高级报告能力,例如第7层服务拒绝攻击(DoS)、暴力攻击和SQL注入攻击等。通过PCI报告功能,BIG-IPASM列出了PCIDSS1.2所要求的安全措施,并确定是否满足了要求,若未满足要求则详细说明为满足要求所需采取的措施。此外,BIG-IPASM与WhiteHat、Splunk和Secerno集成,可支持漏洞评估、审计和实时数据库报告功能,从而实现安全违规检查、攻击防护和法规遵从。
i.连接优化BIGIP通过Oneconnect技术,将所有客户端的TCP连接转移至BIGIP进行处理;而BIGIP与服务器之间仅建立少量的、持续的TCP连接。使Web服务器从处理大量的并发TCP请求和TCP连接建立/卸载的负担中解脱出来,同时当BIGIP收到用户请求后才发送到服务器,服务器可免于受到客户端和网络异常的影响。BIGIP还会缓存所有服务器的响应数据包,服务器以LAN速度发送数据到BIGIP,服务器不会受到慢速客户端连接的牵累。服务器的大量CPU资源被释放来提供数据,而不是管理连接。BIGIP通过控制容量需求和访问分析优化了服务性能和带宽。企业也因为增加了更多的计算资源,减少了出口带宽需求而降低服务器和带宽投资,并且减少服务响应延迟和运营成本。ii.HTTP压缩BIG-IP提供业内最具扩展性,最智能也最灵活的压缩解决方案。BIG-IP系统通过从服务器中不对称卸载HTTP压缩,降低了服务器开销,并通过实现服务器整合,将服务器总体拥有成本降低了高达
65%。BIG-IP系统充分利用现有浏览器解压缩能力,无需对客户机进行任何修改,亦无需下载任何可能带来入侵威胁的软件。BIG-IP智能压缩采用已申请专利的方法来测量客户连接延迟,这使带宽使用率降低了60-80%,同时将用户响应时间提高了两倍以上。BIG-IP是业内首款为企业提供的可扩展式压缩解决方案,具有通过优化硬件及其自适应压缩卸载(AdaptiveCompressionOffload)压缩web流量的可选功能。BIG-IP系统的智能压缩功能为企业提供了一种针对目标用户进行压缩的方式。压缩流量不一定要以带宽利用率的降低为代价。真正的挑战在于把握如何最有效的定位,从而使用户获得最大优势。例如,由于拨号用户延迟较高,所以,对其进行压缩可使这部分用户获得最大优势。而由于宽带用户的接收窗口尺寸较大,因此,他们因此获得的优势则微乎其微,这是因为,宽带用户现在需要等待更长的时间来接收数据,这将导致响应时间变慢,因此,压缩的优势被抵消。BIG-IP采用已申请专利的技术来动态检测客户连接延迟。BIG-IP系统能够监控TCPRTT(往返时间),以动态计算用户延迟,从而使BIG-IP能更专注于将流量压缩并传送给最需要它们的用户。i.高速缓存模块BIG-IP
的高速缓存模块可从后台基础设施中卸载对内容的重复请求,从而提高应用和服务器的性能,这种性能改善是以逐个应用为基础,智能进行的。高速缓存提供出色的灵活性和控制能力,确保企业实现更大的卸载量,为他们的客户基群提供更快捷的服务。降低服务器利用率企业可以将服务器负载最多降低至50%,可降低服务器成本,还可加快最终用户对经常访问页面的访问速度。多存储高速缓存创建专用的高速缓存存储区,以逐个应用为基础存放高速缓存内容,最大程度地将服务和速度提供至最需要的地方。预压缩内容高速缓存模块可存储和提供经过压缩的内容,避免费时费力地进行重新压缩,从而避免与重新压缩有关的性能下降。静态与动态内容高速缓存允许企业指定要动态建立(即动态HTML),以便进行高速缓存的内容有条件地更新高速缓存存储区,使内容保持最新状态。产品模块产品模块是F5应用产品的软件版本,可运行于现有BIG-IP之上。这些产品也可作为独立设备使用。i.Web应用加速技术
企业依赖于Web应用来支持关键任务的业务运作,并带来竞争优势。尽管在数据中心附近的用户几乎可以即时访问应用,但对移动和远程用户来说,访问应用时需要浪费时间等待页面加载,甚至他们可能会发现应用根本就无法访问。随着用户对应用的性能失去信心,而且大量支持电话使本已疲于应付的网络管理员的任务更为加重,这造成了工作效率的显著下降。BIG-IP®WebAccelerator™使您的用户能够即时改进Web应用性能,并帮助您降低成本。通过减轻网络和服务器的负载,BIG-IPWebAccelerator可帮助您降低购买额外带宽和新硬件的费用。用户可以快速接入应用,而且您可以更好地将IT资源用于能够推动企业实现业务目标的项目中。BIG-IPWebAccelerator通过确保最有效的带宽使用,避免向用户提交重复或复制数据,解决了Web内容交付问题,从而提高了对门户网站、CRM、远程学习以及电子商务网站的首次访问和重复访问速度。因此,用户可以大大地缩短下载时间,减少带宽使用,并降低远程办事处和移动部署使用企业Web应用的成本。为了实现这一目标,BIG-IPWebAccelerator采用两种重要功能:动态内容控制和动态数据卸载。
动态内容控制动态内容控制(DCC)是一组能够对用户浏览器行为进行控制的功能,它能够保证对带宽的高效使用,并避免对重复或复制数据进行下载。通过减少条件请求数量以及浏览器和Web应用之间传输的数据量,动态内容控制可以降低WAN时延和错误的影响。与差值压缩方法的常见做法不同,动态内容控制不需要安装Java程序或者对浏览器进行更改。动态内容控制包括三大主要功能:•智能浏览器参照™—通过杜绝对重复数据的下载,并防止浏览器向那些被误认为是动态数据的静态数据发出条件请求,可确保浏览器仅下载真正动态而唯一的内容。•多连接—能够让浏览器在浏览器与Web应用之间建立更多的并发连接,增强并行数据传输能力。多连接功能对于卫星网络和移动网络等高时延/高带宽网络来说是一项极其有效的功能。•动态线性化—能够让用户即时显示PDF页面或者跳转至特定页面,无需等待整个文件下载完毕便可以进行浏览。动态内容控制
动态内容控制(DCC)是一组能够对用户浏览器行为进行控制的功能,它能够保证对带宽的高效使用,并避免对重复或复制数据进行下载。通过减少条件请求数量以及浏览器和Web应用之间传输的数据量,动态内容控制可以降低WAN时延和错误的影响。与差值压缩方法的常见做法不同,动态内容控制不需要安装Java程序或者对浏览器进行更改。动态内容控制包括三大主要功能:•智能浏览器参照™—通过杜绝对重复数据的下载,并防止浏览器向那些被误认为是动态数据的静态数据发出条件请求,可确保浏览器仅下载真正动态而唯一的内容。•多连接—能够让浏览器在浏览器与Web应用之间建立更多的并发连接,增强并行数据传输能力。多连接功能对于卫星网络和移动网络等高时延/高带宽网络来说是一项极其有效的功能。•动态线性化—能够让用户即时显示PDF页面或者跳转至特定页面,无需等待整个文件下载完毕便可以进行浏览。i.第7层带宽调整模块争夺共享带宽通常会降低应用性能,同时企业几乎无法进行控制、以保证高优先级的流量在非优先型流量之前通过。BIG-IP第7层带宽调整模块新增了精确控制带宽功能,可以更好地管理应用对带宽的使用和流量高峰。确保应用的性能和可用性确保关键业务应用不受非优先型流量的影响。为优先级更高的应用优先分配带宽,提供最佳应用性能。降低设备成本
为了简化、集中流量管理的能力,消除专用带宽调整产品。完善的带宽控制提供灵活的带宽限制、对带宽借用的全面支持、以及流量排队功能(随机平等队列、FIFOToS优先级队列)。精细流量分级(第2层至第7层)根据任何一点流量变化控制速率级别;允许在优先级类似的应用之间共享应用带宽,以便更好地共享资源。速率限制这是一个具有重要用途的安全功能,用于确保特定类型的应用流量保持在指定的速率范围内。i.SSL加速模块SSL加速模块用于从服务器卸载占用大量CPU资源的处理流程,以及将SSL解密移植到设计用来高效处理SSL事务的高性能设备上。100%SSL企业现在可以去除安全、以及线速处理的全部瓶颈(并发用户、大吞吐量和每秒新事务),并将所有通信都移植到SSL。整合将SSL证书直接整合到BIG-IP上,这样每个证书可以节省数百美元。集中管理将证书管理集中到一个单一位置,从而极大地简化管理负荷。
降低成本不再需要为网络中的每台服务器购买和安装支持SSL的服务器软件。有选择的内容加密和经过加密的Cookie针对整体或部分数据,或有条件地对数据进行加密;提供业界最精确的控制能力,而无需将所做更改编码到应用中。i.应用交付和应用交换功能BIGIP是一台对流量和内容进行管理分配的设备。它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户,只是一台虚拟服务器。用户此时只须记住一台服务器,即虚拟服务器。但他们的数据流却被BIGIP灵活地均衡到所有的服务器。这12种算法包括:l轮询(RoundRobin):顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从顺序循环队列中拿出,不参加下一次的轮询,直到其恢复正常。l比率(Ratio):给每个服务器分配一个加权值为比例,根椐这个比例,把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。l
优先权(Priority):给所有服务器分组,给每个组定义优先权,BIG/IP用户的请求,分配给优先级最高的服务器组(在同一组内,采用轮询或比率算法,分配用户的请求);当最高优先级中所有服务器出现故障,BIG/IP才将请求送给次优先级的服务器组。这种方式,实际为用户提供一种热备份的方式。l最少的连接方式(LeastConnection):传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。l最快模式(Fastest):传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。l观察模式(Observed):连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障,BIG/IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。l预测模式(Predictive):BIG/IP利用收集到的服务器当前的性能指标,进行预测分析,选择一台服务器在下一个时间片内,其性能将达到最佳的服务器相应用户的请求。(被bigip进行检测)l动态性能分配(DynamicRatio-APM):BIG/IP收集到的应用程序和应用服务器的各项性能参数,动态调整流量分配。l动态服务器补充(DynamicServerAct.):当主服务器群中因故障导致数量减少时,动态地将备份服务器补充至主服务器群。l服务质量(QoS):按不同的优先级对数据流进行分配。
l服务类型(ToS):按不同的服务类型(在TypeofField中标识)对数据流进行分配。l规则模式:针对不同的数据流设置导向规则,用户可自行编辑流量分配规则,BIG/IP利用这些规则对通过的数据流实施导向控制。
一、产品介绍BIG-IP®本地流量管理器应用交付低效、迟延和失败都会导致数百万美元的损失,包括预算浪费、公司名誉受损、系统和应用停机、法律责任以及错失良机等。BIG-IP®本地流量管理器是一款出色的应用流量管理系统,可提供业内最智能,最具适应性的解决方案来保护、优化和交付应用,从而确保企业能够在保持高效运营的同时提高其竞争力。它是业内唯一一款包含整套统一应用基础设施服务的系统,将总体控制、可见性以及灵活性出色地融合到应用安全、性能和交付中。好处?更高的业务灵敏性和当今企业生命线(应用)的成本实施。主要优势可靠性提供业内最可靠、最先进的系统,以确保应用始终可用。
应用加速提供无可比拟的控制能力将应用性能提高3倍,确保高优先级应用得以优先处理,同时卸载昂贵的服务器循环。降低服务器和带宽成本通过丰富的基础设施优化特性将服务器容量增加3倍;同时通过智能HTTP压缩、带宽管理等特性将带宽成本降低80%。增强网络和应用安全性从拒绝服务(DoS)保护到隐藏,再到过滤应用攻击,BIG-IP添加了多项不能在网络中其它地方实现的关键安全特性。无可比拟的应用智能与控制特性业内唯一一款可提供完整应用流的解决方案-能够以网速进行全面的有效负载检查和基于事件的可编程流量管理,以及时掌握流量信息,并采取相应措施。面向所有IP应用的集成解决方案提供可与所有应用(不仅是基于Web的协议(HTTP/S))相集成的综合解决方案,在单个统一系统内为企业提供了面向所有IP应用(包括传统应用和诸如VOIP等新兴应用)的集中解决方案。行业领先的性能提供行业内最快的流量管理解决方案,来保护、交付和优化应用性能。作为行业内当之无愧的领导者,BIG-IP再次刷新了SSLTPS、批量加密以及最大并发SSL连接的业内记录。
简化管理,提高可见性全新的图形用户界面极大地简化了产品配置,提供了针对流量与插件资源的精细可见性,同时支持配置的批量快速修改。强大的TM/OS体系结构:完善的应用智能与网络适应性新型BIG-IP的核心是一款创新体系结构,称为TM/OS(流量管理/操作系统),它为企业提供了一套统一系统来帮助其实现最佳应用交付。TM/OS针对BIG-IP上的每项功能都做了改进,在支持BIG-IP智能地适应应用与网络日新月异的需求同时,提供了面向所有服务的完全可见性、灵活性和控制能力。TM/OS快速应用代理TM/OS使BIG-IP能够高效地将客户机与服务器端数据流隔离开来、独立维持每个连接设备的最佳性能,并承担起系统间的通信工作,以改进应用性能。如今,任何与BIG-IP相连的系统或IP应用都将可以更高效地工作。iRules和通用检查引擎TM/OS集成了F5新版定制的iRules和通用检查引擎(UIE),为应用交易或应用流内任何时刻的应用流量处理都提供了无与伦比的控制能力。凭借完整的有效载荷检验及转换能力、可扩展的事件驱动iRules以及面向会话层的交换(session-awareswitching)技术,BIG-IP提供了业内最智能的流量控制点,以(以网速)解决各种应用交付问题。
BIG-IP统一应用基础设施服务通过易于管理的图形用户界面和流量“简档”(profile)调用或通过iRules调用,BIG-IP统一应用基础设施服务代表了一整套最全面的功能,使企业能够更为高效地集成、定位和扩展所要求的服务,以提高应用部署效率。交付优化安全交付...优化...安全...全面的负载平衡先进的应用交换会话/流交换定制状态监控智能网络地址转换通用持续性响应错误处理IPv6网关(M)高级路由(M)智能端口镜像SSL加速(M)智能HTTP压缩(M)TCP优化第7层带宽管理(M)内容缓冲(ContentSpooling/Buffering)内容转换连接加速智能服务质量广域网优化高级客户机认证(M)资源隐藏(ResourceCloaking)Cookie加密选择内容加密应用攻击过滤拒绝服务(DoS)攻击和SYNFlood保护防火墙-包过滤包消毒(PacketSanitization)(M)=作为插件模块提供交付:最大可靠性和可扩充性BIG-IP通过提供业内领先的第7层智能特性消除了单点故障,并实现了网络与应用的虚拟化。这样可确保所有站点始终保持正常运行,并使其更具可扩充性和更易于管理。
应用状态检查BIG-IP提供了复杂的监视器来检查设备、应用和内容的可用性,其中包括支持许多应用的专用监视器(包括各种应用服务器、SQL、SIP、LDAP和XML/SOAP等)以及用以检查内容和模拟应用呼叫的监视器。此外,BIG-IP还能对共享服务器上的应用进行有效管理,并前瞻性地报告其状态。高可用性及交易保证BIG-IP可提供次秒级系统故障切换和广泛的连接镜像,从而帮助用户出色地解决各种类型的系统、服务器或应用故障。同时,它还能前瞻性地检查并对任何服务器或应用错误即时作出响应,从而帮助企业在降低系统负载的同时,获得出色的可靠性。全面的负载平衡BIG-IP采用多种静态和动态负载平衡方法(包括动态比率、最小连接和观测负载平衡),可跟踪一组服务器的动态性能级别,从而确保可始终选中最佳资源以改进性能。智能应用交换由于BIG-IP可读取所有IP应用,所以它能够基于特定厂商的应用服务器(BEA、微软、IBM、Oracle、SUN等)信息、Web服务应用中的XML数据或移动/无线应用的设定值来实现持续性。凭借iRules的深度分组检验能力和BIG-IP的交换特性、日志记录特性以及有效载荷或流持续性,企业可以为其所有应用获得更高的可靠性和可扩充性。
完善的IPv6网关所有企业都需要制定一套明晰的无缝演进战略,以分阶段进行网络移植,以支持不断增长的IPv6需求。通过IPv6网关模块,BIG-IP提供了完整的v4与v6网络间IP转换与负载平衡能力。这使得用户移植和混和IPv4与IPv6主机资源的共享更易于管理,同时也更为经济高效。优化:降低基础设施成本和加速应用BIG-IP卓越的智能特性为企业提供了一款强大的解决方案,可帮助它们提高应用性能、增加现有基础设施的容量、降低基础设施成本和加速其应用。广域网(WAN)优化和应用加速BIG-IP提供了一套有针对性的方法来减少流量,降低互联网延迟和客户机连接瓶颈对其应用性能所造成的影响。通过智能压缩等先进特性,BIG-IP可支持对各种文件类型的压缩(如HTTP、XML、Javascript、J2EE应用等),从而在将带宽利用率降低80%的同时,将应用性能提高了3倍。智能的http压缩功能V9添加了综合的,易配置的http压缩功能,只需要在BIGIP上另外购买对应软件模块。http压缩功能可以减少线路中传输的数据字节。这个功能可以实现两个目的:1.减少带宽需要,降低花费。2.更好的穿越贷款瓶颈,提高传输速率。BIGIP系统通过以下方式实现对应用程序的压缩:
²URI/URL²MIME²L7Rule²ClientAware–basedonRTTorMS²JAVAScript确保关键应用性能BIG-IP灵活的第7层带宽管理能力可使企业对带宽进行有效管理,以确保高优先级应用能够得到按时交付。同时,它还提供了定制控制能力,以设定基于应用的带宽限制(容许的带宽峰值),甚至还能在应用之间建立队列关系。增加服务器容量,提高站点响应性BIG-IP可提供广泛的连接管理以及TCP和内容卸载能力,以优化服务器性能,显著提高页面加载速度。例如,BIG-IP的OneConnect™能通过将数百万条客户机请求汇聚到成百上千个服务器端连接中将服务器容量增加60%,从而确保了后端系统能够高效地处理这些请求。通过其它优化技术(比如内容缓冲(contentspooling)),BIG-IP可充当“中间人”来优化与任何端点之间的通信,使服务器能够更有效地处理其工作负载,从而提高通过BIG-IP运行的任何应用的服务器容量。加密无所不在作为领先的SSL加速解决方案,BIG-IP提供了惊人的SSL处理扩充性,持续SSL吞吐率可达2Gbs。通过加速批量加密和设置加密,企业可使用更安全的加密方法将其全部通信移植到SSL上,同时不会对应用性能带来任何影响。
内容转换BIG-IP提供了一款完善的解决方案,可将许多繁重或重复功能卸载至一个集中管理的大功率网络设备上。除了SSL、压缩和其他许多功能外,BIG-IP还提供了一个完整的内容转换网关,可对应用内容进行重新引导、插入或进行整体转换,从而实现有效的应用集成。安全:更高的攻击防护这种防护不仅可以阻止攻击,同时还可以为合法用户提供即时服务。从这两方面来看,BIG-IP均提供了一整套安全服务,在提高网络和应用的安全性方面扮演了日益重要的角色。从增强网络和协议级安全性到过滤应用攻击,BIG-IP都可以部署在关键网关上,来出色的保护您的珍贵资源:运行业务的应用。支持应用安全性•资源隐藏-BIG-IP将全部应用、服务器错误代码和真实URL
地址进行虚拟化并隐藏,因为这些信息可能会给黑客提供攻击其基础设施、服务以及相关漏洞的线索。•定制应用攻击过滤-BIG-IP的完整检查能力及基于事件的规则提供了一项强大的能力,可搜索并应用各种规则来阻止L7层攻击-同时也可以定义策略来阻止特定访问或禁止某些命令的执行。此外,BIG-IP在为合法用户持续提供流量的同时,还可提供其它安全保护层,以防范黑客、病毒和蠕虫的攻击(如红色代码蠕虫)。•集中认证-BIG-IP可作为各种流量类型的认证代理,使企业能够为BIG-IP系统上的应用提供最高级的认证。这种功能使各类应用又多了一道远离自身的网络安全防线,为其Web和应用层提供了进一步的保护。增加关键内容保护••cookies加密和其它令牌都透明地分配给合法用户。企业可获得全部状态应用(电子商务、CRP、EPR和其它关键业务应用等)出色的安全性和更高一级的用户身份信任。•支持更高标准的AES(高级SSL加密标准)算法,采用市场上最安全的SSL加密技术,无需额外处理成本。•内容保护-防止企业的敏感文件或内容遗留在站点上。防御海量攻击BIG-IP包含丰富的安全特性集,可全面防御拒绝服务(DoS)攻击、同步攻击(SYNFlood)和其他基于网络的攻击。诸如SYNCheck™等特性可为部署在BIG-IP设备后的服务器提供全面的同步攻击(SYNFlood)保护。此时,BIG-IP作为安全代理,来有效地保护整个网络。与DynamicReaping特性相结合,BIG-IP
设备可安全地过滤海量攻击,同时为合法连接用户提供不间断的服务。避免协议攻击BIG-IP提供了“协议无害处理”(ProtocolSanitization)和“充分TCP终止”(FullTCPTermination)点来单独管理客户机和服务器端连接,以保护所有后端系统和应用免遭恶意攻击。防火墙-包过滤现在,BIG-IP集成了一个控制点来定义并执行基于第4层的过滤规则(基于PCAP,与网络防火墙类似),以提高网络保护能力。BIG-IP的性能及可靠性创新的性能BIG-IP提供了业内最快速的应用流量管理解决方案,其特别设计的体系结构将高性能交换结构与一流SSL和第4层硬件优化完美结合在一起,以彻底卸载系统CPU。BIG-IP确保了各项功能均可达到其真实性能,并能够以网络速度进行深层次分组检查。系统HA和管理BIG-IP通过多重启动、“热”升级、无人值守管理等关键特性显著改善了系统管理。作为一款高可用性设备,BIG-IP还提供了对于“HA表”下所有处理器状态无可比拟的可见性。全新图形用户界面和简化的管理
先进的全新图形用户界面极大地简化了产品配置,降低了设置和维护成本。基于“简档”(Profile)的配置全新的简档对象(ProfileObject)使企业可创建可应用于不同资源的流量行为模板,从而减少重复操作并提供一致的设置修改方法。提高可见性BIG-IP能够提供详尽的流量统计数据(全局范围或基于每个对象),以帮助企业更好的监控全部活动和资源。丰富的用户界面BIG-IP全新的图形用户界面提供了多项可用性增强特性(通过一个安全的、基于SSL浏览器的接口提供),其中包括在线帮助、搜索与分类、在线创建等等,大大降低了花费在大量配置上的设置与维护时间。iControl–创建面向应用的网络F5的iControl™API和SDK帮助实现了第三方应用和BIG-IP之间的自动通信,从而消除了繁琐的手工操作。经扩展后,iControl现在已可支持真正的发布/订阅模式。这一模式大大降低了网络开销,改善了通过iControl接口与BIG-IP相集成的应用的性能。对于大多数应用而言,该模式能够显著降低客户机和服务器的网络带宽与处理时间。网络
支持STP、MSTP、RSTP链路聚合VLAN标记QoS/ToS第三方MIB支持:全部默认Net-SNMPBIG-IP–扩充、安全和优化:ApacheBEAWebLogicCheckPointVPN-1/FireWall-1CitrixMetaframePresentationServerHPOpenViewLotus/DominoNotesServersIBMWebSphereOracle:–9iApplicationServer–10gApplicationServer–E-BusinessSuite11i–CollaborationSuite.微软:–ApplicationCenter–CommerceServer–ExchangeSever–OutlookWebAccess–WindowsTerminalServices–SharePointPortalServer–InternetInformationServices(IIS)–LiveCommunicationsServer–SQLServer–MicrosoftOperationsManager
–MobileInformationServer–InternetSecurityandAccelerationServer–VisualStudio.NETSiebeleBusinessApplicationsPeopleSoftEnterpriseMacromediaColdFusionTrendMicroInterScanMercuryBusinessAvailabilityCenterSAPmySAPBusinessSuiteNetegritySiteMinderwebMethodsEnterpriseServicesPlatformTivoliAccessManagerRSASecureIDRealNetworksRealSystemServersSuniPlanetServers...更多可用的插件模块智能压缩模块使用工业标准的GZIP和Deflate压缩算法来压缩HTTP流量;降低带宽消耗、缩短最终用户在慢速/低带宽连接条件下的下载时间。SSL加速模块在关键业务在线交易期间提供安全、速度和流量管理的同时,显著改善服务器性能。BIG-IP6400可支持高达15,000笔SSLTPS,所有BIG-IP系统均包含100份TPS许可证。
第7层带宽管理模块通过为高优先级应用分配带宽,确保获得最佳应用性能;基于第4层或第7层参数来控制峰值流量并确定流量优先级。先进的客户认证模块允许BIG-IP提供到LDAP、Radius、TACAS和其它集中认证设备的顶级HTTP和其它流量类型的客户机认证。IPv6网关模块提供v4和v6网络之间完全的IP转换与负载平衡能力,使用户移植和混和IPv4与IPv6主机资源的共享更易于管理,也更为经济高效。路由模块针对BGP、RIP和OSPF提供不同的网络路由模块。