《F5解决方案交流》由会员分享,可在线阅读,更多相关《F5解决方案交流(41页珍藏版)》请在金锄头文库上搜索。
1、行业应用加速与网络安全 F5解决方案Presented by: Wu Dong F5 Presales Consultant 2Application网络和应用之间巨大的缝隙应用关注业务逻辑和功能传统网络关注连通网管应用开发人员新的安全漏洞 高代价的扩展 性能低下?3 应用与网络之间的问题分析服务器端的问题客户端的问题应 用网 络应用整合导致速度变慢应用扩展性限制应用安全性受到挑战高资源消耗和应用配合性很差应用复杂导致使用困难网络拥挤不堪,访问速度很慢客户端安全性受到挑战接入环境差异导致使用困难应用高可用性需求增强4现有的应用架构广域网/InternetWEB/应用服务器数据库服务器数据库客户
2、端5行业应用面临的问题1-WEB/应用服务器瓶颈 产生的原因 应用的整合导致业务逻辑复杂 大数据量查询与分析导致应用服务器资源占用上升 JAVA技术的广泛使用在带来开发和使用的易用性的同时导致了系 统性能瓶颈 B/S结构的易用性决定了需求的持续增长 传统的解决办法 更换更强的应用服务器 优化代码 仍然存在的问题 单点故障 硬件投资急剧上升 新硬件平台带来的性能提升有限 随着需求的增长维护与迁移导致更高的维护成本6行业应用面临的问题1-数据库性能瓶颈 产生的原因 历史数据累积,导致数据库越来越庞大 高性能计算要求,对数据库性能要求越来越高 数据深度挖掘,数据库整合,跨表查询等 大量的数据分析工作
3、耗费大型主机资源 传统解决办法 更换性能更强的数据库服务器 HA架构并不能带来性能的提升 仍然存在的问题 硬件投资急剧上升 单点故障,管理维护复杂7F5 ADN解决方案-F5应用交换机 BIGIP-LTM截取监控保持负载均衡 截获获和检查检查流量,保证只有合适的数据包才能通过 服务务器监监控和健康检查检查,随时了解服务器群的可用性状态 负载负载均衡和应应用交换换功能,通过各种策略导向到合适的服 务器 会话话保持以实现与应用系统完美结合8BIGIP-LTM的作用范围-Layer4-7Lay4-7层交换机别名:负载均衡交换机 内容交换机 应用交换机主动式流量管理 Lay4-7层交换机工作在网络第4
4、-7层协议上 Lay4-7层交换机的作用 提高应用系统/服务器的可用性提高应用系统的安全性 降低IT系统的管理和升级的成本 提高IT系统的效率和容量表示层会话层传输层网络层链路层物理层应用层PHYMACIPTCP/UDP/其他FTP SMTP/POP3 SIP/H.323 SMS/MMS SQL IIOP HTTP/HTTPS Lay4-7 Switch9BIGIP-LTM应用的物理结构客户端将请求发送到BIGIP-LTM对外的虚拟地址 BIGIP-LTM将请求转发到服务器群组中 BIGIP-LTM将服务器的返回发送到最初发起请求的客户端 在BIGIP-LTM上制定负载均衡策略及会话保持策略
5、在BIGIP-LTM上制定服务器健康检查策略客户端请求负载均衡分配应用交换机10BIGIP-LTM的逻辑结构虚拟服务器 服务器池 w/Rules举例virtual server 192.168.101.1:80pool (name= cgi_boxes)member (server= 10.1.1.3:80)member (server= 10.1.1.2:80)member (server= 10.1.1.1:80)pool (name= asp_boxes)member (server= 10.1.1.6:80)member (server= 10.1.1.5:80)member (ser
6、ver= 10.1.1.4:80)virtual addr 192.168.101.1virtual server 192.168.101.1:443pool (name= ssl_boxes)member (server= 10.1.1.6:443)member (server= 10.1.1.2:443)member (server= 10.1.1.1:443)virtual addr 192.168.101.2Load BalancingIntelligent Traffic Control (look at URL, client IP addr., etc.)Port-based T
7、raffic DirectionIP Addr.-based Traffic DirectionIncoming request11BIGIP-LTM在应用系统中的部署存储存储 设备设备中间件中间件 应用应用 服务器服务器后端后端 服务器服务器前端前端 Web/Web/接入接入 服务器服务器BIGIP-LTMBIGIP-LTMBIGIP-LTM数数 据据 流流12BIGIP-LTM关于数据库负载均衡的特别说明 在BIGIP-LTM上尚未提供数据库读写分开的能力 需要对应用层进行改动13行业应用面临的问题2-SSL压力 产生的原因 交易中SSL应用越来越普遍,防止中途窃听和篡改 SSL安全传输广
8、泛部署于Internet和内部网络访问 服务器对SSL处理能力有限 SSL对称加密和非对称加密占用大量计算资源 传统的解决方案 采用更多的服务器负载均衡 在服务器端安装硬件加速卡 采用基于主机方式的SSL网关 仍然存在的问题 管理维护复杂 增加SSL网关的软件和硬件投资巨大 在更换或者增加CA时维护复杂或难以实现 普通加速卡只能解决非对称加密的部份而不能解决对称加密部分14F5 ADN解决方案 - F5 LTM SSL OffloadHTTPSHTTP/HTTPSCRLDP ServerOCSP Server作废证书验证SSL加速/应用交换服务器群组CA Server证书发放,更新作废证书列表
9、集中处理SSL流量,转换为HTTP之后发送给服务器 减小服务器端压力 同时处理非对称加密和对称加密 支持多种CA和证书应用,支持多CA同时处理15F5 BIGIP-LTM SSL加速性能与功能SSL 性能参数BIG-IP 1500BIG-IP 3400BIG-IP 6400BIG-IP 6800Max SSL TPS2,1005,10015,10020,100Max SSL Bulk500Mb/s1Gb/s 2Gb/s 2Gb/sMax SSL CC100,000200,000500,000500,000客户机到BIGIP端到端加密通道 保证电子交易传输安全,可靠 证书认证功能-支持多种CA证
10、书体系 服务器SSL传输 实现后端服务器加密传输,提供最大安全性 资源访问控制 控制客户端访问资源内容 证书信息透传-提供服务器更多信息,减小服务器端压力 多应用系统支持-支持典型的WebSphere、WebLogic、Tomcat等应用服务器 完善的日志输出-加强安全审计功能16行业应用面临的问题3-广域网B/S带宽占用 产生的原因 B/S开发相对简单,结构清晰,无须客户端维护 大量的传统C/S应用在进行B/S转换 B/S应用的带宽占用远远大于C/S应用 在处理中加入了大量界面代码,导致单笔交易的数据传输量增加 传统的解决办法 增加广域网带宽 仍然存在的问题 增加带宽仍然可能速度没有提升(网
11、络延迟) 增加带宽的资金投入为持续性,没有回报17F5 ADN解决方案-HTTP 压缩/Cache/连接优化对服务器返回页面进行压缩 文本的通常压缩比可达5:1 选择性压缩,对不可压缩内容不压缩。对高速访问用户端不压缩 减小广域网传输流量 提高客户端页面加载速度 连接优化可以将一个用户的多个请求或者多个用户的请求合成一个连接发送 到服务器,减小应用服务器的压力HTTPHTTPHTTP 动态压缩/Cache18HTTP 压缩的效果Company (home page)Bytes Saved with CompressionPercentage Saved with CompressionTran
12、sfer Speed ImprovementOracle71,89573%3.7xE*trade46,77270%3.3xLubrizol86,73266%2.9xXerox73,04464%2.8xHilton Hotels102,48755%2.2xNorth Western Mutual55,54153%2.1xBest Buy127,29951%2.1xBed Bath and Beyond114,85451%2.1xInsight Enterprise53,77750%2.0xProgressive47,70152%2.1x19HTTP优化压缩/连接优化后的实际效果服务器占用减少 1
13、/3 授权费用减少 1/3 管理时间减少 1/3114.8 Million5 Million95% Fewer Connections1.87 Terabyte621 Gigabytes带宽占用减少66%3 Seconds1 Seconds快3倍端到端的页面加载时间20行业应用面临的问题4 - 远程安全访问使用者轻车熟路 针对真正使用者 任何时间,任何地点,任何系统平台。与内网访问访问方式相同,不需额外负担,请请不要再 给给我负负担!系统安全性 - 针对安全管理人员 端点自检查方式,完全符合企业对安全管理的需求。 防范病毒入侵 防范应用攻击 管理轻松方便 针对系统管理员 与现现有的认证认证系统
14、轻松融合,如此多远程用户,别别再给给我添乱了! 方便灵巧的跟踪报报告方式,轻松记录远程访问人员何时访问过何种资源全中文界面,方便使用者和管理者双向访问访问模式,可提供信息主动动推送到端点,并对端点有效维护。21F5 ADN解决方案-F5 FirePass SSL VPNInternetLaptopMobile DevicePartner应用访问门户访问网络访问动态策略后端访问任何用户 任何设备KioskSecured by SSLIntranetFirePass用户认证 系统22FirePass SSL VPN的应用部署 简化策略管理 集成终端安全检查 高性能Internet内部非安全 网段隔
15、离区 网络无线网接入用户认证 系统SSL企业桌面系统远程笔记本电脑VLAN 1SSLSSL内部安全 网段VLAN 223F5 FirePass的特色提供全网络访问络访问功能:基于IP的应用都可以访问集成终端安全检查:可以检查客户端的软件安装、防火墙、防病毒软件的使用、Windows Patch是否安装等。与内网访问访问方式相同:不需额外负担随时时随地接入:使用SSL协议作为接入协议,与具体接入条件无关,有效的避免了IPSec VPN在某些网络条件下无法接入的弊端 多种多样样的接入客户户端:可以使用多种客户端接入,包括Mac、Linux、Solaris、Windows CE等等,大大扩展了客户端
16、的使用便利性24行业应用面临的问题5 - 广域网数据传输客户端服务器时间文件OpenFID300 ms广域网 延迟Read(1) 300 msRead(2) 300 msRead(n) 300 msRead(2)Read(1)Read(n)File 一个Windows文件共享 拷贝100MB文件大约产生1,700 个来回局域网: 1,700 x 1 毫秒 = 1.7 秒广域网: 1,700 x 300 毫秒 = 8.5 分钟!标准TCP协议的传输问题广域网 延迟广域网 延迟25F5 ADN解决方案-WANJet广域网加速客户端服务器时间文件300 ms局域网存取文件: 1,700 x 1 毫秒 = 1.7 秒加速后第一次存取文件延迟减小: 200 x 3
