1、XXXX新數(shù)據(jù)中心架構(gòu)方案建議書 v2.1劉勇F5 廣州辦事處2011/6/25前言4第二章 需求分析52.1高度的架構(gòu)靈活性，支持虛擬化技術(shù)52.2完善的負(fù)載均衡功能52.3具有強(qiáng)大的性能，并具備無縫的硬件性能擴(kuò)展能力52.4高度的架構(gòu)高可用性，實(shí)現(xiàn)7x24的不間斷提供服務(wù)52.5統(tǒng)一的配置與管理平臺62.6提供對完整的安全防護(hù)6第三章 數(shù)據(jù)中心架構(gòu)-SLB架構(gòu)建議73.1方案設(shè)計(jì)的特點(diǎn)83.1.1架構(gòu)靈活服務(wù)器與數(shù)據(jù)中心整合數(shù)據(jù)中心自動化業(yè)務(wù)連續(xù)性虛擬桌面應(yīng)用虛擬化云計(jì)算173.1.2 I

2、-rules提供良好的應(yīng)用兼容性193.1.3應(yīng)用交付性能按需擴(kuò)展203.1.4高可用的架構(gòu)設(shè)計(jì)硬件設(shè)備的高可用設(shè)計(jì)多鏈路和多數(shù)據(jù)中心的高可用設(shè)計(jì)213.1.5統(tǒng)一的硬件管理平臺和應(yīng)用性能監(jiān)控功能 統(tǒng)一的硬件管理平臺-EM后臺應(yīng)用的性能可視性-AVR功能243.1.6提供完善的應(yīng)用系統(tǒng)安全2 LTM提供的系統(tǒng)安全性2 ASM提供的專業(yè)的WEB應(yīng)用防護(hù)功能313.1.7 Geolocation為商業(yè)智能決策提供參考343.1.8節(jié)能環(huán)保，增強(qiáng)機(jī)柜空間利用率363.1.9高投資回報(bào)比373.1.

3、10為內(nèi)部私有云的發(fā)展轉(zhuǎn)變提供了堅(jiān)實(shí)的架構(gòu)基礎(chǔ)38第五章 產(chǎn)品資料及其他技術(shù)文檔415.1 Viprion 2400 產(chǎn)品資料415.2 vCMP技術(shù)簡介435.3 LTM產(chǎn)品資料455.4 GTM產(chǎn)品資料465.5 ASM產(chǎn)品資料475.6 EM產(chǎn)品資料48前言隨著XXXX中國現(xiàn)在的業(yè)務(wù)進(jìn)入一個新的快速增長階段，現(xiàn)有的IT架構(gòu)越來越難以支撐新業(yè)務(wù)的快速發(fā)展。因此，XXXX中國準(zhǔn)備對數(shù)據(jù)中心的架構(gòu)重新進(jìn)行整體規(guī)劃，以達(dá)到一個靈活的基礎(chǔ)架構(gòu)，以適應(yīng)業(yè)務(wù)的快速增長，為新業(yè)務(wù)的快速部署提供強(qiáng)有力的IT支撐。F5公司作為應(yīng)用交付領(lǐng)域領(lǐng)先的廠商，結(jié)合多年的客戶案例和經(jīng)驗(yàn)以及XXXX中國的客觀需求，針對數(shù)

4、據(jù)中心的架構(gòu)進(jìn)行設(shè)計(jì)，并與網(wǎng)絡(luò)架構(gòu)部分進(jìn)行整合，達(dá)到新數(shù)據(jù)中心IT整體架構(gòu)的要求。 第二章 需求分析在新的數(shù)據(jù)中心架構(gòu)下，整體的架構(gòu)的基本目標(biāo)是：數(shù)據(jù)中心網(wǎng)絡(luò)交換虛擬化，增強(qiáng)空間利用率，統(tǒng)一設(shè)備配置與管理。最終的目標(biāo)是建設(shè)一個靈活的IT架構(gòu)，能夠支持新業(yè)務(wù)的部署和現(xiàn)有業(yè)務(wù)的迅速發(fā)展，同時提供一個非常高的可用性和安全性，來保障業(yè)務(wù)的安全、快速和高可用的交付。經(jīng)過調(diào)研，我們總結(jié)出具體的需求點(diǎn)如下：2.1高度的架構(gòu)靈活性，支持虛擬化技術(shù)支持各種各樣的虛擬化技術(shù)，以減少新業(yè)務(wù)部署的時間和增加機(jī)架空間利用率，實(shí)現(xiàn)IT架構(gòu)的虛擬化和高度的靈捷性。2.2完善的負(fù)載均衡功能除了必須的服務(wù)器負(fù)載均衡能力外，還要

5、求負(fù)載均衡設(shè)備具有良好的系統(tǒng)兼容能力，能夠適應(yīng)不同的網(wǎng)絡(luò)環(huán)境和應(yīng)用環(huán)境。比如說現(xiàn)在的負(fù)載均衡架構(gòu)下，如果訪問終端和服務(wù)器在同一個二層網(wǎng)絡(luò)，需要在SLB設(shè)備上將訪問終端的地址進(jìn)行轉(zhuǎn)換，并且無法做到一一對應(yīng)，這樣會對日常的記錄和排錯造成影響。2.3具有強(qiáng)大的性能，并具備無縫的硬件性能擴(kuò)展能力需要解決數(shù)據(jù)中心內(nèi)部跨二層的網(wǎng)絡(luò)備份流量經(jīng)過LB設(shè)備可能會造成的傳輸瓶頸，在不同的ZONE的設(shè)備之間，在進(jìn)行數(shù)據(jù)備份或者跨ZONE之間調(diào)用數(shù)據(jù)時，該流量需要經(jīng)過負(fù)載均衡設(shè)備，因此，要求負(fù)載均衡的吞吐性能要很高，并且在未來應(yīng)用增加，用戶增多，數(shù)據(jù)增大的情況下具備無縫的硬件的性能擴(kuò)展能力。2.4高度的架構(gòu)高可用性，

6、實(shí)現(xiàn)7x24的不間斷提供服務(wù)新的數(shù)據(jù)中心將會承載在XXXX中國所有的內(nèi)部和外部的業(yè)務(wù)系統(tǒng)，因此整個架構(gòu)的高可用性必須非常的高，從服務(wù)器硬件級別到應(yīng)用級別再到鏈路級別最后到數(shù)據(jù)中心級別，必須有一整套的高可用性的解決方案。2.5統(tǒng)一的配置與管理平臺方便系統(tǒng)維護(hù)人員能夠方便的維護(hù)與管理配置文件，系統(tǒng)版本，補(bǔ)丁升級以及設(shè)備配置文件等，并能夠方便的查看設(shè)備上面的性能報(bào)告與狀態(tài)。2.6提供對完整的安全防護(hù)應(yīng)用已成為當(dāng)今企業(yè)經(jīng)營過程的一項(xiàng)核心內(nèi)容。應(yīng)用對企業(yè)的收入有著直接的影響，因此，保護(hù)關(guān)鍵業(yè)務(wù)信息免受惡意攻擊至關(guān)重要，這些攻擊通常包括針對應(yīng)用漏洞的攻擊，以及低級網(wǎng)絡(luò)攻擊。企業(yè)在實(shí)現(xiàn)真正的網(wǎng)絡(luò)和應(yīng)用安全時

7、，面臨著諸多挑戰(zhàn)，因?yàn)椋簯?yīng)用漏洞越來越多當(dāng)今的安全系統(tǒng)和防火墻并非智能型系統(tǒng)，不能檢測新型的應(yīng)用層攻擊，也不能單獨(dú)防御此類攻擊。這些設(shè)備無法確認(rèn)應(yīng)用的類型，它們僅是鎖定/解鎖某個地址、端口或資源。這些傳統(tǒng)設(shè)備不能對數(shù)據(jù)包進(jìn)行深度檢查，不能通過維持會話狀態(tài)信息來檢測攻擊，也不能防止應(yīng)用攻擊的發(fā)生。應(yīng)用攻擊通常包括：注入和執(zhí)行受到限制的命令，cookie篡取、獲得非法訪問敏感文檔和用戶信息的權(quán)限。這些攻擊會導(dǎo)致?lián)p失大量的收入，以及生產(chǎn)效率降低，上述結(jié)果反過來還會影響企業(yè)的信譽(yù)。網(wǎng)絡(luò)漏洞越來越多 網(wǎng)絡(luò)攻擊變得越來越復(fù)雜和廣泛。惡意用戶正在尋找新的突破網(wǎng)站防線、竊取有價值信息、甚至使整個站點(diǎn)停機(jī)的方法

8、。諸如拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、無序包泛濫、TCP 窗口大小篡改等復(fù)雜攻擊，正給安全系統(tǒng)抵御大量攻擊帶來巨大的壓力。在發(fā)起攻擊之前，黑客和惡意用戶還啟用了站點(diǎn)掃描技術(shù)（一種被稱之為 profiling（特性描述）的技術(shù)），從似乎無害的源碼（如服務(wù)器錯誤代碼、源代碼注釋）當(dāng)中檢索任意系統(tǒng)或應(yīng)用信息。內(nèi)部安全危害與信息泄露當(dāng)今企業(yè)所面臨的其中一個最大的威脅是來自企業(yè)內(nèi)部的攻擊。這些攻擊難以檢測和預(yù)防，因?yàn)槠髽I(yè)內(nèi)部的用戶是可信域中的一部分。當(dāng)今的安全系統(tǒng)不能靈活地部署安全策略，不能在對企業(yè)內(nèi)部某些關(guān)鍵業(yè)務(wù)流量進(jìn)行加密的同時，允許其它未加密的非關(guān)鍵流量通過。企業(yè)正借助其現(xiàn)有解決方案努力部署高效

9、統(tǒng)一的安全策略，使企業(yè)的組織機(jī)構(gòu)符合諸如薩班斯奧克斯利法案、HIPAA 以及 FIPS 等安全監(jiān)管標(biāo)準(zhǔn)。最近一系列的安全事件，包括Sony, Paypal，Citigroup等被攻擊，用戶數(shù)據(jù)失竊，表明WEB應(yīng)用越來越容易遭受各種各樣的攻擊，完全的應(yīng)用安全防護(hù)也是必需的。第三章 數(shù)據(jù)中心架構(gòu)-SLB架構(gòu)建議根據(jù)XXXX中國的要求，結(jié)合F5多年來在數(shù)據(jù)中心架構(gòu)設(shè)計(jì)方面的經(jīng)驗(yàn)，F(xiàn)5建議的新數(shù)據(jù)中心的第一階段的SLB整體架構(gòu)如下：架構(gòu)設(shè)計(jì)說明：1、 在新數(shù)據(jù)中心的接入核心交換機(jī)nexus 7000旁掛一對F5的VIPRION 2400應(yīng)用交付器。2、 通過與NEXUS 的VDC技術(shù)配合，F(xiàn)5 Vip

10、rion 2400通過 vCMP技術(shù)虛擬出多個邏輯獨(dú)立的F5 應(yīng)用交付設(shè)備，通過port channel的方式與虛擬交換機(jī)VDC或者真實(shí)的NEXUS 7000接入核心交換機(jī)實(shí)現(xiàn)旁掛式連接，實(shí)現(xiàn)對不同的系統(tǒng)zone的應(yīng)用交付。3、 后臺服務(wù)器的網(wǎng)關(guān)都指向SLB設(shè)備的IP。3.1方案設(shè)計(jì)的特點(diǎn)3.1.1架構(gòu)靈活通過F5的vCMP技術(shù)和CISCO的VDC技術(shù)再加上vmware的vsphere平臺，可以幫助XXXX中國實(shí)現(xiàn)一個靈活的IT架構(gòu)，可以根據(jù)業(yè)務(wù)的發(fā)展和需要在部署新的業(yè)務(wù)區(qū)域而不需要去采購和部署新的硬件設(shè)備，通過虛擬化技術(shù)，可以直接在現(xiàn)有的硬件設(shè)備上虛擬出來一套基礎(chǔ)架構(gòu)設(shè)備，從而實(shí)現(xiàn)靈活的IT

11、架構(gòu)，并大大的提高新業(yè)務(wù)的部署時間。F5與vmware有眾多的聯(lián)合解決方案，可以幫助用戶實(shí)現(xiàn)高度靈活的IT架構(gòu)。服務(wù)器與數(shù)據(jù)中心整合降低硬件、電力和設(shè)備成本虛擬化幾乎是在最佳的時機(jī)出現(xiàn)的，目的是滿足企業(yè)對于在當(dāng)前經(jīng)濟(jì)形勢下提高效率的需求。在所有規(guī)模的數(shù)據(jù)中心內(nèi)，大量的服務(wù)器利用率不足。通過使這些額外的容量每次可用于不止一個應(yīng)用，企業(yè)能夠削減硬件基礎(chǔ)架構(gòu)，將這些應(yīng)用的運(yùn)行整合到更小或者更少的數(shù)據(jù)中心內(nèi)，并最終節(jié)約空間和電力成本。整合數(shù)據(jù)中心服務(wù)的好處極具吸引力，但只有在降低成本的意圖不會導(dǎo)致性能或可用性降低的情況下，企業(yè)才能真正地從虛擬化戰(zhàn)略中獲益。企業(yè)需要確信它們有必要的負(fù)載平衡

12、和流量管理解決方案，用于保持應(yīng)用的性能和可用性。隨著虛擬化環(huán)境的擴(kuò)展，企業(yè)通常面臨著與VMDK (虛擬機(jī)磁盤格式)文件存儲相關(guān)的額外挑戰(zhàn)。文件數(shù)量不斷增加，共享存儲池規(guī)模也是如此。因此，文件管理變得更加復(fù)雜，存儲瓶頸通常會出現(xiàn)，而且存儲成本會提高。F5解決方案有效地位于虛擬機(jī)上的應(yīng)用服務(wù)器之前，并且在資源受限的情況下優(yōu)化連接，選擇流量路由，并平衡負(fù)載。F5 BIG-IP本地流量管理器將對虛擬機(jī)造成CPU和內(nèi)存壓力的許多功能轉(zhuǎn)移出去，例如安全套接字層(SSL)交易、緩存和壓縮。將這些功能轉(zhuǎn)移到專用設(shè)備上可以釋放50%的總體服務(wù)器資源，使服務(wù)器能夠更有效地運(yùn)行，并且提高服務(wù)器容量的可用性。通過利用

13、F5的ARX 產(chǎn)品，企業(yè)還可以應(yīng)對與存儲相關(guān)的挑戰(zhàn)。ARX通過從物理存儲位置提取虛擬文件位置而實(shí)現(xiàn)智能的文件虛擬化。這將實(shí)現(xiàn)不同存儲層之間透明、自動化的基于策略的分配。需要高性能的文件位于第一層，不需要高性能的文件位于第二層。這樣可以降低對昂貴的一層存儲的需求高達(dá)80%。優(yōu)點(diǎn) 最大程度提高現(xiàn)有硬件資源的性能，并且避免對物理服務(wù)器的額外投資 通過卸載CPU密集型任務(wù)而提高應(yīng)用性能 通過數(shù)據(jù)中心之間和內(nèi)部的高級負(fù)載平衡而提高可用性 優(yōu)化文件存儲基礎(chǔ)架構(gòu)，并降低成本數(shù)據(jù)中心自動化實(shí)現(xiàn)應(yīng)用交付網(wǎng)絡(luò)自動化已經(jīng)部署虛擬機(jī)的IT服務(wù)提供商、數(shù)據(jù)中心和其它大型企業(yè)都知道，應(yīng)用流量意外激增可能對可

14、用性服務(wù)等級協(xié)議產(chǎn)生破壞。這些情況可能要求更多超額配置的基礎(chǔ)架構(gòu)。此外，隨著虛擬機(jī)數(shù)量的增加，管理虛擬機(jī)所需的時間也增加。IT人員通常會不必要地浪費(fèi)時間去處理例行管理和維護(hù)任務(wù)，而這些任務(wù)可以有效地自動完成。F5解決方案通過自動化運(yùn)行而大大簡化網(wǎng)絡(luò)部署、管理和維護(hù)。例如，在數(shù)據(jù)中心內(nèi)部和數(shù)據(jù)中心之間，F(xiàn)5 BIG-IP通過其iControl API與VMWare的Virtual Center管理控制臺直接通信，指導(dǎo)用戶根據(jù)不斷變化的應(yīng)用狀況而調(diào)整網(wǎng)絡(luò)。F5 management 插件for vmware vsphere：虛機(jī)的平滑關(guān)機(jī)：Disable 虛機(jī)：自動執(zhí)行變更或人工審批：處于審批階段

15、的操作：插件日志：例如，當(dāng)vCenter配置新的虛擬機(jī)時，BIG-IP本地流量管理器可以自動收到指令，將新服務(wù)器添加到其負(fù)載平衡池中，并開始將流量定向到其中。BIG-IP具有充足的智能化，會等到虛擬機(jī)發(fā)出響應(yīng)后開始發(fā)送流量。同樣，BIG-IP知道虛擬機(jī)或整個數(shù)據(jù)中心何時超負(fù)荷運(yùn)轉(zhuǎn)或者不可用，并相應(yīng)改變流量的路由。利用內(nèi)置的智能，BIG-IP可對波動的流量負(fù)載做出響應(yīng)，而無需手工干預(yù)。另外一個例子: 當(dāng)用戶請求進(jìn)入多個數(shù)據(jù)中心之間運(yùn)行的虛擬化環(huán)境時，F(xiàn)5的BIG-IP廣域流量管理器解決方案可自動檢測用戶的地理位置。然后，該產(chǎn)品從距離用戶最近的數(shù)據(jù)中心為應(yīng)用提供服務(wù)，以保證提供盡可能最高的性能等級

16、。它還可以根據(jù)不同的服務(wù)等級協(xié)議，從最具性價比的位置處理流量。與此相似，BIG-IP本地流量管理器可以識別和區(qū)別不同的用戶“類別”。例如，與標(biāo)準(zhǔn)用戶不同，來自高優(yōu)先級用戶的請求可由性能更高的服務(wù)器池處理。這一功能以及其它類似功能保證了應(yīng)用資源的最充分利用，并且使網(wǎng)絡(luò)管理員更輕松地開展工作。優(yōu)點(diǎn) 提高網(wǎng)絡(luò)響應(yīng)虛擬化環(huán)境需求的速度 降低虛擬化環(huán)境中的管理復(fù)雜性 利用自動化任務(wù)和簡化的管理而降低成本，提高IT人員效率 最大程度減少手工配置錯誤業(yè)務(wù)連續(xù)性保護(hù)您的業(yè)務(wù)，最大程度縮短應(yīng)用停機(jī)時間企業(yè)不能沒有核心應(yīng)用和基于Web的服務(wù)。當(dāng)一個應(yīng)用癱瘓時無論是簡單的硬件故障還是火災(zāi)或洪災(zāi)企業(yè)需要

17、知道應(yīng)用無論在任何情況下都能無故障運(yùn)行。在傳統(tǒng)IT環(huán)境中，將應(yīng)用從一個數(shù)據(jù)中心移到另一個數(shù)據(jù)中心，或者只是從一臺服務(wù)器移到另一臺服務(wù)器就非常困難。為了解決這個問題，許多企業(yè)過度配置基礎(chǔ)架構(gòu)，但如果硬件增加一倍，成本也會增加一倍。虛擬化環(huán)境提供了將應(yīng)用封裝到當(dāng)文件中，并在幾秒鐘內(nèi)在另一臺服務(wù)器上重新啟動文件的能力。虛擬化還允許企業(yè)輕松地制訂和測試災(zāi)難恢復(fù)計(jì)劃，而無需關(guān)停生產(chǎn)環(huán)境。因此，與傳統(tǒng)災(zāi)難恢復(fù)解決方案相比，虛擬化提供了性價比更高、更靈活、更可靠的替代方案。然而，企業(yè)仍需要應(yīng)對大量的網(wǎng)絡(luò)挑戰(zhàn)，以保證其應(yīng)用在災(zāi)難發(fā)生時的持續(xù)可用性。F5的BIG-IP廣域流量管理器解決方案可作為虛擬化環(huán)境的一部

18、分而部署，用于在數(shù)據(jù)中心之間有效地實(shí)現(xiàn)負(fù)載平衡。在整個站點(diǎn)出現(xiàn)事故時，它可以根據(jù)應(yīng)用負(fù)載和性能，自動將流量定向給備用的數(shù)據(jù)中心。如果第二個數(shù)據(jù)中心不可用，BIG-IP廣域流量管理器可以將核心應(yīng)用轉(zhuǎn)移到外部第三方服務(wù)器。這種共享的虛擬化服務(wù)器設(shè)施有時稱為“云”，可為災(zāi)難恢復(fù)提供高性價比的靈活選項(xiàng)。為了提高數(shù)據(jù)在數(shù)據(jù)中心之間的傳輸性能，企業(yè)還可以利用F5的WAN優(yōu)化解決方案。它用于將大量數(shù)據(jù)更快地從源數(shù)據(jù)中心傳輸?shù)侥繕?biāo)數(shù)據(jù)中心。F5解決方案在數(shù)據(jù)傳輸時進(jìn)行數(shù)據(jù)壓縮和重復(fù)數(shù)據(jù)刪除，以減少WAN上發(fā)送的總體數(shù)據(jù)量。傳輸?shù)臄?shù)據(jù)量更少意味著帶寬要求的降低，同時縮短了有效傳輸?shù)难訒r。在數(shù)據(jù)中心或IT部門內(nèi)，

19、企業(yè)可以部署F5的BIG-IP本地流量管理器，以防止核心應(yīng)用由于硬件故障而不可用。該解決方案即時地測量應(yīng)用的響應(yīng)時間，并且無縫地立即將流量從故障設(shè)備重定向到環(huán)境中的其它虛擬化服務(wù)器，而不會造成應(yīng)用中斷。優(yōu)點(diǎn) 在數(shù)據(jù)中心之間實(shí)現(xiàn)負(fù)載平衡(考慮服務(wù)等級協(xié)議和云計(jì)算費(fèi)用) 幫助在數(shù)據(jù)中心內(nèi)實(shí)現(xiàn)向輔助數(shù)據(jù)中心或云環(huán)境的災(zāi)難恢復(fù) 最大程度提高應(yīng)用可用性，并降低停機(jī)時間造成的影響 加快WAN中大量數(shù)據(jù)備份的速度虛擬桌面憑借應(yīng)用的高可用性提供統(tǒng)一、安全的用戶體驗(yàn)近年來，許多企業(yè)都選擇用簡單的客戶端終端取代桌面PC，并授權(quán)用戶通過LAN或WAN接入集中存儲的應(yīng)用和服務(wù)。除了節(jié)約硬件成本外，這些虛

20、擬桌面在管理和安全保障方面更為容易實(shí)現(xiàn)，而且性價比更高。然而，VMware View這樣的解決方案要想成功，用戶期望虛擬PC具有與傳統(tǒng)PC一樣的性能。如果存在較高的網(wǎng)絡(luò)延時(通常在遠(yuǎn)程客戶端部署項(xiàng)目中存在)，用戶會遇到性能緩慢的問題。此外，擴(kuò)展集中的連接服務(wù)器可能費(fèi)用高昂。最后，企業(yè)需要保證連接的安全，但不能對連接服務(wù)器造成過高的CPU負(fù)荷。F5解決方案旨在加速WAN連接速度，從而提高虛擬桌面機(jī)的性能。F5 WAN優(yōu)化產(chǎn)品的特性最大程度利用可用帶寬，并加速協(xié)議的傳輸，例如遠(yuǎn)程桌面協(xié)議(RDP)，以保證向用戶提供一致的高性能。在數(shù)據(jù)中心內(nèi)，BIG-IP可作為連接代理，并提供極高性能的SSL端接和

21、壓縮，從而將大量負(fù)荷從桌面服務(wù)器轉(zhuǎn)移出去。這以極低的成本提高了系統(tǒng)的總體擴(kuò)展能力。此外，F(xiàn)5解決方案通過在登錄之前保證較高的終端安全性而解決了普遍存在的安全問題。F5安全接入管理器對終端設(shè)備進(jìn)行登錄前的檢查，只有通過檢查才允許登錄，并提供了多種認(rèn)證機(jī)制，包括雙因素模式和多種后端目錄服務(wù)。該解決方案還在任何遠(yuǎn)程設(shè)備上執(zhí)行Active Directory Group策略，并提高可用性。優(yōu)點(diǎn) 確保為最終用戶提供優(yōu)質(zhì)的服務(wù) 最充分地利用WAN帶寬 最大程度減少所需的服務(wù)器數(shù)量，從而降低大型虛擬桌面部署項(xiàng)目的成本 確保嚴(yán)格的端到端網(wǎng)絡(luò)和應(yīng)用安全應(yīng)用虛擬化確保企業(yè)應(yīng)用的高性能S A P、Or

22、acle、Microsoft Exchange 和Microsoft SharePoint等企業(yè)應(yīng)用支持并整合業(yè)務(wù)的不同部分，因此，這些應(yīng)用對于日常業(yè)務(wù)至關(guān)重要。但是，它們也可能是低效的來源。在傳統(tǒng)IT環(huán)境中，這些應(yīng)用可能需要大量的服務(wù)器，而并非所有服務(wù)器都得到了充分利用。通過將企業(yè)應(yīng)用遷移到虛擬化或部分虛擬化的環(huán)境中，企業(yè)有機(jī)會整合硬件要求，并降低相關(guān)的電力、管理和維護(hù)成本。然而，虛擬化技術(shù)主要針對操作系統(tǒng)層而非該層應(yīng)用。因此，當(dāng)企業(yè)決定推行虛擬化戰(zhàn)略時，需要采取措施保證新環(huán)境不會對應(yīng)用性能產(chǎn)生負(fù)面影響。F5提供了針對特定應(yīng)用而預(yù)先優(yōu)化的解決方案，并在BIG-IP中附帶了綜合的預(yù)先定義的檔案

23、(例如Microsoft、SAP、Oracle)，從而在遷移到虛擬化平臺時而最大限度降低了特定應(yīng)用的網(wǎng)絡(luò)風(fēng)險(xiǎn)。這些預(yù)先定義的檔案通常部署在傳統(tǒng)IT基礎(chǔ)架構(gòu)中，而在虛擬化環(huán)境中同樣有益。使用這些應(yīng)用模板可使輸入數(shù)據(jù)量減少90%，最終縮短配置時間，減少錯誤。BIG-IP中一個預(yù)先定義的應(yīng)用檔案是VMware View (虛擬桌面)檔案。這個模板提供了“最佳實(shí)踐”配置模型，它融合了我們在設(shè)計(jì)最優(yōu)VMware View系統(tǒng)方面的所有經(jīng)驗(yàn)，并顯著簡化了安裝過程。另外，BIG-IP本地流量管理器最大程度提高了用戶應(yīng)用的性能。它將CPU密集型的功能分離出來，例如SSL處理、緩存和壓縮，并根據(jù)確切的響應(yīng)時間，

24、智能地將流量定向給可用性最好的虛擬機(jī)。最后，高度依賴W e b 應(yīng)用的企業(yè)可利用F 5 的BIGIP WebAccelerator。這個解決方案在虛擬化環(huán)境中通過智能緩存、連接通道選擇和瀏覽器行為的利用的組合，加快了用戶的接入速度加載時間，并顯著降低了Web應(yīng)用服務(wù)器的CPU負(fù)荷。優(yōu)點(diǎn) 降低與實(shí)施應(yīng)用虛擬化戰(zhàn)略相關(guān)的風(fēng)險(xiǎn) 最大程度提高虛擬機(jī)密度，從而最大程度降低硬件和電力成本 優(yōu)化用戶享受到的性能和應(yīng)用可用性 最大程度提高虛擬化戰(zhàn)略的投資回報(bào)云計(jì)算交付可靠的基于Web的服務(wù)當(dāng)數(shù)據(jù)量以前所未有的速度增加，應(yīng)用流量在無法預(yù)見的情況下激增時，許多企業(yè)都在尋找新的解決方案，使其能夠靈活地

25、接入更高的容量?！霸朴?jì)算”就是這樣一種解決方案。越來越多的IT服務(wù)提供商推出的云計(jì)算是一個虛擬化IT環(huán)境，各種規(guī)模的企業(yè)都可以訂購這個環(huán)境，并根據(jù)需要獲得額外的服務(wù)器容量。然而，與新型IT服務(wù)一樣，市場上對云計(jì)算也存在一些擔(dān)憂。IDCEnterprise Panel (2008年8月)的調(diào)查指出，在該領(lǐng)域中，企業(yè)對安全、性能和可用性最為關(guān)注。推出云計(jì)算的IT服務(wù)提供商必須消除這些擔(dān)憂，尤其是保證持續(xù)的高服務(wù)等級，以滿足與客戶之間的服務(wù)等級協(xié)議。服務(wù)提供商和最終用戶可利用F5BIG-IP廣域流量管理器提高內(nèi)部和外部共享云服務(wù)環(huán)境中的應(yīng)用性能。該解決方案確定具體的數(shù)據(jù)中心的運(yùn)行狀況，之后將流量發(fā)送

26、給該數(shù)據(jù)中心。利用F5的BIG-IP接入策略管理器可以驗(yàn)證和授權(quán)用戶接入權(quán)限，并提供SSL端接。該產(chǎn)品可與F5WAN優(yōu)化特性結(jié)合使用。WAN優(yōu)化特性通過WAN執(zhí)行額外的加密，并加速WAN性能。對于要求苛刻的極大型云環(huán)境，F(xiàn)5的VIPRION產(chǎn)品是一個強(qiáng)大而靈活的選擇。該產(chǎn)品允許在無需手動配置或中斷應(yīng)用性能的情況下添加額外的刀片，從而提供了真正的按需要進(jìn)行網(wǎng)絡(luò)流量管理的能力。VIPRION是服務(wù)提供商的理想產(chǎn)品，因?yàn)樗峁┝硕喾阶饨璧奶匦裕试S管理員輕松地?cái)U(kuò)展VIPRION的容量，用于在單個VIPRION設(shè)備上分別管理不同客戶的流量。優(yōu)點(diǎn) 保證統(tǒng)一的高性能和高可用性，以滿足客戶的服務(wù)等級協(xié)議 通

27、過可靠的應(yīng)用和網(wǎng)絡(luò)安全而保護(hù)內(nèi)部業(yè)務(wù)系統(tǒng)以及客戶系統(tǒng) 提高擴(kuò)展能力，并按需要增加容量 提高數(shù)據(jù)中心之間的WAN性能3.1.2 I-rules提供良好的應(yīng)用兼容性 F5 bigip提供了iRules的編程接口和通用檢測引擎，TMOS融合了F5的可定制的iRules編程接口和通用檢測引擎，為處理應(yīng)用交易或流程中的應(yīng)用流量提供了前所未有的控制能力。通過全面的有效負(fù)載檢測和轉(zhuǎn)換能力、事件驅(qū)動的iRules和會話感知的交換技術(shù)，BIG-IP LTM提供了業(yè)內(nèi)最智能的控制點(diǎn)，因此能夠以解決各種應(yīng)用交付問題，實(shí)現(xiàn)獨(dú)一無二的應(yīng)用的兼容性。范例一：我們可以通過i-rules來進(jìn)行選擇性的SNAT轉(zhuǎn)換并記錄，范例

28、如下：when LB_SELECTED if IP:addr IP:server_addr equals 00 snat 0log “source IP is IP:client_addr and dest IP is IP:server_addr”elseif IP:addr IP:server_addr equals 10 snat 1log “source IP is IP:client_addr and dest IP is IP:server_addr” else use snatpool

29、 Corpnet-SNAT范例二：通過修改http response的內(nèi)容來實(shí)現(xiàn)應(yīng)用的兼容性。將后臺應(yīng)用的真實(shí)的端口在回應(yīng)中進(jìn)行替換，替換成虛擬IP的標(biāo)準(zhǔn)的80端口。when HTTP_RESPONSE log local0. http responeif regsub -all 1:9081/ HTTP:payload 10/ newdata HTTP:payload replace 0 HTTP:payload length $newdata HTTP:release3.1.3應(yīng)用交付性能按需擴(kuò)展F5的viprion

30、2400和cisco的nexus 7000，nexus 5000都是具有可擴(kuò)展硬件處理能力的機(jī)架插槽式設(shè)備。F5的viprion 2400最多可以插4片處理板卡，每塊板卡可以提供40G的4層處理能力和18G的7層處理能力和1600萬的并發(fā)連接能力。同時可以支持熱插拔式的操作，可以通過添加板卡的方法來實(shí)現(xiàn)性能的無縫擴(kuò)展。完全可以滿足XXXX中國現(xiàn)階段的性能需求和未來比較長一段時間內(nèi)，對應(yīng)用交付設(shè)備的性能的需求。3.1.4高可用的架構(gòu)設(shè)計(jì)硬件設(shè)備的高可用設(shè)計(jì)Viprion 2400除了雙機(jī)熱備功能之外，還可以在同一設(shè)備上，通過多塊板卡實(shí)現(xiàn)板卡之間的容錯，以確保最大程度的系統(tǒng)可用和架構(gòu)

31、的穩(wěn)定性，如果數(shù)據(jù)中心的應(yīng)用交付設(shè)備超過2臺時，通過device group的技術(shù)還可以實(shí)現(xiàn)N+1的系統(tǒng)高可用性方案。 多鏈路和多數(shù)據(jù)中心的高可用設(shè)計(jì)在建設(shè)后期，我們需要考慮到如何保障ISP接入的高可用性及為了預(yù)防地震，停電等重大災(zāi)害導(dǎo)致的數(shù)據(jù)中心無法提供服務(wù)時的數(shù)據(jù)中心級的高可用設(shè)計(jì)。F5可用GTM設(shè)備來同時實(shí)現(xiàn)多鏈路和多數(shù)據(jù)中心的高可用。GTM設(shè)備可以是獨(dú)立的硬件設(shè)備，也可以是viprion 2400上的軟件模塊，也可以是viprion 2400虛擬出來的獨(dú)立的GTM設(shè)備。具體的GTM的邏輯部署可以參見第四部分的邏輯結(jié)構(gòu)圖。F5的GSLB的解決方案GTM具有以下的優(yōu)勢：1、

32、完善的DNSSEC功能，可以防止類似百度的域名被劫持的dns poison 的攻擊。2、 強(qiáng)大的DNS性能，GTM設(shè)備可以支持百萬級的DNS 請求數(shù)。3、 完善的DNS功能，可以完整的實(shí)現(xiàn)普通的DNS服務(wù)器的所有的功能，包括A記錄，MX記錄，NS記錄，CNAME記錄等等。4、 支持IPv4和IPv6，能提供IPv4和IPv6的服務(wù)，或者是在兩者之間提供轉(zhuǎn)換。5、 支持Geolocation功能，可以方便的對互聯(lián)網(wǎng)的用戶提供個性化的服務(wù)。3.1.5統(tǒng)一的硬件管理平臺和應(yīng)用性能監(jiān)控功能 統(tǒng)一的硬件管理平臺-EMF5提供了統(tǒng)一的F5設(shè)備的管理平臺Enterprise Manager(E

33、M)可以實(shí)現(xiàn)對F5應(yīng)用交付設(shè)備的配置統(tǒng)一管理，版本管理，流量分析和監(jiān)控等。同時F5應(yīng)用交付設(shè)備還提供了對后臺應(yīng)用的應(yīng)用可視性功能，監(jiān)控后臺服務(wù)器的性能和響應(yīng)狀況。后臺應(yīng)用的性能可視性-AVR功能通過AVR（Application Visibility and Reporting）功能，可以獲取下列信息：可以幫助實(shí)現(xiàn)：l 應(yīng)用的可視性l 協(xié)助應(yīng)用的故障排查l 應(yīng)用的微調(diào)和優(yōu)化l 客戶端的性能報(bào)告l ROI或者服務(wù)器硬件性能規(guī)劃客戶端的延時報(bào)告：每一個URL的TPS報(bào)告：應(yīng)用的新建連接報(bào)告：服務(wù)器的延時報(bào)告：3.1.6提供完善的應(yīng)用系統(tǒng)安全F5的LTM與ASM 配合可以提供完善的應(yīng)用

34、安全的防護(hù)。從SYN-FLOOD到DDOS（Slowloris ,Slow Post等）再到暴力破解攻擊、XSS攻擊、SQL注入攻擊以及OWASP十大Web應(yīng)用安全漏洞等，來提供整個應(yīng)用系統(tǒng)的安全級別。F5的WEB應(yīng)用安全管理器ASM可以作為一個軟件的功能模塊在viprion 2400上激活，也可以在VIPRION 2400上虛擬出獨(dú)立的ASM的設(shè)備，在提供完善的應(yīng)用的安全防護(hù)的同時，在網(wǎng)絡(luò)架構(gòu)中不需要增加額外的設(shè)備，保持了架構(gòu)的簡潔和靈活性。 LTM提供的系統(tǒng)安全性BIG-IP 系統(tǒng)可提供范圍廣泛的各種安全服務(wù)，在為企業(yè)安全提供支持方面發(fā)揮著至關(guān)重要的作用。BIG-IP 系統(tǒng)可

35、在關(guān)鍵網(wǎng)關(guān)位置進(jìn)行部署，它既能添加功能強(qiáng)大的網(wǎng)絡(luò)級安全策略，又能過濾最復(fù)雜的應(yīng)用攻擊，從而可保護(hù)您最寶貴的資源支持您的業(yè)務(wù)正常運(yùn)行的應(yīng)用與網(wǎng)絡(luò)。作為一款集成 SSL 加密和新興應(yīng)用安全技術(shù)領(lǐng)域的領(lǐng)先產(chǎn)品，BIG-IP 系統(tǒng)能夠使您的站點(diǎn)固若金湯，免受各類攻擊。BIG-IP 解決方案能夠?qū)φ麄€應(yīng)用的有效負(fù)載進(jìn)行深度數(shù)據(jù)包檢查，從而為企業(yè)提供了功能強(qiáng)大的應(yīng)用級安全性。憑借BIG-IP 靈活的特性集及其無可比擬的強(qiáng)大功能，管理員能夠輕松管理并控制其應(yīng)用流量。憑借 BIG-IP 系統(tǒng)全方位的認(rèn)證、授權(quán)、審計(jì)，以及有效負(fù)載解析特性，在允許進(jìn)行會話之前，企業(yè)就能在網(wǎng)絡(luò)邊緣執(zhí)行安全策略。這些特性包括：通用檢

36、查引擎和 iRule借助BIG-IP 系統(tǒng)，企業(yè)可設(shè)置并執(zhí)行通用應(yīng)用級安全策略。借助 BIG-IP 全新的增強(qiáng)性通用檢查引擎 (UIE) 和 TCL 規(guī)則(iRule) 能力，企業(yè)能夠過濾并阻止應(yīng)用級攻擊與威脅。借助全新的 UIE 組件，BIG-IP 系統(tǒng)可檢查整個應(yīng)用的有效負(fù)載，同時也可根據(jù)連續(xù)流靈活地做出轉(zhuǎn)變、堅(jiān)持執(zhí)行、或拒絕執(zhí)行之決定。通過使用諸如 TCL 等標(biāo)準(zhǔn)編程接口創(chuàng)建 iRule，以及創(chuàng)建與本企業(yè)安全方針一致的策略，企業(yè)能夠充分利用 BIG-IP 靈活而功能強(qiáng)大的特性。一旦創(chuàng)建上述策略，即可將其分配給各文件，從而借助其全新的 GUI 特性就能實(shí)現(xiàn)輕松重復(fù)部署。通過整合這兩項(xiàng)特性，

37、企業(yè)就具有了無可比擬的對其應(yīng)用流量進(jìn)行控制和保護(hù)的能力。認(rèn)證和授權(quán)通過在網(wǎng)絡(luò)邊緣提供認(rèn)證功能，以及針對網(wǎng)絡(luò)中的資源又增添一道安全防線，BIG-IP 系統(tǒng)能夠增強(qiáng)應(yīng)用的安全性。高級客戶認(rèn)證 (ACA) 模塊可視為站點(diǎn)的“哨所”，它能夠?yàn)楦鞣N類型的 IP 流量提供認(rèn)證代理。高級客戶認(rèn)證模塊可與可插拔模塊(PAM) 引擎協(xié)同工作，借助 RAM，用戶能夠從認(rèn)證機(jī)制庫中進(jìn)行選擇，ACA 可從服務(wù)器卸載關(guān)鍵認(rèn)證流程，并降低一些負(fù)載和管理任務(wù)（通常它們消耗大量的服務(wù)器資源）。ACA 模塊能夠與諸如 LDAP、RADIUS 以及 TACAS+ 等各種授權(quán)機(jī)制共同工作。在客戶端對證書進(jìn)行處理時，在接收證書并轉(zhuǎn)發(fā)

38、數(shù)據(jù)包至目標(biāo)服務(wù)器之前，BIG-IP 系統(tǒng)可通過證書撤銷列表 (CRL) 或在線證書狀態(tài)協(xié)議 (OCSP)，了解該證書的撤銷狀態(tài)。在網(wǎng)絡(luò)層強(qiáng)化進(jìn)行認(rèn)證能夠降低應(yīng)用和服務(wù)器的負(fù)載，使企業(yè)無須花費(fèi)大量的人力物力對成百上千個應(yīng)用認(rèn)證系統(tǒng)單獨(dú)進(jìn)行維護(hù)。應(yīng)用和內(nèi)容過濾借助 BIG-IP 系統(tǒng)功能強(qiáng)大的通用檢查引擎、以及其基于策略的 iRule 定制引擎，企業(yè)就能有效部署其安全策略。BIG-IP解決方案具備應(yīng)用和內(nèi)容過濾功能，通過對流經(jīng)服務(wù)器的流量進(jìn)行定義，企業(yè)能部署一套積極的安全模型系統(tǒng)。由于具備獨(dú)特的對應(yīng)用中的有效負(fù)載進(jìn)行數(shù)據(jù)包檢查或會話流檢查的能力，BIG-IP 系統(tǒng)可阻止對記錄/目錄、限制性命令的

39、非法訪問，并能阻止訪問應(yīng)用服務(wù)器上的敏感文檔，同時，還能保護(hù)企業(yè)的關(guān)鍵資產(chǎn)。BIG-IP 系統(tǒng)還能過濾受到限制或黑名單中的網(wǎng)站中的內(nèi)容，這有助于企業(yè)執(zhí)行其安全策略。Cookie 加密和認(rèn)證借助這一功能強(qiáng)大的特性，企業(yè)能夠?qū)?yīng)用流量中使用的 cookie 進(jìn)行加密和認(rèn)證，這就能阻止黑客利用 cookie 來發(fā)起應(yīng)用攻擊。由于支持 cookie 加密和認(rèn)證特性，因此，黑客將無法讀取 cookie ，從而無法訪問諸如 JSessionID 和用戶 ID 等信息；無法利用這些信息，黑客也將不能對 cookie 進(jìn)行修改并創(chuàng)建非法會話。通過阻止會話劫持、Cookie 篡改等攻擊（通過改寫 cookie

40、內(nèi)容并利用關(guān)鍵應(yīng)用漏洞來實(shí)現(xiàn)），BIG-IP 系統(tǒng)能夠?yàn)槠髽I(yè)運(yùn)行的狀態(tài)應(yīng)用提供先進(jìn)的保護(hù)功能。SSL 加速與加密繁重的 SSL 流量會帶來處理瓶頸，累垮最為強(qiáng)大的設(shè)備，嚴(yán)重影響服務(wù)或應(yīng)用的總體安全性能。同時，不能為 SSL 協(xié)議使用的專用密鑰提供保護(hù)會使用戶和服務(wù)存在安全風(fēng)險(xiǎn)。BIG-IP 系統(tǒng)的集成 SSL 加速能力能夠強(qiáng)化 SSL 計(jì)算資源、使關(guān)鍵任務(wù)的管理更加集中。BIG-IP 設(shè)備可提供市場上最快、最安全的加密算法。通過為企業(yè)配備 AES （高級加密標(biāo)準(zhǔn)，一種對稱加密技術(shù)，可選擇 128、192 或 256 位塊加密），BIG-IP系統(tǒng)可提供更高級的保護(hù)，它是企業(yè)真正的安全技術(shù)標(biāo)準(zhǔn)。結(jié)

41、合使用 AES 和 SSL 處理，無須任何額外成本，BIG-IP 系統(tǒng)就能提供市場上最安全的 SSL 加密算法。提高網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全性通過提供功能強(qiáng)大的網(wǎng)絡(luò)層安全特性，BIG-IP 系統(tǒng)能夠保護(hù)企業(yè)資源免受大量攻擊，這將進(jìn)一步提升企業(yè)的安全性。借助 BIG-IP 設(shè)備、其獨(dú)特的通用檢查引擎，以及可編程 iRule 語言，用戶能夠?qū)W(wǎng)絡(luò)有效負(fù)載的狀況了然于胸，企業(yè)因此能夠智能地管理并部署其安全策略。上述組合能夠阻止一些通用網(wǎng)絡(luò)攻擊、Dos（拒絕服務(wù)）攻擊、DDos（分布式拒絕服務(wù)）攻擊，以及協(xié)議篡改攻擊，如果再結(jié)合使用 BIG-IP 系統(tǒng)的數(shù)據(jù)包過濾能力，企業(yè)的安全性將獲得前所未有的提升，從

42、而生產(chǎn)效率和收入將提高、擁有成本將下降。BIG-IP 系統(tǒng)能夠提高網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全性，它具備如下特性：缺省拒絕 (Deny-by-default)BIG-IP 系統(tǒng)是一種缺省設(shè)置為拒絕的設(shè)備。缺省條件下，管理員未明確允許可通過 BIG-IP 系統(tǒng)的流量類型，均會拒絕通過。這樣，只有您指定的流量才能通過 BIG-IP 系統(tǒng)，從而可提供極高的安全保證。自動防護(hù)BIG-IP 軟件內(nèi)置眾多流程，能夠保護(hù)您的網(wǎng)絡(luò)免受通用攻擊類型的攻擊。它將忽略以子網(wǎng)為目的的廣播地址，并且不會對廣播 ICMP echo 進(jìn)行應(yīng)答（這些廣播用于發(fā)起 Smurf 和 Fraggle 攻擊）。由于 BIG-IP 設(shè)備連接表

43、與現(xiàn)有連接完全一致，因此，諸如局域網(wǎng)攻擊等欺騙連接將無法傳遞至服務(wù)器。BIG-IP 系統(tǒng)可不斷進(jìn)行檢查，實(shí)現(xiàn)適當(dāng)?shù)膸ㄎ?，從而可防止諸如Teardrop、Boink、Bonk、Nestea 等通用碎片攻擊。諸如 WinNuke、Sub7 以及 Back Orifice 遠(yuǎn)程控制工具等威脅，都將無法通過缺省的封鎖端口。由于 BiG-IP 能夠重組重疊的 TCP 報(bào)文段和 IP 碎片，因此，企業(yè)能夠避免近來日益猖獗的一些新型未知攻擊。SYN CHECK人們熟知的一種拒絕服務(wù)攻擊類型為 SYN flood，發(fā)起該攻擊旨在耗盡系統(tǒng)資源、使其無法建立合法連接。通過發(fā)送cookie 代表服務(wù)器對客戶發(fā)出請

44、求，以及不再紀(jì)錄尚未完成初始 TCP 握手連接的狀態(tài)信息，BIG-IP 系統(tǒng)的 SYN CHECK 模塊能夠降低 SYN flood 帶來的危害。這一獨(dú)特特性確保了服務(wù)器只處理合法的連接，BIG-IP SYN 隊(duì)列資源將不會被耗盡，因此，正常的 TCP 通訊就能繼續(xù)進(jìn)行。SYN CHECK 模塊是 BIG-IP 系統(tǒng) Dynamic Reaping 模塊的完美補(bǔ)充；同時，Dynamic Reaping 能夠處理已建立連接的 flooding，SYN CHECK 能夠查找處于早期階段的 flooding 連接，從而可防止 SYN 隊(duì)列被耗盡。由于 SYNCHECK 能夠與高性能 syn-cach

45、e 協(xié)同使用，因此企業(yè)能夠在不損耗 TCP 報(bào)文的情況下，使用 syncookies。拒絕服務(wù)攻擊 (DoS) 和 Dynamic ReapingBIG-IP 軟件含兩項(xiàng)全局設(shè)置，具有自適應(yīng)進(jìn)行 reap 連接的能力。為了防止拒絕服務(wù) (DOS) 攻擊，企業(yè)可分別標(biāo)出一個低水印閾值和高水印閾值進(jìn)行 reaping 連接。低水印閾值能夠測定在哪一點(diǎn)之上，reaping 連接（與已定義的時隙接近）中的自適應(yīng) reaping 會變得更加活躍。高水印閾值能夠測定何時不再允許通過 BIG-IP 系統(tǒng)建立非連接 (non-established connection)。變量的值代表內(nèi)存利用率百分比。一旦內(nèi)

46、存利用率達(dá)到此值，連接將不被允許，直到可用內(nèi)存已降低至低水印閾值范圍。虛擬服務(wù)器上的連接限制借助 BIG-IP 系統(tǒng)，管理員能夠限制并發(fā)連接至一臺虛擬服務(wù)器的最大數(shù)量。這就設(shè)置了另一道針對拒絕服務(wù)攻擊等類型攻擊的防護(hù)屏障。協(xié)議無害處理借助本特性，企業(yè)能夠保護(hù)自身免受黑客采用 IP 協(xié)議篡改發(fā)起的攻擊，這種攻擊能夠耗盡服務(wù)器的資源并使站點(diǎn)停機(jī)。通過在第一道屏障內(nèi)保護(hù)系統(tǒng)資源并終止所有客戶端與服務(wù)器間的 TCP 連接，BIG-IP 系統(tǒng)能夠阻止諸如無序包泛濫、MSS tinypacket floods、TCP 窗口篡改等攻擊。BIG-IP 設(shè)備能夠?qū)蛻舳?服務(wù)器間的通訊進(jìn)行清除處理，查找具有攻擊

47、特征的流量和異常情況，并清除服務(wù)器和應(yīng)用所用流量。數(shù)據(jù)包過濾BIG-IP 系統(tǒng)的增強(qiáng)數(shù)據(jù)包過濾引擎提供深層數(shù)據(jù)包檢查功能，管理員可根據(jù)高級數(shù)據(jù)包過濾規(guī)則接收、丟棄或拒收（使用諸如“administratively prohibited”等代碼發(fā)回）流量。數(shù)據(jù)包過濾規(guī)則具有對第四層進(jìn)行過濾的能力，允許可信流量通過，并能根據(jù)安全策略處理其它特定流量類型。企業(yè)現(xiàn)在能夠在 IPV4 或 IPV6 條件下使用數(shù)據(jù)包過濾功能來提供基本的防火墻保護(hù)能力，并能添加另一道安全屏障。這種過濾基于數(shù)據(jù)包的源或目標(biāo) IP 地址，源或目標(biāo)端口號（支持該端口的協(xié)議），以及諸如UDP、TCP 或 ICMP 等數(shù)據(jù)包類型。數(shù)

48、據(jù)包過濾能夠保護(hù)系統(tǒng)免遭 IP 欺騙和 bogus TCP flag（偽裝 TCP 標(biāo)記）的攻擊。審計(jì)和日志記錄由于出現(xiàn)異?；騾?shù)無效（如 Land 攻擊，Smurf 攻擊、校驗(yàn)和出差、IP 協(xié)議號或版本未經(jīng)處理，等等），一些數(shù)據(jù)包可能會被丟棄，BIG-IP 系統(tǒng)功能強(qiáng)大的日志記錄功能能夠?qū)⑴c此有關(guān)的事件記錄下來。通過對嘗試發(fā)起攻擊的源 IP 地址，所用端口、以及嘗試攻擊的頻率進(jìn)行監(jiān)控，BIG-IP 設(shè)備的安全報(bào)告功能能夠標(biāo)識出任何收到的對服務(wù)和端口的訪問企圖。在找出安全網(wǎng)絡(luò)中的漏洞方面，這一信息能夠起到非常重要的作用，能夠幫助確定攻擊的來源。除了添加了一些新的用于通用內(nèi)容交換的規(guī)則和變量以外

49、，規(guī)則的語法也得到了進(jìn)一步的擴(kuò)充，其中包括兩個新的規(guī)則聲明：log 和 accumulate。借助上述功能，企業(yè)就能利用 iRule 來調(diào)用日志記錄或系統(tǒng)日志信息，并向管理員實(shí)時發(fā)出威脅告警。帶寬調(diào)整借助這一全新功能，企業(yè)能夠有效而靈活地保護(hù)系統(tǒng)免受帶寬濫用攻擊。結(jié)合使用帶寬類型與帶寬過濾模塊，企業(yè)現(xiàn)在就能實(shí)現(xiàn)對自身的保護(hù)，避免處于流量峰值狀態(tài)，并免受定期濫用用戶型攻擊或可拖垮網(wǎng)絡(luò)資源的網(wǎng)絡(luò)攻擊。企業(yè)能夠設(shè)定流量和應(yīng)用的限定條件，控制這些資源以哪一個速率達(dá)到峰值狀態(tài)，這樣就能識別并阻止試圖累垮網(wǎng)絡(luò)資源的通用安全攻擊。避免信息泄露采用 BIG-IP 系統(tǒng)，那些可利用安全漏洞獲取的企業(yè)寶貴信息將得

50、到保護(hù)。黑客以掃描或分析 Web 站點(diǎn)以獲得 IT 基礎(chǔ)設(shè)施線索而臭名昭著。此類用戶通過分析流量特征、檢查錯誤代碼來查找漏洞，通過充分利用這些漏洞，他們就能發(fā)起攻擊。違反安全規(guī)則的內(nèi)部用戶訪問的行為也日益成為一個常見問題，因?yàn)樵摼W(wǎng)絡(luò)內(nèi)部的惡意用戶嘗試非法獲取某些敏感數(shù)據(jù)。BIG-IP系統(tǒng)為企業(yè)提供了一款不可或缺的工具，借助這一工具，就能阻止對敏感和關(guān)鍵信息的訪問，還能在需要時有所選擇地實(shí)施加密。BIG-IP 設(shè)備能夠使信息免于泄露，它具有如下特性：資源隱藏借助 BIG-IP 系統(tǒng)，企業(yè)能夠保護(hù)其自身系統(tǒng)免受黑客進(jìn)行站點(diǎn)掃描或其它類似應(yīng)用，或進(jìn)行有關(guān)查找漏洞線索的行為。通過對資源進(jìn)行隱藏，BIG

51、-IP 設(shè)備能夠刪除敏感信息（這些信息通常與服務(wù)器有關(guān)，包括如下內(nèi)容：網(wǎng)頁中的錯誤代碼、源代碼注釋，包含相關(guān)服務(wù)器和應(yīng)用重要信息的服務(wù)器標(biāo)頭等）。結(jié)合使用功能強(qiáng)大的通用檢查引擎以及靈活的 iRules ，BIG-IP 系統(tǒng)就能阻止/過濾任何與站點(diǎn)有關(guān)的敏感信息，并能保護(hù)企業(yè)免受惡意用戶的攻擊。安全網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 和端口映射BIG-IP 系統(tǒng)能夠?qū)υO(shè)備所用的地址和端口進(jìn)行轉(zhuǎn)換，并解析為可廣而告之給外部用戶的地址和端口。通過轉(zhuǎn)換這些地址，管理員就永遠(yuǎn)不會擔(dān)心其 BIG-IP 設(shè)備資源的泄露，這就降低了黑客獲得訪問服務(wù)器權(quán)限的機(jī)會。BIG-IP 系統(tǒng)包含一個稱為智能安全網(wǎng)絡(luò)地址轉(zhuǎn)換（智能

52、SNAT）的特性，該特性與 NAT 類似，能夠使服務(wù)器同時具有一個不公開的 IP 址和一個公開的 IP地址，這就能安全地與外部互聯(lián)網(wǎng)進(jìn)行連接。然而，智能 SNAT 與 NAT 不同，它允許管理員分配或映射一個單獨(dú)的 IP 地址至一組節(jié)點(diǎn)，或整個子網(wǎng)，或 VLAN。智能 SNAT 還能根據(jù) IP 數(shù)據(jù)包數(shù)據(jù)中的任何一個部分，映射至一個 IP 地址。通過 BIG-IP的通用檢查引擎，企業(yè)現(xiàn)在就能根據(jù) IP 數(shù)據(jù)包數(shù)據(jù)中的任何一個部分，智能映射 IP 地址。缺省條件下，SNAT 地址只能用來啟動出站連接。在缺省條件下，定向至 SNAT 地址的入站初始連接，將被 BIG-IP 系統(tǒng)阻止，這就提供了另一

53、道安全屏障?？蛇x內(nèi)容加密借助 BIG-IP 解決方案，企業(yè)能夠靈活地根據(jù)其應(yīng)用安全策略和標(biāo)準(zhǔn)需求，對所選的數(shù)據(jù)進(jìn)行加密，企業(yè)現(xiàn)在能夠?qū)ζ涿舾袘?yīng)用數(shù)據(jù)進(jìn)行保護(hù)，能夠構(gòu)建一套通用的安全策略，能夠在一處中心位置在不同需求間謀求一套折衷策略。企業(yè)現(xiàn)在能夠在清晰可見的通道下傳遞非關(guān)鍵流量，并有所選擇地對敏感流量（如賬號和密碼）加密，這就使其能夠符合諸如薩班斯奧克斯利法案、HIPAA 以及 FIPS 等安全監(jiān)管標(biāo)準(zhǔn)。 ASM提供的專業(yè)的WEB應(yīng)用防護(hù)功能BIG-IP ASM是業(yè)內(nèi)最全面的Web應(yīng)用安全與應(yīng)用完整性解決方案。對于對業(yè)務(wù)至關(guān)重要的應(yīng)用，屢獲殊榮的BIG-IP ASM能夠使其保持機(jī)

54、密性、可用性和高性能，從而保護(hù)了您企業(yè)的安全，并維護(hù)了企業(yè)的聲譽(yù)。實(shí)時流量策略構(gòu)建器BIG-IP ASM的核心是動態(tài)策略構(gòu)建器引擎，它負(fù)責(zé)自動的自我學(xué)習(xí)并創(chuàng)建安全策略。它圍繞新發(fā)現(xiàn)的漏洞自動構(gòu)建和管理安全策略，部署快速、敏捷的業(yè)務(wù)流程，而無需手工干預(yù)。當(dāng)流量通過BIG-IP ASM傳輸時，策略構(gòu)建器解析請求和響應(yīng)，提供獨(dú)特的能力檢驗(yàn)完整的客戶端和應(yīng)用流量的雙向流程包括數(shù)據(jù)和協(xié)議。通過利用先進(jìn)的統(tǒng)計(jì)和啟發(fā)式引擎，策略構(gòu)建器可以過濾掉攻擊和異常流量。策略構(gòu)建器也可以在被告知站點(diǎn)更新的模式下運(yùn)行。通過解析響應(yīng)和請求，它可以探測站點(diǎn)的變化，并且相應(yīng)地自動更新策略，而無需用戶干預(yù)?，F(xiàn)成的保護(hù)能力BIG-

55、IP ASM配備了一套預(yù)置應(yīng)用安全策略，可為Microsoft Outlook Web Access、LotusDomino郵件服務(wù)器、Oracle E-Business Financials和Microsoft Office SharePoint等常用的應(yīng)用提供現(xiàn)成的保護(hù)能力。此外，BIG-IP ASM包含快速部署策略，可立即為任何客戶應(yīng)用提供安全保障。這套經(jīng)過驗(yàn)證的策略無需要花費(fèi)任何時間進(jìn)行配置，并且可以根據(jù)啟發(fā)式學(xué)習(xí)和特定的客戶應(yīng)用安全需求，用作創(chuàng)建更先進(jìn)的策略的起點(diǎn)。高級執(zhí)行能力BIG-IP ASM可保護(hù)任何參數(shù)免遭客戶端的篡改，并且通過驗(yàn)證登錄參數(shù)和應(yīng)用流來防御強(qiáng)制瀏覽和邏輯缺陷攻擊

56、。BIG-IP ASM還可以防護(hù)OWASP十大Web應(yīng)用安全漏洞1以及零日Web應(yīng)用攻擊。滿足安全標(biāo)準(zhǔn)的要求先進(jìn)的內(nèi)置安全防護(hù)和遠(yuǎn)程審計(jì)功能可幫助您的企業(yè)以經(jīng)濟(jì)高效的方式滿足行業(yè)安全標(biāo)準(zhǔn)的要求，包括PCI DSS、HIPAA、Basel II和SOX，您既不需要購置多個設(shè)備，也不需要對應(yīng)用進(jìn)行更改或重寫。BIG-IP ASM提供了針對新型威脅的高級報(bào)告能力，例如第7層拒絕服務(wù)攻擊 (DoS)和暴力攻擊。此外，BIG-IP ASM與WhiteHat、Splunk和Secerno集成，可支持漏洞評估、審計(jì)和實(shí)時數(shù)據(jù)庫報(bào)告功能，從而實(shí)現(xiàn)安全違規(guī)檢查、攻擊防護(hù)和法規(guī)遵從。經(jīng)濟(jì)高效的應(yīng)用安全與可用性許多網(wǎng)站和應(yīng)用都遭受過安全威脅，這些安全威脅會導(dǎo)致業(yè)務(wù)中斷，并損害企業(yè)的品牌。BIG-IP ASM可以報(bào)告以前未知的威脅，例如暴力攻擊，并且可減輕Web應(yīng)用威脅，從而保護(hù)企業(yè)免遭數(shù)據(jù)侵害。BIG-IP ASM有助于預(yù)防棘手而且代價高昂的應(yīng)用侵