F5产品介绍.ppt

F5产品技术交流,北京安泰网安网络科技有限公司陆燕强,安泰网安公司简介F5公司简介相关产品介绍相关技术介绍,公司背景,移动用户,Internet,企业服务器群,工地施工人员,领导和出差人员在家/出差途中安全的访问公司的内网，财务系统施工人员设计人员访问公司设计管理系统和项目关系系统（PDM/P3P/Projectwise)访问公司设计知识库，并且实现了审计(autocad,Microstation)工程监理人员财务系统安全监察系统所有人的访问都通过证书验证运行半年来，效果良好，非常恶劣的地区也可以安全访问公司资源尼日利亚苏丹,典型案例-国电华北电力设计院,微软中国技术中心,使用FirePass作为合作伙伴接入微软实验室的解决方案认证和授权由ActiveDirectory完成30分钟快速部署,天津天狮集团,同时使用BIGIP和FirePass使用HTTPForms认证和用户的AAA服务器结合,AN-TAI公司简介F5公司简介相关产品介绍相关技术介绍,F5公司是做什么的？,AtHomeIntheOfficeOntheRoad,SAPExchangeOracle,用户,数据中心,F5简介,总部位于美国的西雅图F5保证网上应用永远的安全，快速，高可用1996成立/1999上市NASDAQFFIVFY05业绩:$281M64%year-over-yeargrowth您只要访问互联网一定会经过F5现在的移动数据业务均要经过F5几乎所有的On-Line-Biz,银行,税务,证券,电子商务,电子政务均要经过F5,Revenue,市场领导地位,Source:Gartner,December2005,MagicQuadrantforApplicationDeliveryProducts,Dec.2005,“F5continuestobuildonthemomentumgeneratedbythereleaseofv9.0.Itcommandsover50%marketshareintheadvancedplatformADCsegmentandcontinuestopullawayfromthecompetition.”,“F5isoneofthethoughtleadersinthemarketandoffersgrowingfeaturerichness.Itshouldbehighoneveryenterprisesshortlistforapplicationdelivery.”,Application,问题:网络的适应能力不足（面对众多应用）,应用关注业务逻辑和功能,传统网络关注连通,网管,应用开发人员,新的安全漏洞高代价的扩展性能低下,?,Application,如何解决问题?,雇佣一个军团的开发人员？,增加基础架构投资?,更大带宽,多个孤岛的解决方案,网管,应用开发人员,把答案留到最后！,F5的价值,改善End-to-End应用交付,增强的高可用，高可扩展，高性能，高安全推动生产力,提高实际应用性能，改善用户体验,保护并最大化应用投资，减少运营和资本开销,保护应用免受安全威胁和网络问题的困扰,降低安装和维护的费用和风险,全球重要客户超过9000家,Financial,Media,Other,IT,Transport,Telco/ISP,800+(3,000+Units)inChina,Financial,GovtandEducations,Enterprsie,Telcoms/Services/IT,Others,AN-TAI公司简介F5公司简介相关产品介绍相关技术介绍,领先的应用流量管理产品,高度整合的体系结构,BIG-IP1500,1U高新型的USB端口，液晶显示和键区4个10/100/1000铜线以太网端口2个可选的千兆位光纤端口硬盘1个带有插卡的PCI插槽集成地管理计算机（无人值守管理）,BIG-IP应用交换机系列,BIG-IP3400,1U高新型的USB端口，液晶显示和键区PacketVelocityASIC28个10/100/1000铜线以太网端口2个可选的千兆位光纤端口闪存及硬盘，用于改善记录能力1个带有插卡的PCI插槽集成地管理计算机（无人值守管理）,BIG-IP应用交换机系列,BIG-IP6400/6800,2U高新型的USB端口，液晶显示和键区双处理器PacketVelocityASIC216个10/100/1000铜线以太网端口2个标准端口，2个可选的（共计4个）千兆位光纤端口可存取闪存和硬盘，用于改善记录能力3个带有插卡的PCI插槽热插拔冗余电源供应集成的管理计算机（无人值守管理）,BIG-IP应用交换机系列,BIG-IP新的平台性能表,负载平衡IPv6网关压缩连接优化内容缓存第7层带宽管理高性能SSL（10,000TPS）Cookie加密高级客户认证拒绝服务和网络防火墙应用编程接口（API）及软件开发工具包（SDK）,BIG-IPV9.X拥有以下特性,AN-TAI公司简介F5公司简介相关产品介绍相关技术介绍,服务器负载均衡关键技术,负载均衡算法服务器健康检查会话保持技术,负载均衡工作原理,Clients,BIG-IPController,Servers,Internet,:80,:8080,:8100,:8000,0：80,BIG-IP负载均衡算法,RoundRobin(轮巡)Ratio(比率)Priority(优先权)LeastConnections(最小连接数)Fastest(最快响应速度)Observed(观察模式)Predictive(预测模式)智能算法IcontrolUIE+Irules,静态,动态,RoundRobin,Clients,Router,BIG-IPController,Servers,Clientrequestsaredistributedevenly,1,2,3,4,5,6,7,8,Internet,Ratio,Clients,Router,BIG-IPController,Servers,AdministratorsetsratiofordistributingClientrequests3:1:1:1,1,2,3,4,7,8,9,10,Internet,5,6,11,12,Fastest,Clients,Router,BIG-IPController,Servers,NextrequestsgotoNodewithshortestresponsetime,1,2,Internet,Fastestsometimelater,Clients,Router,BIG-IPController,Servers,NextrequestsgotoNodewithshortestresponsetime,101,102,Internet,Least,Clients,Router,BIG-IPController,Servers,1,2,Internet,NextrequestsgoestoNodewithfewestnumberofconnections,Leastsometimelater,Clients,Router,BIG-IPController,Servers,Internet,NextrequestsgoestoNodewithfewestnumberofconnections,61,62,Observed,Clients,Router,BIG-IPController,Servers,NextrequestsgoestoNodewithcombinationoffewestconnectionsandbestresponse,1,2,Internet,Predictive,Clients,Router,BIG-IPController,Servers,1,2,Internet,NextrequestsgoestoNodewithcombinationoffewestconnectionsandbestresponseovertime,MinimumActiveMembers,Clients,Router,BIG-IPController,Servers,1,3,5,2,4,6,Internet,Priority1,Priority2,IfMinimumActiveMembersis2,and3ofthehighestprioritynodesareavailable,thenlowerprioritynodeswillnotbeused.,MinimumActiveMembers,Clients,Router,BIG-IPController,Servers,1,5,Internet,Priority1,Priority2,3,2,4,6,7,8,IfnumberofnodesfallsbelowtheMinimumActiveMembers(2),thenthenexthighestprioritynodesareusedalso.,FallbackHost,Clients,Router,BIG-IPController,Servers,Internet,Ifallnodesfail,thenclientissentanhttpredirecttothe“fallback”server.,ApologizeServer,2019/12/14,39,可编辑,服务器负载均衡关键技术,负载均衡算法服务器健康检查会话保持技术,服务器健康检查,Internet,:80,BIG-IP服务器健康检查,ICMPTCPServiceECV(ExtendContentVerify)EAV(ExtendApplicationVerify)External,健康检查模版,ExternalServiceCheck,根据应用定制客户服务健康状态判断（举例）这是xx使用的EAV脚本，已经远远超出EAV的范畴了。实现如下功能：1.检测服务器的状态（通过nc调用tcp检测）2.如果服务器故障，则telnet到服务器将相关进程重启！,Iruleshellscript,当一个用户的连接超过规定值的时候将他列入黑名单，以后无法建立新连接，并且可以统计，修改；当然也可以规定超过n后报警，超过m后切断#!/bin/shbconn|sed-es/:/g|awkprint$4,$1|sort|uniq-c|sort-rn|whilereadLINEdoCONN=echo$LINE|awkprint$1;BANIP=echo$LINE|awkprint$3;if$CONN-gt100;thenif-f/config/test;thenechohost$BANIP,/config/test.newcat/config/test/config/test.newrm-rf/config/testmv/config/test.new/config/testelseechohost$BANIP/config/testfifidone,构筑irules如下：if(client_addr=oneofhacker_class)discardelseusepoolSERVER_POOL,服务器负载均衡关键技术,负载均衡算法服务器健康检查会话保持技术,PersistenceConcepts,Subsequentconnectionsfromausersenttosameserverloadbalancingmodessuperceded,1,2,3,1,2,3,UsernamePassword,UsernamePassword,SourceIPDistIPSSLIDCookiesInsertRewritePassiveHashUIE,Findstr(tcp_content(200),“prv_id:”,7,12),应用加速关键技术,HTTP流量压缩连接优化技术内存CacheSSL加速IPv6,HTTP压缩处理,Uncompressed,Compressed,BIG-IP,HTTP压缩是一个webbrowsers和webservers常用的技术.服务器和客户端都不需要改变,HTTP压缩技术,为什么要用压缩处理？访问用户可用更快得到回应节约带宽高TCOLessDatatoEncrypt,HTTP压缩处理,可以压缩哪些呢?,压缩效果比较好的：texthtmlotherwhitespacerichdata压缩“whitespace”的richdata经常可以得到80%+的压缩比拨号用户TCP延迟较大的用户,HTTP压缩处理选择性压缩,哪些不可以压缩？,压缩文件(rar、zip,etc)imageformats(jpeg,Gif,png,etc.)PDFfileswillnotdisplayatalliftheyarecompressed.Otherfiletypesthatarealreadycompressed宽带用户,应用加速关键技术,HTTP流量压缩连接优化技术内存CacheSSL加速IPv6,连接优化,可以提高服务器30%的服务能力-聚合大量的用户请求为很少的服务器连接将HTTP1.0的访问转换为HTTP1.1对服务器进行访问智能的负载均衡连接聚合到不同内容的服务器（jpg,streaming,html）,应用加速关键技术,HTTP流量压缩连接优化技术内存CacheSSL加速IPv6,RAMCache,FirstRequest,Compression,Cache,NextRequests,Cache,减少用户访问延迟,根据不同的VIP配置内存空间利用空闲的内存同时处理压缩和非压缩内容,服务内容卸载到bigip在线连接卸载到bigip,显而易见的效果,SiebeleBusinessSuiteCallCenter7.7,WebLogicPortal8.1,IIS6.0StandardWebContent,98%,72%,78%,应用加速关键技术,HTTP流量压缩连接优化技术内存CacheSSL加速IPv6,16，000TPS/2Gbs三级证书双向认证动态CRL下载Unipay/CFCA使用推荐100TPS免费（目前）,OLDbigip2400,NewPlatform,SSL加速,EncryptedHTTPS,集中化的SSL处理方式不需每个服务器安装公司SSL卡使服务器提供最好的服务响应,而不必处理SSL的令人头疼问题集中化的认证管理不需每个服务器进行认证服务器几十倍的性能提高,HTTP,应用加速关键技术,HTTP流量压缩连接优化技术内存CacheSSL加速IPv6,用户问题:,无法转换无法为IPV6用户提供访问IPV4的服务面对网络更新问题IPV4NAT限制,妨碍了VoIP部署IPV6不支持URL中的IP地址.DNS不解析IPV6的地址,IPV6Users,IPV4Applications,Enterprise,IPv6Gateway,优点,F5解决方案:,TM/OS和IPV6网关进行IPV6和IPV4间的地址转换,提供IPV6服务,不需进行多种升级,即可支持IPV6服务快速部署VoIP服务服务提供商SP可以提供不同TCO的差别IPV6服务服务提供商SP能利用不同的服务方式增加销售额度,IPV6Users,IPV4Applications,ServiceProvider,IPv6Gateway,iControl架构,通用的软件架构支持F5产品的互相通讯:收集信息发送指令免费的软件开发工具包(SDK)让软件开发者开发应用使开发与F5产品通讯的模块全自动化的应用控制网络功能,“个性化管理软件技术F5网络控制架构通过将网络应用软件与F5网络硬件设备无缝集成使F5公司遥遥领先于竞争对手.”PCMagazineJanuary2,2002,iControlAPI/SDK-Oracle,APIControlMS.Net,iControlAPI/SDK-BeaWebLogic,iControlAPI/SDK-TOM,提高网络与应用安全性,防DOS攻击BIG-IP可全面防御拒绝服务（DoS）攻击、同步攻击（SYNFlood）、和其他基于网络的攻击，可安全地过滤海量攻击，同时为合法连接用户提供不间断的服务。,高可用性,双机采用专用的心跳线，支持毫秒级切换，BIG-IP应用交换机采用双机运行方式时，双机之间除了与其它厂商的产品一样支持网络心跳线之外，还支持专用非网络心跳线。专用的心跳线使双机的切换变得更加快速可靠。双机的的切换可以在200毫秒以内完成。支持双机连接状态镜像(ConnectionMirroring)，BIG-IP应用交换机双机之间支持会话表有选择性状态同步，可以选择设定对哪些应用采用会话状态同步功能。这样即可减轻双机状态同步对系统带来的额外压力，又可以对要求不间断运行的应用，做到双机切换对应用没有影响。专用的双机“HA”进程表实现对系统状态的全面监控，处于双机运行的设备，当处于Active的设备中某一进程发生故障，例如出现“进程挂死”现象时能否及时触发双机切换，将直接影响到应用的不间断运行。F5BIG-IP应用交换机提供了专门的双机“HA”进程表，可以设定对系统关键进程的实时监控，处于监控表中的任一进程发生意外都可以及时触发双机的切换。,F5