Viprion应用整合及应用交付解决方案

1、XXXX新数据中心架构方案建议书 v2.1刘勇F5 广州办事处2011/6/25前言4第二章 需求分析52.1高度的架构灵活性，支持虚拟化技术52.2完善的负载均衡功能52.3具有强大的性能，并具备无缝的硬件性能扩展能力52.4高度的架构高可用性，实现7x24的不间断提供服务52.5统一的配置与管理平台62.6提供对完整的安全防护6第三章 数据中心架构-SLB架构建议73.1方案设计的特点83.1.1架构灵活服务器与数据中心整合数据中心自动化业务连续性虚拟桌面应用虚拟化云计算173.1.2 I

2、-rules提供良好的应用兼容性193.1.3应用交付性能按需扩展203.1.4高可用的架构设计硬件设备的高可用设计多链路和多数据中心的高可用设计213.1.5统一的硬件管理平台和应用性能监控功能 统一的硬件管理平台-EM后台应用的性能可视性-AVR功能243.1.6提供完善的应用系统安全2 LTM提供的系统安全性2 ASM提供的专业的WEB应用防护功能313.1.7 Geolocation为商业智能决策提供参考343.1.8节能环保，增强机柜空间利用率363.1.9高投资回报比373.1.

3、10为内部私有云的发展转变提供了坚实的架构基础38第五章 产品资料及其他技术文档415.1 Viprion 2400 产品资料415.2 vCMP技术简介435.3 LTM产品资料455.4 GTM产品资料465.5 ASM产品资料475.6 EM产品资料48前言随着XXXX中国现在的业务进入一个新的快速增长阶段，现有的IT架构越来越难以支撑新业务的快速发展。因此，XXXX中国准备对数据中心的架构重新进行整体规划，以达到一个灵活的基础架构，以适应业务的快速增长，为新业务的快速部署提供强有力的IT支撑。F5公司作为应用交付领域领先的厂商，结合多年的客户案例和经验以及XXXX中国的客观需求，针对数

4、据中心的架构进行设计，并与网络架构部分进行整合，达到新数据中心IT整体架构的要求。 第二章 需求分析在新的数据中心架构下，整体的架构的基本目标是：数据中心网络交换虚拟化，增强空间利用率，统一设备配置与管理。最终的目标是建设一个灵活的IT架构，能够支持新业务的部署和现有业务的迅速发展，同时提供一个非常高的可用性和安全性，来保障业务的安全、快速和高可用的交付。经过调研，我们总结出具体的需求点如下：2.1高度的架构灵活性，支持虚拟化技术支持各种各样的虚拟化技术，以减少新业务部署的时间和增加机架空间利用率，实现IT架构的虚拟化和高度的灵捷性。2.2完善的负载均衡功能除了必须的服务器负载均衡能力外，还要

5、求负载均衡设备具有良好的系统兼容能力，能够适应不同的网络环境和应用环境。比如说现在的负载均衡架构下，如果访问终端和服务器在同一个二层网络，需要在SLB设备上将访问终端的地址进行转换，并且无法做到一一对应，这样会对日常的记录和排错造成影响。2.3具有强大的性能，并具备无缝的硬件性能扩展能力需要解决数据中心内部跨二层的网络备份流量经过LB设备可能会造成的传输瓶颈，在不同的ZONE的设备之间，在进行数据备份或者跨ZONE之间调用数据时，该流量需要经过负载均衡设备，因此，要求负载均衡的吞吐性能要很高，并且在未来应用增加，用户增多，数据增大的情况下具备无缝的硬件的性能扩展能力。2.4高度的架构高可用性，

6、实现7x24的不间断提供服务新的数据中心将会承载在XXXX中国所有的内部和外部的业务系统，因此整个架构的高可用性必须非常的高，从服务器硬件级别到应用级别再到链路级别最后到数据中心级别，必须有一整套的高可用性的解决方案。2.5统一的配置与管理平台方便系统维护人员能够方便的维护与管理配置文件，系统版本，补丁升级以及设备配置文件等，并能够方便的查看设备上面的性能报告与状态。2.6提供对完整的安全防护应用已成为当今企业经营过程的一项核心内容。应用对企业的收入有着直接的影响，因此，保护关键业务信息免受恶意攻击至关重要，这些攻击通常包括针对应用漏洞的攻击，以及低级网络攻击。企业在实现真正的网络和应用安全时

7、，面临着诸多挑战，因为：应用漏洞越来越多当今的安全系统和防火墙并非智能型系统，不能检测新型的应用层攻击，也不能单独防御此类攻击。这些设备无法确认应用的类型，它们仅是锁定/解锁某个地址、端口或资源。这些传统设备不能对数据包进行深度检查，不能通过维持会话状态信息来检测攻击，也不能防止应用攻击的发生。应用攻击通常包括：注入和执行受到限制的命令，cookie篡取、获得非法访问敏感文档和用户信息的权限。这些攻击会导致损失大量的收入，以及生产效率降低，上述结果反过来还会影响企业的信誉。网络漏洞越来越多 网络攻击变得越来越复杂和广泛。恶意用户正在寻找新的突破网站防线、窃取有价值信息、甚至使整个站点停机的方法

8、。诸如拒绝服务攻击、分布式拒绝服务攻击、无序包泛滥、TCP 窗口大小篡改等复杂攻击，正给安全系统抵御大量攻击带来巨大的压力。在发起攻击之前，黑客和恶意用户还启用了站点扫描技术（一种被称之为 profiling（特性描述）的技术），从似乎无害的源码（如服务器错误代码、源代码注释）当中检索任意系统或应用信息。内部安全危害与信息泄露当今企业所面临的其中一个最大的威胁是来自企业内部的攻击。这些攻击难以检测和预防，因为企业内部的用户是可信域中的一部分。当今的安全系统不能灵活地部署安全策略，不能在对企业内部某些关键业务流量进行加密的同时，允许其它未加密的非关键流量通过。企业正借助其现有解决方案努力部署高效

9、统一的安全策略，使企业的组织机构符合诸如萨班斯奥克斯利法案、HIPAA 以及 FIPS 等安全监管标准。最近一系列的安全事件，包括Sony, Paypal，Citigroup等被攻击，用户数据失窃，表明WEB应用越来越容易遭受各种各样的攻击，完全的应用安全防护也是必需的。第三章 数据中心架构-SLB架构建议根据XXXX中国的要求，结合F5多年来在数据中心架构设计方面的经验，F5建议的新数据中心的第一阶段的SLB整体架构如下：架构设计说明：1、 在新数据中心的接入核心交换机nexus 7000旁挂一对F5的VIPRION 2400应用交付器。2、 通过与NEXUS 的VDC技术配合，F5 Vip

10、rion 2400通过 vCMP技术虚拟出多个逻辑独立的F5 应用交付设备，通过port channel的方式与虚拟交换机VDC或者真实的NEXUS 7000接入核心交换机实现旁挂式连接，实现对不同的系统zone的应用交付。3、 后台服务器的网关都指向SLB设备的IP。3.1方案设计的特点3.1.1架构灵活通过F5的vCMP技术和CISCO的VDC技术再加上vmware的vsphere平台，可以帮助XXXX中国实现一个灵活的IT架构，可以根据业务的发展和需要在部署新的业务区域而不需要去采购和部署新的硬件设备，通过虚拟化技术，可以直接在现有的硬件设备上虚拟出来一套基础架构设备，从而实现灵活的IT

11、架构，并大大的提高新业务的部署时间。F5与vmware有众多的联合解决方案，可以帮助用户实现高度灵活的IT架构。服务器与数据中心整合降低硬件、电力和设备成本虚拟化几乎是在最佳的时机出现的，目的是满足企业对于在当前经济形势下提高效率的需求。在所有规模的数据中心内，大量的服务器利用率不足。通过使这些额外的容量每次可用于不止一个应用，企业能够削减硬件基础架构，将这些应用的运行整合到更小或者更少的数据中心内，并最终节约空间和电力成本。整合数据中心服务的好处极具吸引力，但只有在降低成本的意图不会导致性能或可用性降低的情况下，企业才能真正地从虚拟化战略中获益。企业需要确信它们有必要的负载平衡

12、和流量管理解决方案，用于保持应用的性能和可用性。随着虚拟化环境的扩展，企业通常面临着与VMDK (虚拟机磁盘格式)文件存储相关的额外挑战。文件数量不断增加，共享存储池规模也是如此。因此，文件管理变得更加复杂，存储瓶颈通常会出现，而且存储成本会提高。F5解决方案有效地位于虚拟机上的应用服务器之前，并且在资源受限的情况下优化连接，选择流量路由，并平衡负载。F5 BIG-IP本地流量管理器将对虚拟机造成CPU和内存压力的许多功能转移出去，例如安全套接字层(SSL)交易、缓存和压缩。将这些功能转移到专用设备上可以释放50%的总体服务器资源，使服务器能够更有效地运行，并且提高服务器容量的可用性。通过利用

13、F5的ARX 产品，企业还可以应对与存储相关的挑战。ARX通过从物理存储位置提取虚拟文件位置而实现智能的文件虚拟化。这将实现不同存储层之间透明、自动化的基于策略的分配。需要高性能的文件位于第一层，不需要高性能的文件位于第二层。这样可以降低对昂贵的一层存储的需求高达80%。优点 最大程度提高现有硬件资源的性能，并且避免对物理服务器的额外投资 通过卸载CPU密集型任务而提高应用性能 通过数据中心之间和内部的高级负载平衡而提高可用性 优化文件存储基础架构，并降低成本数据中心自动化实现应用交付网络自动化已经部署虚拟机的IT服务提供商、数据中心和其它大型企业都知道，应用流量意外激增可能对可

14、用性服务等级协议产生破坏。这些情况可能要求更多超额配置的基础架构。此外，随着虚拟机数量的增加，管理虚拟机所需的时间也增加。IT人员通常会不必要地浪费时间去处理例行管理和维护任务，而这些任务可以有效地自动完成。F5解决方案通过自动化运行而大大简化网络部署、管理和维护。例如，在数据中心内部和数据中心之间，F5 BIG-IP通过其iControl API与VMWare的Virtual Center管理控制台直接通信，指导用户根据不断变化的应用状况而调整网络。F5 management 插件for vmware vsphere：虚机的平滑关机：Disable 虚机：自动执行变更或人工审批：处于审批阶段

15、的操作：插件日志：例如，当vCenter配置新的虚拟机时，BIG-IP本地流量管理器可以自动收到指令，将新服务器添加到其负载平衡池中，并开始将流量定向到其中。BIG-IP具有充足的智能化，会等到虚拟机发出响应后开始发送流量。同样，BIG-IP知道虚拟机或整个数据中心何时超负荷运转或者不可用，并相应改变流量的路由。利用内置的智能，BIG-IP可对波动的流量负载做出响应，而无需手工干预。另外一个例子: 当用户请求进入多个数据中心之间运行的虚拟化环境时，F5的BIG-IP广域流量管理器解决方案可自动检测用户的地理位置。然后，该产品从距离用户最近的数据中心为应用提供服务，以保证提供尽可能最高的性能等级

16、。它还可以根据不同的服务等级协议，从最具性价比的位置处理流量。与此相似，BIG-IP本地流量管理器可以识别和区别不同的用户“类别”。例如，与标准用户不同，来自高优先级用户的请求可由性能更高的服务器池处理。这一功能以及其它类似功能保证了应用资源的最充分利用，并且使网络管理员更轻松地开展工作。优点 提高网络响应虚拟化环境需求的速度 降低虚拟化环境中的管理复杂性 利用自动化任务和简化的管理而降低成本，提高IT人员效率 最大程度减少手工配置错误业务连续性保护您的业务，最大程度缩短应用停机时间企业不能没有核心应用和基于Web的服务。当一个应用瘫痪时无论是简单的硬件故障还是火灾或洪灾企业需要

17、知道应用无论在任何情况下都能无故障运行。在传统IT环境中，将应用从一个数据中心移到另一个数据中心，或者只是从一台服务器移到另一台服务器就非常困难。为了解决这个问题，许多企业过度配置基础架构，但如果硬件增加一倍，成本也会增加一倍。虚拟化环境提供了将应用封装到当文件中，并在几秒钟内在另一台服务器上重新启动文件的能力。虚拟化还允许企业轻松地制订和测试灾难恢复计划，而无需关停生产环境。因此，与传统灾难恢复解决方案相比，虚拟化提供了性价比更高、更灵活、更可靠的替代方案。然而，企业仍需要应对大量的网络挑战，以保证其应用在灾难发生时的持续可用性。F5的BIG-IP广域流量管理器解决方案可作为虚拟化环境的一部

18、分而部署，用于在数据中心之间有效地实现负载平衡。在整个站点出现事故时，它可以根据应用负载和性能，自动将流量定向给备用的数据中心。如果第二个数据中心不可用，BIG-IP广域流量管理器可以将核心应用转移到外部第三方服务器。这种共享的虚拟化服务器设施有时称为“云”，可为灾难恢复提供高性价比的灵活选项。为了提高数据在数据中心之间的传输性能，企业还可以利用F5的WAN优化解决方案。它用于将大量数据更快地从源数据中心传输到目标数据中心。F5解决方案在数据传输时进行数据压缩和重复数据删除，以减少WAN上发送的总体数据量。传输的数据量更少意味着带宽要求的降低，同时缩短了有效传输的延时。在数据中心或IT部门内，

19、企业可以部署F5的BIG-IP本地流量管理器，以防止核心应用由于硬件故障而不可用。该解决方案即时地测量应用的响应时间，并且无缝地立即将流量从故障设备重定向到环境中的其它虚拟化服务器，而不会造成应用中断。优点 在数据中心之间实现负载平衡(考虑服务等级协议和云计算费用) 帮助在数据中心内实现向辅助数据中心或云环境的灾难恢复 最大程度提高应用可用性，并降低停机时间造成的影响 加快WAN中大量数据备份的速度虚拟桌面凭借应用的高可用性提供统一、安全的用户体验近年来，许多企业都选择用简单的客户端终端取代桌面PC，并授权用户通过LAN或WAN接入集中存储的应用和服务。除了节约硬件成本外，这些虚

20、拟桌面在管理和安全保障方面更为容易实现，而且性价比更高。然而，VMware View这样的解决方案要想成功，用户期望虚拟PC具有与传统PC一样的性能。如果存在较高的网络延时(通常在远程客户端部署项目中存在)，用户会遇到性能缓慢的问题。此外，扩展集中的连接服务器可能费用高昂。最后，企业需要保证连接的安全，但不能对连接服务器造成过高的CPU负荷。F5解决方案旨在加速WAN连接速度，从而提高虚拟桌面机的性能。F5 WAN优化产品的特性最大程度利用可用带宽，并加速协议的传输，例如远程桌面协议(RDP)，以保证向用户提供一致的高性能。在数据中心内，BIG-IP可作为连接代理，并提供极高性能的SSL端接和

21、压缩，从而将大量负荷从桌面服务器转移出去。这以极低的成本提高了系统的总体扩展能力。此外，F5解决方案通过在登录之前保证较高的终端安全性而解决了普遍存在的安全问题。F5安全接入管理器对终端设备进行登录前的检查，只有通过检查才允许登录，并提供了多种认证机制，包括双因素模式和多种后端目录服务。该解决方案还在任何远程设备上执行Active Directory Group策略，并提高可用性。优点 确保为最终用户提供优质的服务 最充分地利用WAN带宽 最大程度减少所需的服务器数量，从而降低大型虚拟桌面部署项目的成本 确保严格的端到端网络和应用安全应用虚拟化确保企业应用的高性能S A P、Or

22、acle、Microsoft Exchange 和Microsoft SharePoint等企业应用支持并整合业务的不同部分，因此，这些应用对于日常业务至关重要。但是，它们也可能是低效的来源。在传统IT环境中，这些应用可能需要大量的服务器，而并非所有服务器都得到了充分利用。通过将企业应用迁移到虚拟化或部分虚拟化的环境中，企业有机会整合硬件要求，并降低相关的电力、管理和维护成本。然而，虚拟化技术主要针对操作系统层而非该层应用。因此，当企业决定推行虚拟化战略时，需要采取措施保证新环境不会对应用性能产生负面影响。F5提供了针对特定应用而预先优化的解决方案，并在BIG-IP中附带了综合的预先定义的档案

23、(例如Microsoft、SAP、Oracle)，从而在迁移到虚拟化平台时而最大限度降低了特定应用的网络风险。这些预先定义的档案通常部署在传统IT基础架构中，而在虚拟化环境中同样有益。使用这些应用模板可使输入数据量减少90%，最终缩短配置时间，减少错误。BIG-IP中一个预先定义的应用档案是VMware View (虚拟桌面)档案。这个模板提供了“最佳实践”配置模型，它融合了我们在设计最优VMware View系统方面的所有经验，并显著简化了安装过程。另外，BIG-IP本地流量管理器最大程度提高了用户应用的性能。它将CPU密集型的功能分离出来，例如SSL处理、缓存和压缩，并根据确切的响应时间，

24、智能地将流量定向给可用性最好的虚拟机。最后，高度依赖W e b 应用的企业可利用F 5 的BIGIP WebAccelerator。这个解决方案在虚拟化环境中通过智能缓存、连接通道选择和浏览器行为的利用的组合，加快了用户的接入速度加载时间，并显著降低了Web应用服务器的CPU负荷。优点 降低与实施应用虚拟化战略相关的风险 最大程度提高虚拟机密度，从而最大程度降低硬件和电力成本 优化用户享受到的性能和应用可用性 最大程度提高虚拟化战略的投资回报云计算交付可靠的基于Web的服务当数据量以前所未有的速度增加，应用流量在无法预见的情况下激增时，许多企业都在寻找新的解决方案，使其能够灵活地

25、接入更高的容量。“云计算”就是这样一种解决方案。越来越多的IT服务提供商推出的云计算是一个虚拟化IT环境，各种规模的企业都可以订购这个环境，并根据需要获得额外的服务器容量。然而，与新型IT服务一样，市场上对云计算也存在一些担忧。IDCEnterprise Panel (2008年8月)的调查指出，在该领域中，企业对安全、性能和可用性最为关注。推出云计算的IT服务提供商必须消除这些担忧，尤其是保证持续的高服务等级，以满足与客户之间的服务等级协议。服务提供商和最终用户可利用F5BIG-IP广域流量管理器提高内部和外部共享云服务环境中的应用性能。该解决方案确定具体的数据中心的运行状况，之后将流量发送

26、给该数据中心。利用F5的BIG-IP接入策略管理器可以验证和授权用户接入权限，并提供SSL端接。该产品可与F5WAN优化特性结合使用。WAN优化特性通过WAN执行额外的加密，并加速WAN性能。对于要求苛刻的极大型云环境，F5的VIPRION产品是一个强大而灵活的选择。该产品允许在无需手动配置或中断应用性能的情况下添加额外的刀片，从而提供了真正的按需要进行网络流量管理的能力。VIPRION是服务提供商的理想产品，因为它提供了多方租借的特性，允许管理员轻松地扩展VIPRION的容量，用于在单个VIPRION设备上分别管理不同客户的流量。优点 保证统一的高性能和高可用性，以满足客户的服务等级协议 通

27、过可靠的应用和网络安全而保护内部业务系统以及客户系统 提高扩展能力，并按需要增加容量 提高数据中心之间的WAN性能3.1.2 I-rules提供良好的应用兼容性 F5 bigip提供了iRules的编程接口和通用检测引擎，TMOS融合了F5的可定制的iRules编程接口和通用检测引擎，为处理应用交易或流程中的应用流量提供了前所未有的控制能力。通过全面的有效负载检测和转换能力、事件驱动的iRules和会话感知的交换技术，BIG-IP LTM提供了业内最智能的控制点，因此能够以解决各种应用交付问题，实现独一无二的应用的兼容性。范例一：我们可以通过i-rules来进行选择性的SNAT转换并记录，范例

28、如下：when LB_SELECTED if IP:addr IP:server_addr equals 00 snat 0log “source IP is IP:client_addr and dest IP is IP:server_addr”elseif IP:addr IP:server_addr equals 10 snat 1log “source IP is IP:client_addr and dest IP is IP:server_addr” else use snatpool

29、 Corpnet-SNAT范例二：通过修改http response的内容来实现应用的兼容性。将后台应用的真实的端口在回应中进行替换，替换成虚拟IP的标准的80端口。when HTTP_RESPONSE log local0. http responeif regsub -all 1:9081/ HTTP:payload 10/ newdata HTTP:payload replace 0 HTTP:payload length $newdata HTTP:release3.1.3应用交付性能按需扩展F5的viprion

30、2400和cisco的nexus 7000，nexus 5000都是具有可扩展硬件处理能力的机架插槽式设备。F5的viprion 2400最多可以插4片处理板卡，每块板卡可以提供40G的4层处理能力和18G的7层处理能力和1600万的并发连接能力。同时可以支持热插拔式的操作，可以通过添加板卡的方法来实现性能的无缝扩展。完全可以满足XXXX中国现阶段的性能需求和未来比较长一段时间内，对应用交付设备的性能的需求。3.1.4高可用的架构设计硬件设备的高可用设计Viprion 2400除了双机热备功能之外，还可以在同一设备上，通过多块板卡实现板卡之间的容错，以确保最大程度的系统可用和架构

31、的稳定性，如果数据中心的应用交付设备超过2台时，通过device group的技术还可以实现N+1的系统高可用性方案。 多链路和多数据中心的高可用设计在建设后期，我们需要考虑到如何保障ISP接入的高可用性及为了预防地震，停电等重大灾害导致的数据中心无法提供服务时的数据中心级的高可用设计。F5可用GTM设备来同时实现多链路和多数据中心的高可用。GTM设备可以是独立的硬件设备，也可以是viprion 2400上的软件模块，也可以是viprion 2400虚拟出来的独立的GTM设备。具体的GTM的逻辑部署可以参见第四部分的逻辑结构图。F5的GSLB的解决方案GTM具有以下的优势：1、

32、完善的DNSSEC功能，可以防止类似百度的域名被劫持的dns poison 的攻击。2、 强大的DNS性能，GTM设备可以支持百万级的DNS 请求数。3、 完善的DNS功能，可以完整的实现普通的DNS服务器的所有的功能，包括A记录，MX记录，NS记录，CNAME记录等等。4、 支持IPv4和IPv6，能提供IPv4和IPv6的服务，或者是在两者之间提供转换。5、 支持Geolocation功能，可以方便的对互联网的用户提供个性化的服务。3.1.5统一的硬件管理平台和应用性能监控功能 统一的硬件管理平台-EMF5提供了统一的F5设备的管理平台Enterprise Manager(E

33、M)可以实现对F5应用交付设备的配置统一管理，版本管理，流量分析和监控等。同时F5应用交付设备还提供了对后台应用的应用可视性功能，监控后台服务器的性能和响应状况。后台应用的性能可视性-AVR功能通过AVR（Application Visibility and Reporting）功能，可以获取下列信息：可以帮助实现：l 应用的可视性l 协助应用的故障排查l 应用的微调和优化l 客户端的性能报告l ROI或者服务器硬件性能规划客户端的延时报告：每一个URL的TPS报告：应用的新建连接报告：服务器的延时报告：3.1.6提供完善的应用系统安全F5的LTM与ASM 配合可以提供完善的应用

34、安全的防护。从SYN-FLOOD到DDOS（Slowloris ,Slow Post等）再到暴力破解攻击、XSS攻击、SQL注入攻击以及OWASP十大Web应用安全漏洞等，来提供整个应用系统的安全级别。F5的WEB应用安全管理器ASM可以作为一个软件的功能模块在viprion 2400上激活，也可以在VIPRION 2400上虚拟出独立的ASM的设备，在提供完善的应用的安全防护的同时，在网络架构中不需要增加额外的设备，保持了架构的简洁和灵活性。 LTM提供的系统安全性BIG-IP 系统可提供范围广泛的各种安全服务，在为企业安全提供支持方面发挥着至关重要的作用。BIG-IP 系统可

35、在关键网关位置进行部署，它既能添加功能强大的网络级安全策略，又能过滤最复杂的应用攻击，从而可保护您最宝贵的资源支持您的业务正常运行的应用与网络。作为一款集成 SSL 加密和新兴应用安全技术领域的领先产品，BIG-IP 系统能够使您的站点固若金汤，免受各类攻击。BIG-IP 解决方案能够对整个应用的有效负载进行深度数据包检查，从而为企业提供了功能强大的应用级安全性。凭借BIG-IP 灵活的特性集及其无可比拟的强大功能，管理员能够轻松管理并控制其应用流量。凭借 BIG-IP 系统全方位的认证、授权、审计，以及有效负载解析特性，在允许进行会话之前，企业就能在网络边缘执行安全策略。这些特性包括：通用检

36、查引擎和 iRule借助BIG-IP 系统，企业可设置并执行通用应用级安全策略。借助 BIG-IP 全新的增强性通用检查引擎 (UIE) 和 TCL 规则(iRule) 能力，企业能够过滤并阻止应用级攻击与威胁。借助全新的 UIE 组件，BIG-IP 系统可检查整个应用的有效负载，同时也可根据连续流灵活地做出转变、坚持执行、或拒绝执行之决定。通过使用诸如 TCL 等标准编程接口创建 iRule，以及创建与本企业安全方针一致的策略，企业能够充分利用 BIG-IP 灵活而功能强大的特性。一旦创建上述策略，即可将其分配给各文件，从而借助其全新的 GUI 特性就能实现轻松重复部署。通过整合这两项特性，

37、企业就具有了无可比拟的对其应用流量进行控制和保护的能力。认证和授权通过在网络边缘提供认证功能，以及针对网络中的资源又增添一道安全防线，BIG-IP 系统能够增强应用的安全性。高级客户认证 (ACA) 模块可视为站点的“哨所”，它能够为各种类型的 IP 流量提供认证代理。高级客户认证模块可与可插拔模块(PAM) 引擎协同工作，借助 RAM，用户能够从认证机制库中进行选择，ACA 可从服务器卸载关键认证流程，并降低一些负载和管理任务（通常它们消耗大量的服务器资源）。ACA 模块能够与诸如 LDAP、RADIUS 以及 TACAS+ 等各种授权机制共同工作。在客户端对证书进行处理时，在接收证书并转发

38、数据包至目标服务器之前，BIG-IP 系统可通过证书撤销列表 (CRL) 或在线证书状态协议 (OCSP)，了解该证书的撤销状态。在网络层强化进行认证能够降低应用和服务器的负载，使企业无须花费大量的人力物力对成百上千个应用认证系统单独进行维护。应用和内容过滤借助 BIG-IP 系统功能强大的通用检查引擎、以及其基于策略的 iRule 定制引擎，企业就能有效部署其安全策略。BIG-IP解决方案具备应用和内容过滤功能，通过对流经服务器的流量进行定义，企业能部署一套积极的安全模型系统。由于具备独特的对应用中的有效负载进行数据包检查或会话流检查的能力，BIG-IP 系统可阻止对记录/目录、限制性命令的

39、非法访问，并能阻止访问应用服务器上的敏感文档，同时，还能保护企业的关键资产。BIG-IP 系统还能过滤受到限制或黑名单中的网站中的内容，这有助于企业执行其安全策略。Cookie 加密和认证借助这一功能强大的特性，企业能够对应用流量中使用的 cookie 进行加密和认证，这就能阻止黑客利用 cookie 来发起应用攻击。由于支持 cookie 加密和认证特性，因此，黑客将无法读取 cookie ，从而无法访问诸如 JSessionID 和用户 ID 等信息；无法利用这些信息，黑客也将不能对 cookie 进行修改并创建非法会话。通过阻止会话劫持、Cookie 篡改等攻击（通过改写 cookie

40、内容并利用关键应用漏洞来实现），BIG-IP 系统能够为企业运行的状态应用提供先进的保护功能。SSL 加速与加密繁重的 SSL 流量会带来处理瓶颈，累垮最为强大的设备，严重影响服务或应用的总体安全性能。同时，不能为 SSL 协议使用的专用密钥提供保护会使用户和服务存在安全风险。BIG-IP 系统的集成 SSL 加速能力能够强化 SSL 计算资源、使关键任务的管理更加集中。BIG-IP 设备可提供市场上最快、最安全的加密算法。通过为企业配备 AES （高级加密标准，一种对称加密技术，可选择 128、192 或 256 位块加密），BIG-IP系统可提供更高级的保护，它是企业真正的安全技术标准。结

41、合使用 AES 和 SSL 处理，无须任何额外成本，BIG-IP 系统就能提供市场上最安全的 SSL 加密算法。提高网络和基础设施的安全性通过提供功能强大的网络层安全特性，BIG-IP 系统能够保护企业资源免受大量攻击，这将进一步提升企业的安全性。借助 BIG-IP 设备、其独特的通用检查引擎，以及可编程 iRule 语言，用户能够对网络有效负载的状况了然于胸，企业因此能够智能地管理并部署其安全策略。上述组合能够阻止一些通用网络攻击、Dos（拒绝服务）攻击、DDos（分布式拒绝服务）攻击，以及协议篡改攻击，如果再结合使用 BIG-IP 系统的数据包过滤能力，企业的安全性将获得前所未有的提升，从

42、而生产效率和收入将提高、拥有成本将下降。BIG-IP 系统能够提高网络和基础设施的安全性，它具备如下特性：缺省拒绝 (Deny-by-default)BIG-IP 系统是一种缺省设置为拒绝的设备。缺省条件下，管理员未明确允许可通过 BIG-IP 系统的流量类型，均会拒绝通过。这样，只有您指定的流量才能通过 BIG-IP 系统，从而可提供极高的安全保证。自动防护BIG-IP 软件内置众多流程，能够保护您的网络免受通用攻击类型的攻击。它将忽略以子网为目的的广播地址，并且不会对广播 ICMP echo 进行应答（这些广播用于发起 Smurf 和 Fraggle 攻击）。由于 BIG-IP 设备连接表

43、与现有连接完全一致，因此，诸如局域网攻击等欺骗连接将无法传递至服务器。BIG-IP 系统可不断进行检查，实现适当的帧定位，从而可防止诸如Teardrop、Boink、Bonk、Nestea 等通用碎片攻击。诸如 WinNuke、Sub7 以及 Back Orifice 远程控制工具等威胁，都将无法通过缺省的封锁端口。由于 BiG-IP 能够重组重叠的 TCP 报文段和 IP 碎片，因此，企业能够避免近来日益猖獗的一些新型未知攻击。SYN CHECK人们熟知的一种拒绝服务攻击类型为 SYN flood，发起该攻击旨在耗尽系统资源、使其无法建立合法连接。通过发送cookie 代表服务器对客户发出请

44、求，以及不再纪录尚未完成初始 TCP 握手连接的状态信息，BIG-IP 系统的 SYN CHECK 模块能够降低 SYN flood 带来的危害。这一独特特性确保了服务器只处理合法的连接，BIG-IP SYN 队列资源将不会被耗尽，因此，正常的 TCP 通讯就能继续进行。SYN CHECK 模块是 BIG-IP 系统 Dynamic Reaping 模块的完美补充；同时，Dynamic Reaping 能够处理已建立连接的 flooding，SYN CHECK 能够查找处于早期阶段的 flooding 连接，从而可防止 SYN 队列被耗尽。由于 SYNCHECK 能够与高性能 syn-cach

45、e 协同使用，因此企业能够在不损耗 TCP 报文的情况下，使用 syncookies。拒绝服务攻击 (DoS) 和 Dynamic ReapingBIG-IP 软件含两项全局设置，具有自适应进行 reap 连接的能力。为了防止拒绝服务 (DOS) 攻击，企业可分别标出一个低水印阈值和高水印阈值进行 reaping 连接。低水印阈值能够测定在哪一点之上，reaping 连接（与已定义的时隙接近）中的自适应 reaping 会变得更加活跃。高水印阈值能够测定何时不再允许通过 BIG-IP 系统建立非连接 (non-established connection)。变量的值代表内存利用率百分比。一旦内

46、存利用率达到此值，连接将不被允许，直到可用内存已降低至低水印阈值范围。虚拟服务器上的连接限制借助 BIG-IP 系统，管理员能够限制并发连接至一台虚拟服务器的最大数量。这就设置了另一道针对拒绝服务攻击等类型攻击的防护屏障。协议无害处理借助本特性，企业能够保护自身免受黑客采用 IP 协议篡改发起的攻击，这种攻击能够耗尽服务器的资源并使站点停机。通过在第一道屏障内保护系统资源并终止所有客户端与服务器间的 TCP 连接，BIG-IP 系统能够阻止诸如无序包泛滥、MSS tinypacket floods、TCP 窗口篡改等攻击。BIG-IP 设备能够对客户端-服务器间的通讯进行清除处理，查找具有攻击

47、特征的流量和异常情况，并清除服务器和应用所用流量。数据包过滤BIG-IP 系统的增强数据包过滤引擎提供深层数据包检查功能，管理员可根据高级数据包过滤规则接收、丢弃或拒收（使用诸如“administratively prohibited”等代码发回）流量。数据包过滤规则具有对第四层进行过滤的能力，允许可信流量通过，并能根据安全策略处理其它特定流量类型。企业现在能够在 IPV4 或 IPV6 条件下使用数据包过滤功能来提供基本的防火墙保护能力，并能添加另一道安全屏障。这种过滤基于数据包的源或目标 IP 地址，源或目标端口号（支持该端口的协议），以及诸如UDP、TCP 或 ICMP 等数据包类型。数

48、据包过滤能够保护系统免遭 IP 欺骗和 bogus TCP flag（伪装 TCP 标记）的攻击。审计和日志记录由于出现异常或参数无效（如 Land 攻击，Smurf 攻击、校验和出差、IP 协议号或版本未经处理，等等），一些数据包可能会被丢弃，BIG-IP 系统功能强大的日志记录功能能够将与此有关的事件记录下来。通过对尝试发起攻击的源 IP 地址，所用端口、以及尝试攻击的频率进行监控，BIG-IP 设备的安全报告功能能够标识出任何收到的对服务和端口的访问企图。在找出安全网络中的漏洞方面，这一信息能够起到非常重要的作用，能够帮助确定攻击的来源。除了添加了一些新的用于通用内容交换的规则和变量以外

49、，规则的语法也得到了进一步的扩充，其中包括两个新的规则声明：log 和 accumulate。借助上述功能，企业就能利用 iRule 来调用日志记录或系统日志信息，并向管理员实时发出威胁告警。带宽调整借助这一全新功能，企业能够有效而灵活地保护系统免受带宽滥用攻击。结合使用带宽类型与带宽过滤模块，企业现在就能实现对自身的保护，避免处于流量峰值状态，并免受定期滥用用户型攻击或可拖垮网络资源的网络攻击。企业能够设定流量和应用的限定条件，控制这些资源以哪一个速率达到峰值状态，这样就能识别并阻止试图累垮网络资源的通用安全攻击。避免信息泄露采用 BIG-IP 系统，那些可利用安全漏洞获取的企业宝贵信息将得

50、到保护。黑客以扫描或分析 Web 站点以获得 IT 基础设施线索而臭名昭著。此类用户通过分析流量特征、检查错误代码来查找漏洞，通过充分利用这些漏洞，他们就能发起攻击。违反安全规则的内部用户访问的行为也日益成为一个常见问题，因为该网络内部的恶意用户尝试非法获取某些敏感数据。BIG-IP系统为企业提供了一款不可或缺的工具，借助这一工具，就能阻止对敏感和关键信息的访问，还能在需要时有所选择地实施加密。BIG-IP 设备能够使信息免于泄露，它具有如下特性：资源隐藏借助 BIG-IP 系统，企业能够保护其自身系统免受黑客进行站点扫描或其它类似应用，或进行有关查找漏洞线索的行为。通过对资源进行隐藏，BIG

51、-IP 设备能够删除敏感信息（这些信息通常与服务器有关，包括如下内容：网页中的错误代码、源代码注释，包含相关服务器和应用重要信息的服务器标头等）。结合使用功能强大的通用检查引擎以及灵活的 iRules ，BIG-IP 系统就能阻止/过滤任何与站点有关的敏感信息，并能保护企业免受恶意用户的攻击。安全网络地址转换 (NAT) 和端口映射BIG-IP 系统能够对设备所用的地址和端口进行转换，并解析为可广而告之给外部用户的地址和端口。通过转换这些地址，管理员就永远不会担心其 BIG-IP 设备资源的泄露，这就降低了黑客获得访问服务器权限的机会。BIG-IP 系统包含一个称为智能安全网络地址转换（智能

52、SNAT）的特性，该特性与 NAT 类似，能够使服务器同时具有一个不公开的 IP 址和一个公开的 IP地址，这就能安全地与外部互联网进行连接。然而，智能 SNAT 与 NAT 不同，它允许管理员分配或映射一个单独的 IP 地址至一组节点，或整个子网，或 VLAN。智能 SNAT 还能根据 IP 数据包数据中的任何一个部分，映射至一个 IP 地址。通过 BIG-IP的通用检查引擎，企业现在就能根据 IP 数据包数据中的任何一个部分，智能映射 IP 地址。缺省条件下，SNAT 地址只能用来启动出站连接。在缺省条件下，定向至 SNAT 地址的入站初始连接，将被 BIG-IP 系统阻止，这就提供了另一

53、道安全屏障。可选内容加密借助 BIG-IP 解决方案，企业能够灵活地根据其应用安全策略和标准需求，对所选的数据进行加密，企业现在能够对其敏感应用数据进行保护，能够构建一套通用的安全策略，能够在一处中心位置在不同需求间谋求一套折衷策略。企业现在能够在清晰可见的通道下传递非关键流量，并有所选择地对敏感流量（如账号和密码）加密，这就使其能够符合诸如萨班斯奥克斯利法案、HIPAA 以及 FIPS 等安全监管标准。 ASM提供的专业的WEB应用防护功能BIG-IP ASM是业内最全面的Web应用安全与应用完整性解决方案。对于对业务至关重要的应用，屡获殊荣的BIG-IP ASM能够使其保持机

54、密性、可用性和高性能，从而保护了您企业的安全，并维护了企业的声誉。实时流量策略构建器BIG-IP ASM的核心是动态策略构建器引擎，它负责自动的自我学习并创建安全策略。它围绕新发现的漏洞自动构建和管理安全策略，部署快速、敏捷的业务流程，而无需手工干预。当流量通过BIG-IP ASM传输时，策略构建器解析请求和响应，提供独特的能力检验完整的客户端和应用流量的双向流程包括数据和协议。通过利用先进的统计和启发式引擎，策略构建器可以过滤掉攻击和异常流量。策略构建器也可以在被告知站点更新的模式下运行。通过解析响应和请求，它可以探测站点的变化，并且相应地自动更新策略，而无需用户干预。现成的保护能力BIG-

55、IP ASM配备了一套预置应用安全策略，可为Microsoft Outlook Web Access、LotusDomino邮件服务器、Oracle E-Business Financials和Microsoft Office SharePoint等常用的应用提供现成的保护能力。此外，BIG-IP ASM包含快速部署策略，可立即为任何客户应用提供安全保障。这套经过验证的策略无需要花费任何时间进行配置，并且可以根据启发式学习和特定的客户应用安全需求，用作创建更先进的策略的起点。高级执行能力BIG-IP ASM可保护任何参数免遭客户端的篡改，并且通过验证登录参数和应用流来防御强制浏览和逻辑缺陷攻击

56、。BIG-IP ASM还可以防护OWASP十大Web应用安全漏洞1以及零日Web应用攻击。满足安全标准的要求先进的内置安全防护和远程审计功能可帮助您的企业以经济高效的方式满足行业安全标准的要求，包括PCI DSS、HIPAA、Basel II和SOX，您既不需要购置多个设备，也不需要对应用进行更改或重写。BIG-IP ASM提供了针对新型威胁的高级报告能力，例如第7层拒绝服务攻击 (DoS)和暴力攻击。此外，BIG-IP ASM与WhiteHat、Splunk和Secerno集成，可支持漏洞评估、审计和实时数据库报告功能，从而实现安全违规检查、攻击防护和法规遵从。经济高效的应用安全与可用性许多网站和应用都遭受过安全威胁，这些安全威胁会导致业务中断，并损害企业的品牌。BIG-IP ASM可以报告以前未知的威胁，例如暴力攻击，并且可减轻Web应用威胁，从而保护企业免遭数据侵害。BIG-IP ASM有助于预防棘手而且代价高昂的应用侵