F5金融行业解决方案.doc

F5 金融行业解决方案目录1.1 银行11.1.1 商业银行网上银行防火墙负载均衡及多链路接入11.1.2 国外商业银行广域网数据传输加速51.1.3 商业银行省级分行流量管理解决方案71.1.4 地区级商业银行总部网银流量管理解决方案101.1.5 银行主机前置网关负载均衡141.1.6 分行中间业务161.1.7 银行总部内网OA系统防攻击解决方案181.2 证券211.2.1 大型证券公司网上证券交易系统211.3 保险231.3.1 保险公司负载均衡应用解决方案231.4 基金261.4.1 大型基金公司多链路接入及服务器负载均衡261.4.2 中型基金公司多链路及服务器负载均衡解决方案301.5 交易所331.5.1 外汇交易中心 多链路负载均衡解决方案331.1 银行1.1.1 商业银行网上银行防火墙负载均衡及多链路接入项目概况： 该用户为国内大型商业银行 用户有一个主数据中心，同时接入电信和网通线路，另外建立了一个分支数据中心，也同时接入电信和网通线路 客户拥有国内最完善的网上银行系统，每天流量以及交易数量日益增长 由于数据传输量大和访问数量的暴增，目前原有的防火墙安全系统已经无法承担,需要使用多台防火墙共同工作，来分担压力 尽管带宽较大，但数据传输的速度仍然较慢，希望通过改造提高数据处理和传输效率网络结构：多数据中心接入：客户需求： 要满足高可用性，包括防火墙的状态信息处理，线路故障的切换处理，因为涉及网上交易，需要在绝大部分情况下保证应用的持续性 要有高扩展性，能灵活增加新的处理设备 要满足无缝整合，能在任何时候部署新的设备，不影响应用的持续性 设计必须考虑到设备本身的冗余性和高可用性。 建议的方案必须最小限度的影响现有系统 方案在将来有很好的扩展性，还可以灵活增加新的接入链路而不涉及内部改动 要求方案设计简单，容易部署。F5的解决方案： 采用6台BIGIP 6400来实现链路接入负载、服务器负载均衡和防火墙负载均衡 由于要求可用性和无缝整合及切换，因此在链路接入层，采用两台BIGIP 6400来同时实现链路负载以及服务器负载均衡 另外在第二层采用两台BIGIP 6400来对4台Checkpoint防火墙进行负载均衡，并采用会话保持技术保证应用的持续性 在服务器群前面，再采用两台BIGIP 6400，通过F5的Autolasthop功能，来保证同一访问的数据来回都固定在一台防火墙进行处理，保证应用的持续性 Reputation：f5是业界经过验证的成熟供应商，银行也认可这一点为什么选择F5： 高性能、高流量的数据处理能力，BIGIP 6400能支持2G的七层应用流量，并且支持针对高强度的DOS攻击防御，有效保证在各种高强度访问压力下的处理效率。 超高新建连接数与并发连接数支持： BIGIP 6400支持每秒22万的四层新建连接能力，以及每秒7.5万的七层新建连接能力，同时支持800万的并发连接数，具有很高的连接处理能力 灵活的应用处理能力：F5具有UIE+iRuls，UIE可以高效率地将TCP/UDP的数据包打开，并搜索其中的特征数据。然后iRules可以根据UIE搜索到的数据进行应用规则处理。这样，F5可以真正搭建起网络与应用之间的桥梁，实现很多应用开发以及网络配置无法实现的应用需求。 稳定而简单的结构部署：整个部署和实施过程，不需要影响到原有的拓扑结构，在经过实验验证可行后，可以整套架构直接插入原有拓扑结构中间 ，不涉及任何网络改动，实现无缝的整合和接入。在线部署为银行最担心的部署方式，能实现无缝接入部署是F5的最大优势。在最终部署时，5分钟内已经完成所有切换连接，半个小时后，通过所有应用部门的应用验证，最终确认上线部署成功。关键技术阐述： UIEiRules： UIE -Universal Inspection Engine 通用搜索引擎，可以将TCP/UDP的数据包打开，并搜索其中的特征数据。i-rules 可以根据UIE搜索到的数据进行应用规则处理。UIE+ I-rules 可以帮助客户实现以下功能：1 应用流量管理2 针对复杂应用的负载均衡和会话保持处理3 应用安全处理 灵活可靠的高级状态健康检查 BIGIP支持采用ICMP，TCP/UDP，ECV，EAV，iControl等各种方法对服务器或应用状态进行健康检查。l ICMP：第2/3层的健康检查方法，采用Ping的方法检查服务器是否alive。l TCP/UDP：第4层的健康检查方法，检查相应的TCP/UDP端口是否激活来确定Service的状态。l ECV：扩展内容验证，第7层的健康检查方法。模拟客户端向服务器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态。l EAV：扩展应用验证，嵌入式、个性化的健康检查方法。可以使用shell script 或perl 语言等嵌入程序执行EAV，对服务器进行多层步骤、复杂的健康检查。一般开发EAV需要三天左右的时间。l iControl：主动式的健康检查方法。让服务器或应用来告诉BIGIP，它的健康状态。一般开发iControl需要三个月甚至更长的时间。 高可用性：F5的BIGIP采用了独立的管理CPU支持带外管理，称为SCCP模块，SCCP为一个独立的系统，具备自己的独立的OS、Memory和Flash Disk。在电源接通并打开电源开关的情况下，SCCP即已经启动，并且不受HOST系统重起、挂起等影响。SCCP在正常工作时，运行在Bridge模式下，将所有管理以太网口和Console的连接传递给HOST系统，以对HOST直接进行管理。同时，也可以给SCCP配置自己的独立IP地址和路由。SCCP在配置IP地址后，仅对外提供SSH服务。在重起SCCP的时候，整个系统，包括HOST均会被重新启动。利用SCCP，F5可以对正在运作的所有系统进程和硬件的运作状态进行有效监控1.1.2 国外商业银行广域网数据传输加速项目概况： 该用户为国外大型商业银行客户 用户有一个主数据中心，6个大型分支节点包括备份数据中心和开发中心 数据中心之间有大量的数据传输，包括数据库备份，CIFS文件复制，HTTP数据传输，远程数据库访问等。 由于数据传输量大，现有的OC3 155Mbps广域网线路已经不能满足需求 尽管带宽较大，但数据传输的速度仍然较慢网络结构：客户需求： 所有的数据传输必须保留源地址，便于安全审计。 每个数据中心之间需要有2万个左右的Session需要进行优化。 每个数据中心到中心节点的实际传输带宽超过400Mbps，中心节点的最高带宽容量为10Gbps。 设计必须考虑到冗余性和高可用性。 建议的方案必须最小限度的影响现有系统。 方案在将来有很好的扩展性，还可以继续增加广域网带宽。 要求方案设计简单，容易部署。 部署的最初考虑是从CIFS文件拷贝和远程数据库访问开始，然后再部署其他协议的优化。F5的解决方案： 采用WANJet实现广域网数据传输优化，包括提高数据传输速度和减小广域网带宽占用，每台WANJet设备用于处理400Mbps的广域网流量。每4台WANJet用于处理一个分支机构的数据传输，最高可达到800Mbps的广域网流量。 由于带宽要求非常高，因此采用在中心节点采用BIGIP 8400，分支节点采用BIGIP 6800对WANJet进行负载均衡。 BIGIP 8400的最大带宽吞吐可到10Gbps, 6800可到4Gbps，在满足现有需求的前提下，还有很好的扩展性。 Reputation：f5是业界经过验证的成熟供应商，银行也认可这一点为什么选择F5： 大流量的支持:用户需要在不增加物理带宽的前提下，将现有的155Mbps OC3线路提升到超过400Mbps的吞吐能力,中心节点的汇总流量达到了6.4Gbps。WANJet在单台设备时即可以处理400Mbps的流量，而竞争对手需要8台设备处理才能处理400Mbps流量。 大并发连接数支持：每个分支机构有大约2万个并发连接，中心节点超过12万个并发连接。WANJet单台设备支持14,000个并发连接，而竞争对手在开启协议加速后仅能达到2000个并发连接 稳定而简单的结构部署：在大流量下，无法使用WCCP等对路由器资源消耗巨大的协议。而在线部署为银行最担心的部署方式。关键技术阐述： CIFS Proxy: WANJet可完整的支持CIFS文件传输中的快速目录浏览和文件传输加速。通过本地应答、数据压缩、TDR II等多项技术极大的提高了Windows环境下的文件传输和客户端响应速度。 无硬盘缓存：WANJet采用高效的数据处理算法，没有内置硬盘，因此不存在本地数据Cache,从而不会给系统的安全性带来额外的隐患。同时提高了系统的稳定性，在数据传输的骨干链路上不会因为频繁存取硬盘而导致系统的不稳定状态。 BIGIP负载均衡：通过BIGIP对WANJet进行负载均衡，提高了系统的扩展性和稳定性。BIGIP可以动态监测WANJet的健康状态，如果某台WANJet出现故障，则将其从负载均衡组中摘除，保证系统的稳定运行。并且避免了采用WCCP,策略路由等技术带来的路由器高资源消耗。 TDR II技术：与传统的基于数据块压缩技术不同，WANJet采用基于应用层的字节压缩技术。该技术带来的最大优点就是采用更小（64K）的数据字典和得到更高的传输速度（622M）。同时提高了数据的压缩比，减小在广域网上的数据传输。1.1.3 商业银行省级分行流量管理解决方案项目概况： 该项目为总行推广省级数据大集中项目，省级Internet安全集中控管项目，Web应用集中代理服务器的负载均衡项目。 分行实施全省Internet安全集中控管项目，涉及到多链路的负载均衡解决方案，以及Web应用代理服务器的负载均衡解决方案。 该项目最后选择了2台F5 Linkcontroller 1500链路控制器来实现上述功能要求，并且满足目前的200M流量吞吐的性能要求。网络结构：客户需求： 多链路负载均衡详细说明：在省级分行的多链路负载均衡需求中，主要是针对内网用户的Outbound链路负载均衡需求。要保证某一条链路断线时，内网用户能够正常访问Internet，而在多条链路都正常的时候，能够按照合适的负载均衡算法选择一条合理的链路。 内外网的DOS攻击防护详细说明：考虑到传统防火墙对DOS攻击的防护能力较弱，在最外层的链路控制器上增进对DOS攻击的安全防护。 带宽管理详细说明：对内网用户的Internet访问进行应用分类，保证最关键业务的带宽，减少非关键应用对带宽的占用和浪费，从而提高QOS。 Web应用集中代理服务器负载均衡详细说明：省行一般使用多台Microsoft ISA作为Web代理服务器，为底下各个二级分行和营业点提供Web业务代理服务；为了保证服务器的高可靠性和高可用性，利用服务器负载均衡技术进行优化。 高可靠性详细说明：所有网络设备必须通过HA方式保证系统的7x24小时服务，保证整个系统的高可靠性；同时提供会话镜像功能，保证设备切换时，应用的连续性。F5的解决方案： 采用F5 LC1500实现多链路的负载均衡；在Outbound链路负载均衡时，可以根据预先导入的ISP地址列表进行链路的选择，当某一条链路断线时，透明地切换到另一条链路，对客户和应用透明。 利用F5 LC上自带的Syn Check机制，对TCP三次握手进行检查，丢弃非法的Syn数据包，并且输出报警和日志。 利用F5 LC上自带的Rate Shaping功能，可以定义最小保证带宽，最大限度带宽，并且可以通过iRules灵活地加载到相应IP地址和TCP/UDP端口等类型上。 利用F5 LC上自带的服务器负载均衡功能，对Web代理服务器进行负载均衡，如果希望简化负载均衡流程，也可以如“Web应用集中代理服务器负载均衡解决方案拓扑图”所示，再增加专门的F5 LTM产品进行Web代理服务器的负载均衡。 F5 LC1500配置成双机Active-Standby冗余模式，并且和下层外网防火墙进行联动切换，保证整个系统的可靠性。为什么选择F5： 性价比最优的解决方案，保护用户的投资。 标配的F5 LC链路控制器，集成了DOS安全防护，Rate Shaping带宽管理和服务器负载均衡功能，满足用户对流量的高级管理需求。 F5的iRules可编程管理流量技术，是业界唯一地可以灵活控制和管理流量的工具。 F5的ADN整体解决方案可以为今后应用系统的发展提供网络平台基础，并可以进行套餐化定制。 F5设备的双机心跳线方式提供毫秒级快速切换，是银行关键业务系统所必需的。 F5在世界级银行以及全国性银行的成功案例和优异运行记录。关键技术阐述： 通过iRules灵活地对各种流量进行Rate Shaping带宽管理when CLIENT_ACCEPTED if matchclass IP:remote_addr equals $:it_class rateclass yewu1 pool ctcfirst_pool else if matchclass IP:remote_addr equals $:newlink_class rateclass yewu2pool cncfirst_pool else pool default_gateway_pool 1.1.4 地区级商业银行总部网银流量管理解决方案项目概况： 该地区级商业银行为著名的城市商业银行，业务辐射全国。 按照中国银监会的综合排名，在全国113家城市商业银行中位居前列；在全国城市商业银行中率先推出网上银行业务。 为了更好地服务网银用户，决定对网银系统进行链路和应用方面的优化。 考虑到中国特有的南北电信互联互通问题，需要将客户访问正确导向到合适的ISP链路，并且多条链路之间互为冗余 对于网站Web服务器，SSL安全网关，网银Web服务器和应用服务器进行负载均衡优化 通过架构流量管理产品，改进服务器和应用在运维时对在线业务的影响。网络结构：网银流量管理解决方案拓扑图客户需求： 多链路负载均衡详细说明：用户在建立域名请求连接时，能够根据链路的健康检查结果和相应的算法（Topology，RTT等），智能选择合适的链路来提供用户响应 各种业务服务器负载均衡（包括网站Web服务器，SSL安全网关，网银Web服务器和应用服务器）详细说明：根据预设的负载策略，将不同的访问请求分发到相应的服务器。并能够通过规定方式检查服务器是否正常提供相应的服务，若发现某个服务出现异常，则采用设定的方案进行隔离，保证正常服务不受其影响。要求在正常情况下两台或多台服务器的负载基本相同，在某台服务器停机的情况下透明的容错，保证关键应用的持续,提供特别的会话保持能力, 可以根据不同应用的特点保证特定用户的访问会定位在特定的服务器,只有在这台服务器出现故障时再将访问导向到其他服务器。 温暖关机详细说明：在需要对网银业务服务器进行升级维护的时候，利用F5温暖关机的特性，disable需要下线维护的服务器，阻止用户的新建连接，保持用户的在线连接，直到在线连接数下降到零，再由网管人员将服务器下线。 高可靠性详细说明：通过HA方式保证系统的7x24小时服务，保证系统的高可靠性；同时提供会话镜像功能，保证设备切换时，应用的连续性。F5的解决方案： 采用F5 LC1500双机HA冗余结构，实现中国电信和中国网通链路双向负载均衡，保证电信用户解析出电信地址，网通用户解析出网通地址。 在链路负载均衡情况下，解决外部邮件服务器的域名反向解析问题，保证银行的邮件服务器收发邮件正常。 采用F5 LTM3400双机HA冗余结构，实现网银系统各种业务服务器的负载均衡。 F5负载均衡器内置业界唯一专有的四层ASIC芯片，加速对数据处理的性能。 采用F5特有的负载均衡算法和健康检查方法保证网银各种业务负载实时高效均衡。 采用F5丰富的会话保持机制，对应用访问的一致性进行流量控制。 采用F5的温暖关机特性，优化运维时对用户在线访问的影响。为什么选择F5： 多链路负载均衡算法: LC中有多种算法可选择，并且可以定义顺序执行，可先动态，后静态或先静态，后动态,高效灵活，正确解析率高。 服务器负载均衡产品能够满足要求严格的应用健康检查要求 服务器负载均衡产品能够满足特殊的应用会话保持机制，并且可以配置备份的会话保持方式 F5负载均衡器双机心跳线方式提供毫秒级快速切换，是网银系统这样的关键业务系统所必需的。 F5在世界级银行（例如：花旗银行，美洲银行等）以及全国性银行（例如：工行，农行，建行，中行，招行等）成功案例和优异运行记录。 服务器负载均衡产品能够集成其它的流量处理和优化模块，如RamCache，HTTP Compression，WebAccelerator，Application Security等功能模块，今后可以拓展对应用进行更加高级的优化。关键技术阐述： F5链路负载均衡器丰富的Inbound算法静态负载均衡算法：全局可用性(Global Availability)：LC将所有提供某种特定应用的链路放在一个队列中，把用户访问请求的流量导向该队列中第一个可用的链路，当该链路到达连接限制或者出现故障部可用时，将流量导向下一个可用链路。当使用这种算法的时候，处在队列中第一个链路将接受到大部分的流量，队列中的最后一个链路接收到非常少的流量。l 无（None）：LC针对某一种应用可以定义三种负载均衡算法，优先采用第一种算法，当第一种算法失效时，启用第二种算法，第二种算法也失效时启用第三种算法。假定第二种算法使用None，当第一种算法失效时直接启用第三种算法。l 随机（Random）：随机返回给用户某一个链路的IP地址。l 比率（Ratio）：预先给每个链路定义一个权值，按照这个比率返回给用户某一个链路的IP地址。l 返回给LDNS（Return to DNS）：立即将连接请求返回给LDNS处理。l 轮询（Round Robin）：将提供某种应用的所有链路放在一个队列当中，按顺序依次返回给用户队列中下一个链路的IP地址。l 静态会话保持（Static Persist）：这种算法将维护一个LDNS到某一个链路的映射表，同一个LDNS的查询请求在预定的时间过期之前会返回同一个IP地址。l 拓扑(Topology)：可以地理位置、IP划分预先定义一些规则，按照这些规则返回给用户相应得IP地址。例如：预先定义中国电信LDNS地址范围，并规定所有中国电信用户的请求都访问电信链路。当有符合条件的LDNS发起查询请求的时候，都会返回电信链路的IP地址。l 丢弃请求数据包(Drop Packet)：当使用此种负载均衡算法的时候，LC不做任何事，直接将数据包丢弃。l 外部IP(Explicit IP)：当使用此种负载均衡算法的时候，LC返回给LDNS一个外部的IP地址，该地址可以在Fallback IP中设置。可以使用此种算法做备用，当所有正常链路都不能访问的时候，返回给LDNS备份链路的IP地址。动态负载均衡算法：l 完成比例(Completion Rate)：当接收到LDNS的查询请求的时候，LC会返回给用户丢包或超时数据包最少的链路的IP地址。l 跳数(Hops)：当接收到LDNS的查询请求的时候，LC会让数据中心的F5设备探测该数据中心到发起查询请求的LDNS之间的路由跳数。LC根据返回的跳数解析给LDNS跳数最少的链路的IP地址。l 千字节/秒(Kilobyte/second)：LC会选择一个当前处理的Kbyte/Sec数值最小的一个链路返回给发起查询请求的LDNS。l 最小连接数(Least Connection)：LC会选择一个当前处理连接最少的链路返回给发起查询请求的LDNS。l 包比例(Packet Rate)：LC会选择一个当前每秒钟处理数据包最少的一个链路返回给发起访问请求的LDNS。l RTT(Round Trip Times)：当收到LDNS查询请求的时候，LC会让每个数据中心里面的F5设备反向探测发起查询请求的LDNS，并且计算从发起反向探测到接受到响应得时间间隔。LC根据这个时间间隔返回给LDNS一个间隔最短的数据中心的IP地址。l 服务质量(QoS)：LC通过收集每个数据中心RTT时间、跳数、完成比率、包比率、地理拓扑、链路容量、VS(Virtual Server)容量、Kbyte/Sec的数值进行综合计算，计算之后每个数据中心都会有一个权值，然后根据这个权值返回给LDNS相应的链路的IP地址。l VS 容量(VS Capacity)：当使用这种算法的时候，LC将所有的Virtual Server放在一个队列当中，并把每个Virtual Server的容量作为他们的权重，按照这个权重返回给LDNS相应的链路Virtual Server的IP地址。1.1.5 银行主机前置网关负载均衡项目概况： 多台主机前置网关同时工作，但人为指定片区使用不同的前置网关 负载分配非常不均衡，有些压力过大，有些过于轻松 网关故障将导致整个负责片区的业务瘫痪 由于更靠近主机系统，因此影响面非常大应用流程：客户需求： 采用负载均衡设备对多台前置网关自动进行流量分配，尽量使负载均衡。 通过健康检查机制对前置网关进行关联业务检查，保证整个网关的可用性。 由于下级网点数量较多，因此在迁移时需要在负载均衡设备上完全取代原服务器IP。下级网点访问其中任何一个IP地址都会平均分配到多台前置网关上。 前置网关上不保存中间数据，但客户端连接均为长连接，并且需要负载均衡设备在切换时不中断长连接F5的解决方案： 采用BIGIP对多台前置网关进行负载均衡 在BIGIP上配置多个VS，对应后台同一个真实的服务器组 BIGIP对每台服务器上的多个业务端口同时进行健康检查，只要有其中一个端口发生故障，则停止整台前置网关的工作。 两台HA的BIGIP之间配置会话同步，保证在BIGIP发生切换的时候，已经建立的长连接不会中断。Why F5 稳定性：BIGIP完善的冗余和实际应用中的稳定性是保证项目成功的决定性因素。由于前置机靠近主机，影响面非常大，因此设备本身的稳定性是第一位的 多VS处理：BIGIP上可以对同一个服务器组对外提供多个VS，保证了在系统进行切割时的顺利进行。 会话同步：由于所有的应用均是长连接，因此在BIGIP进行HA切换时，必须保证所有的长连接均可正常保持。BIGIP快速而准确的会话同步保证了在BIGIP进行切换时，应用不会发生中断。关键技术阐述： HA技术：BIGIP在设备故障时，可以实现毫秒级切换，使应用感觉不到BIGIP的状态变化 会话同步：BIGIP可配置完全会话同步和会话保持同步，可以适应在不同情况下BIGIP切换时的应用保证需求。 多VS处理：BIGIP具备非常灵活的VS定义方式，可支持一个服务器组多个VS，也可支持一个VS多个服务器组。更可以定义网络VS等来满足各种环境和应用的需求。1.1.6 分行中间业务项目概况： 在一个大型银行中，分行的中间业务为分行非常重要的业务内容，不同的分行可以有20-40种中间业务应用系统。 连接来自五个方向，分别是柜面、网银、电话银行、ATM/POS、人行前置 在以前的结构设计中，所有的中间业务均在一台服务器上处理。该服务器上运行有20多个不同的应用系统。一旦机器出现硬件故障或者某个应用出现故障，则影响到所有的应用系统。 不同的应用系统对系统造成的压力也不同，应用之间的相互影响比较严重。网络结构：客户需求： 采用多台设备进行并行处理20多个应用系统，减轻服务器的压力。提高系统的负载能力和扩展能力 采用应用交换机对服务器进行检测，并对每个应用进行独立检测，当某台机器的某个应用出现故障的时候不会影响到其他的业务系统。F5的解决方案： 系统采用了两台BIGIP应用交换机对多台中间业务服务器实现负载均衡处理。 BIGIP将来自于柜面、网银、电话银行、ATM/POS、人行前置的各类请求均衡的分布到4台中间业务服务器上。 BIGIP对每台服务器上的不同业务进行健康检查。当其中某个应用出现故障的时候，则将其从负载均衡组中摘除，保证整体业务系统的持续运行。Why F5 中间业务的流程极其复杂，包括TCP短连接、TCP长连接、UDP、HTTP等多种应用协议。同时，还存在同步通讯与异步通讯。因此负载均衡处理时必须具备非常灵活的处理机制，iRules在其中扮演了非常重要的角色。 由于应用的复杂性，对应用的健康检查手段也非常的重要，BIGIP支持四级健康检查体系，从简单的ICMP到复杂的SQL查询，甚至是用户自编程的健康检查手段带来了检查的多样灵活型 BIGIP灵活的会话保持机制，也进一步完善了负载均衡的整体处理。关键技术阐述： iRules：F5独创的网络应用可编程控制体系，包含有50多个事件处理，200多个函数处理，可以对流经BIGIP的流量几乎做任何方式的处理。 高级健康检查：BIGIP支持ICMP、TCP/UDP Port、ECV、EAV等多种健康检查方式，可以对任何一种应用进行健康检查，保证业务的持续运行。 会话保持：BIGIP具备多种系统预定义的会话保持手段，包括典型的源IP、目的IP、HTTP Header、Cookie等，更可以通过可编程控制体系来完成用户的自定义会话保持机制，充分保证应用在实现负载均衡的时候，无须更改源代码。1.1.7 银行总部内网OA系统防攻击解决方案项目概况： 该银行为首家全国性股份制商业银行，是中国金融体制改革的先行者。为我国股份制商业银行的发展开辟了道路，对金融改革起到了催化、推动和示范作用。 内部portal系统是银行内部的OA核心系统,各个分行均会连接到内部portal系统。该业务是一个银行的核心系统，且涉及到所有的分行，用户希望能够提供一个安全、可靠、持续稳定运行的门户。通过架构流量管理产品，改进服务器和应用在运维时对在线业务的影响。网络结构：客户需求： 用户需要对在两台IBM主机上的4个OA业务同时实现负载均衡，并且要求系统能够实现无缝切换、在线维护。 由于发生过分行设备故障导致发送大量halfsync连接到portal服务器，导致核心的portal服务器故障。所以用户要求提供抵御核心系统防御halfsync的DDOS功能，以及阻止单一IP发起超过规定连接数的访问请求。 该故障的发生有两种原因：一是服务器或客户机中病毒，由病毒发起大量Syn连接到Portal服务器；二是由于应用的编写问题，在某种情况下认为连接没有建立成功，而在不停的向Portal服务器新建连接。 高可靠性，通过HA方式保证系统的7x24小时服务，保证系统的高可靠性。 提供有选择性的会话镜像功能，保证设备切换时，关键的指定应用的连续性。F5的解决方案： 采用F5公司提供的应用流量管理器LTM 6800两台做HA冗余结构，不但可以实现两台服务器的负载均衡，而且在系统级别实现了动态攻击抵御。 系统采用了独特的TMOS系统，从内核就自动可以防范通常的DoS/DDos攻击建立halfSync的请求。 采用系统内部提供的TCL脚本，我们轻松的实现了阻止同一IP客户建立超过规定的连接而不影响其已经建立的连接。 F5负载均衡器内置业界唯一专有的四层ASIC芯片，加速对数据处理的性能。 采用F5特有的负载均衡算法和健康检查方法保证各种业务负载实时高效均衡。 采用F5丰富的会话保持机制，对应用访问的一致性进行流量控制。 采用F5的温暖关机特性，减少系统运维时对用户在线访问的影响。为什么选择F5： 可以支持所有基于TCP/IP的应用。 可以自动抵御大量DoS/DDoS攻击，使后台的服务器不遭到任何攻击。 在大量攻击情况下，正常的用户访问仍然能够被转发到服务器采用synccookie技术可以轻易的区分出攻击请求和正常访问请求。 采用内嵌的TCL脚本，可以阻止用户建立n个连接以上的请求。并且，系统在阻止第n+1个请求时，并不会影响现有的n个连接。尤其重要的是，这种设置是基于每一个对外服务单独设置的，带来了极大的系统灵活性。 F5负载均衡器双机心跳线方式提供毫秒级快速切换，是OA系统这样的关键业务系统所必需的。 F5在世界级银行（例如：花旗银行，美洲银行等）以及全国性银行（例如：工行，农行，建行，中行，招行等）成功案例和优异运行记录。关键技术阐述： UIEiRule提供了对应用的可编程控制：UIE - Universal Inspection Engine, 可以将TCP/UDP的数据包打开，并搜索其中的特征数据。 iRules - 可以根据UIE搜索到的数据进行应用规则处理。UIE+ iRules可以帮助用户实现以下功能：1 应用流量管理2 针对复杂应用的负载均衡和会话保持处理3 应用安全处理下面的Rules通过统计客户端连接数，当某客户端连接数超过一定限度时，则将其所有的新建连接拒绝。when RULE_INIT array set :active_clients when CLIENT_ACCEPTED set client_ip IP:remote_addr puts starting client-$client_ip if info exists :active_clients($client_ip) puts origin connection is = $:active_clients($client_ip) if $:active_clients($client_ip) 3 reject puts client connection is reject return else incr :active_clients($client_ip) puts bynow connection is = $:active_clients($client_ip) else puts client connection is the first one set :active_clients($client_ip) 1 when CLIENT_CLOSED puts closing_IP:remote_addr if info exists :active_clients($client_ip) incr :active_clients($client_ip) -1 if $:active_clients($client_ip) = 0 unset :active_clients($client_ip) BIG-IP的SYNCheck特性提供全面的防SYN Flood攻击：LTM6800可安全地过滤海量攻击，同时为合法连接用户提供不间断的服务。 双机采用专用的心跳线，支持毫秒级切换：专用的心跳线使双机的切换变得更加快速可靠。双机的切换可以在200毫秒以内完成。 双机连接状态镜像(Connection Mirroring)：LTM设备支持会话表有选择性状态同步，可以选择设定对哪些应用采用会话状态同步功能。这样即可减轻双机状态同步对系统带来的额外压力，又可以对要求不间断运行的应用，做到双机切换对应用无影响。1.2 证券1.2.1 大型证券公司网上证券交易系统项目概况： 原有的负载均衡设备故障频繁，性能已经不能满足发展需求 需要SSL加速，降低服务器资源损耗 由于业务发展迅速，需要预留较大的升级空间网络结构：客户需求： 对于行情和交易服务器，最重要的是需要具备应付突发行情的处理能力和高可用性，保证在任何时候行情和交易不会中断。 通过Cache Server提高Web服务的响应速度。 需要实现防火墙负载均衡保证防火墙系统的高性能和高可用性。 SSL卸载减小后台服务器的SSL处理压力F5的解决方案： 4台BIGIP同时实现防火墙负载均衡和服务器负载均衡 在BIGIP中提供SSL加速功能 通过Rules实现Cache服务器的灵活定向和故障恢复Why F5： 在金融行业有大量成功案例。深得行业客户好评。 F5提供整体解决方案，面向安全、加速和高可用性。 系统运行稳定，保证交易通畅。 All in One设计，在达到高性能和复杂功能的同时保证了系统的设计、维护简单。 具有良好的扩展性。关键技术阐述： 防火墙负载均衡：通过BIGIP AutoLastHop特性，可以非常方便的部署防火墙负载均衡，可支持防火墙NAT、路由、透明等多种模式。并且可以混杂防火墙型号、模式。 SSL加速：BIGIP内置SSL加速芯片，可以将所有的SSL非对称加解密和对称加解密部分卸载到BIGIP上，降低了服务器的SSL处理压力。 iRules：可编程控制网络的经典体现。通过灵活的Rules，可以在BIGIP上对流量进行自定义分析、自定义控制、自定义转换和内容替换等功能。1.3 保险1.3.1 保险公司负载均衡应用解决方案项目概况： BIGIP为该集团所有生产系统以及网上业务系统提供应用负载功能 集团通过旗下各专业子公司共为3,700多万名个人客户及约200万名公司客户提供了保险保障、投资理财等各项金融服务。公司拥有20多万名销售人员及近4万名正式雇员，各级各类分支机构及营销服务部门3,000多个 集团内部包括有超过150个应用系统，应用系统之间有各种不同关联，需要在应用层处理上满足各种关联的处理流程 集团内部的应用系统架设在不同的应用平台上，包括有Windows、Linux，Weblogic、Websphare等，需要在跨平台的支持上满足各种灵活的处理方式 集团的应用系统全部为生产系统或网上业务系统，因此要求要对通信进行较高的加密处理和严格的证书处理典型网络结构：客户需求： 需要满足针对各种应用平台的深层次应用处理和健康检查，包括有Weblogic和Websphare，以及微软的AppCenter 需要支持各种形式的SSL加密处理以及证书处理，包括证书的透传等细节处理 需要满足针对应用的细节选择处理，包括根据不同的应用条件选择相应的应用服务器进行数据处理 需要满足各种会话保持要求，特别是根据应用条件的会话保持以及根据Cookie信息的会话保持处理 要保证高可用性，包括在发生应用切换时候的会话处理能力 要能支持高性能，支持数百万级的并发连接处理和十万级的新建会话处理。 要有高扩展性，能灵活增加新的处理设备 要满足无缝整合，能在任何时候部署新的设备，不影响应用的持续性 方案在将来有很好的扩展性，还可以灵活增加新的应用系统而不涉及内部改动 要能实现分布式部署，并且能进行统一规划，统一管理 要求方案设计简单，容易部署。F5的解决方案： 使用多台BIGIP LTM来实现应用负载均衡，分别处理不同层面的应用系统 使用iRules来进行细节应用处理，凡是满足某种应用条件的数据包，都根据要求分配到相应的应用服务器进行相关处理 使用高级应用健康检查机制（EAV、ECV）来与各种不同的内部应用平台沟通，真正保证应用健康检查的准确性 使用BIGIP内部的SSL加速芯片来提供对基于SSL加密通道通信的高性能处理，并且通过F5的iRules实现各种证书内容的透传处理 使用基于Cooike信息的会话保持机制，来保证应用访问的完整性 通过iControl接口与内部网络管理系统进行结合，实现统一管理 通过Oneconnect功能实现连接优化，提升服务器的处理能力为什么选择F5： 高效灵活的应用处理能力，通过iRules，可以根据应用的各种细节需求进行动静态的处理 稳定可靠的会话保持机制，通过基于Cookie信息的会话保持方式，能保证即使从同一台应用代理发出的多种应用访问，也能进行区分并实现应用会话自此至终在同一台应用服务器上完成 准确的高级应用健康检查，F5可以模拟客户端向服务器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态，并且可以使用shell script 或perl 语言等嵌入程序执行EAV，对服务器进行多层步骤、复杂的健康检查，从而准确定位服务器的工作状态 超强的SSL处理能力和全面的证书透传处理能力，可以通过F5内部的高性能SSL加解密芯片，来处理从客户端发送过来的大量SSL请求，将这些请求进行解密后，再以HTTP方式发送到后台的服务器，以节省服务器的CPU资源 高可用性的保证，F5采用自行设计的高速切换方式，现在最短的已经可以达到200ms的切换速度。并且在两台设备之间对数据流的状态信息进行复制，保证在切换后用户端和服务器端感觉不到切换，从而保证应用的持续运行。关键技术阐述： 通过iRules来进行深层应用的灵活处理：所有F5设备的底层均由TM/OS实现，在其基础之上，是一个基于数据流技术的通用检查引擎（UIE）。构建在对所有数据流内容的理解上，设计了与安全、优化和交付相关的所有模块。这些模块的配置均通过Profile进行，Profile按照对象建模方式可以继承、修改。在所有配置的顶端，由iRules对整个系统的运行进行可编程控制。在iRules语法结构中，可以使用50多个事件，200多个函数，可以实现丰富而灵活的功能 通过SSL加速芯片来进行加密通信处理：由于网络通讯的安全性和保密性的要求，许多关键业务必须通过HTTPS方式进行访问，将明文方式传输的HTTP请求和回应包含在SSL通道中。同时，通过证书体系或动态口令方式对服务器和客户端进行唯一性验证。由于SSL在带来应用安全性的同时，将会给服务器带来巨大的负担，因此在这类应用中，F5将会启用设备本身的SSL加速功能，通过硬件SSL处理芯片对SSL通信进行加解密处理，从而卸载服务器的处理能力，保证应用的安全，稳定运行。 基于Cookie信息的会话保持机制Cookie持续性利用客户机存储的cookie信息来把客户机连接到合适的服务器上。F5提供4种不同的Cookie持续性模式以适应任何应用的要求：重写模式、插入模式、被动模式和散列模式。 健康检查方法BIGIP支持采用ICMP，TCP/UDP，ECV，EAV，iControl等各种方法对服务器或应用状态进行健康检查。l ICMP：第2/3层的健康检查方法，采用Ping的方法检查服务器是否alive。l TCP/UDP：第4层的健康检查方法，检查相应的TCP/UDP端口是否激活来确定Service的状态。l ECV：扩展内容验证，第7层的健康检查方法。模拟客户端向服务器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态。l EAV：扩展应用验证，嵌入式、个性化的健康检查方法。可以使用shell script 或perl 语言等嵌入程序执行EAV，对服务器进行多层步骤、复杂的健康检查。1.4 基金1.4.1 大型基金公司多链路接入及服务器负载均衡项目概况： “这是跳跃式发展的一年。”基金业人士如此评价即将过去的2006年。 今天的中国基金业已经站到了新的起点。公司数量达到58家，基金数量294只，资产总规模已达6312亿元。 随着基金业的火热发展，基金公司的网上交易，网上查询，网上论坛，Email等应用访问量都呈指数级增长，对基金公司应用，网站等原有系统都提出新的挑战。优化/改造原有应用IT架构成为各基金公司面临的首要任务。 该基金公司portal原有的单链路接入,单应用服务器/应用服务器软件集群等架构都远远不能满足现有的业务需求。 在链路及应用服务器方面，该基金公司急需保证业务访问的快速，安全，高可用。因此，急需链路及服务器负载均衡来解决燃眉之急。网络结构：客户需求： 由原来的单链