《F5服务器负载均衡方案资料.doc》由会员分享,可在线阅读,更多相关《F5服务器负载均衡方案资料.doc(52页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Good is good, but better carries it.精益求精,善益求善。F5服务器负载均衡方案-XXXX服务器负载均衡方案建议书目录一综述3二用户需求32.1总体目标32.2系统功能需求32.3系统性能需求42.4系统安全性需求42.5系统可管理性需求42.6系统可扩展性需求5三需求分析53.1Web服务器负载均衡及冗余53.2服务器安全防护53.3mail服务器的负载均衡及冗余63.4FTP服务器负载均衡及冗余63.5API接口6四方案设计74.1网络拓扑图74.2设计描述84.2.1总体描述84.2.2Web服务器负载均衡及冗余84.2.3服务器安全防护84.2.4Ma
2、il服务器负载均衡及冗余94.2.5FTP服务器负载均衡及冗余94.2.6易于管理性9五关键技术介绍105.1本地服务器负载均衡算法105.2本地服务器/防火墙健康检查机制115.3会话保持技术135.4HTTP流量压缩155.5连接优化和长连接负载均衡155.6带宽管理165.7API接口iControl175.8系统安全性205.8.1提高服务器的高可用性215.8.2提高自身的高可用性225.8.3网络流量镜像235.8.4应用安全性245.8.5动态策略保护26六产品介绍26七F5专业服务条款26八设备清单及报价27一综述随着访问用户数量的增加,给服务器带来越来越大的压力,实现访问流量
3、在各服务器上均衡分配,充分利用各服务器资源,是网络改造的重要目标。二用户需求2.1总体目标1高性能系统可以采用多样,灵活,适应性好的负载均衡算法实现服务器负载均衡,使流量可以合理分配,提高系统整体的性能。2高可用性系统运行稳定,单一服务器故障不会影响系统有效运行。3高安全性系统具备良好的攻击防御能力,实现对服务器的安全防护。4高可管理性系统具备安全,简便,灵活的管理特点。5高可扩展性系统具备扩展简便的特点,在不影响现有系统整场运行的情况下,可以根据需要增加服务器。2.2系统功能需求为了适应系统扩展的需要,新的系统需要满足以下功能:1服务器的负载均衡系统中有多台Web服务器需要实现负载均衡,保证
4、用户访问流量能在各服务器上均衡分配,提高服务器资源的利用率。并且当某台服务器发生故障时能被及时检测到,并且故障服务器将会被自动隔离,直到其恢复正常后自动加入服务器群,实现透明的容错,保证服务器整体性能得到大幅提升。2 Web服务器的安全防护为了保证Web服务器正常提供服务,优化后代的系统必须满足对其安全防护的能力。当大数据流DOS/DDOS攻击进入的时候,能保证服务器继续正常稳定运行。3Mail服务器负载均衡系统中目前有一台mail服务器,但随着访问量的增大,系统中的mail服务器将会扩展到两台,需要实现两台mail服务器的负载均衡,保证用户的流量能够均衡分配。4丰富的日志记录为了便于系统日常
5、的维护工作,以及在排除故障时有据可依,处于网络核心位置的负载均衡设备必须具备多种详尽的日志记录方式。2.3系统性能需求为了保证系统正常稳定的运行,必须满足以下性能需求:1 在一定的访问压力下仍然能提供正常服务。2 系统稳定性好,系统响应时间要短(当一台服务器发生故障时,负载均衡设备能及时探测到并将用户访问导向其它服务器)。2.4系统安全性需求为了保证系统有效运行,系统需具备安全防范措施:1负载均衡产品本身具有良好的系统安全性,不存在安全漏洞。2产品提供安全的访问管理环境。3具有一定的安全防护能力,协助防火墙和其他IDS设备构建动态防御体系,防御网络常见攻击,提高系统整体的安全防护能力。2.5系
6、统可管理性需求为了便于新系统的日常维护和管理,系统在可管理性方面的要求如下:1 可以采用SSL加密方式安全的通过Web界面来进行管理。2 可以通过SSH客户端进行管理。3 可以通过本地串口进行命令行管理。4 除了系统本身具备的管理方式外,还可以提供中文网管软件,对网络和流量进行实时的监控和管理。2.6系统可扩展性需求在网络优化前,需要考虑系统扩展性需求,使系统具备灵活的适应性。1 增加Web服务器-在不影响现有系统正常提供服务的前提下,增加服务器,扩展系统容量。2 其它服务器-在不影响系统正常运行的情况下,实现除Web服务器之外其它服务器的负载均衡。3增加防火墙服务器-在不浪费现有投资的情况下
7、,增加防火墙服务器,实现防火墙服务器的负载均衡,避免防火墙单点故障。三需求分析3.1Web服务器负载均衡及冗余负载均衡设备利用多种静态和动态算法实现系统中10台Web服务器的负载均衡,使用户访问流量能够均衡分配,提高服务器整体服务能力和性能。当有服务器发生故障时,负载均衡设备利用EAV/ECV等精确的探测能力及时发现并隔离故障设备,直到其恢复正常工作,实现服务器冗余。3.2服务器安全防护当大数据流DoS/DDoS攻击进入的时候,服务器可能由于在瞬间接受超过服务器吞吐能力的数据流而直接导致系统崩溃,甚至导致数据丢失或客户资料遗失。而采用F5的BIG-IP保护服务器,通过EAV/ECV精确探测服务
8、器的处理能力,从而在服务器处理能力饱和之前自动屏蔽新建链接。超过服务器吞吐能力的链接将在F5上处于waiting状态,直至有服务器空闲或TCPtimeout。同时,对于所有对外提供应用的服务器,由于有F5提供负载均衡,用户无法直接于服务器联系,必须与F5上建立的虚拟服务器建立链接,所以黑客无法获得服务器的真实地址,增加了黑客攻击的难度。并且,由于虚拟服务器对外只提供应用服务端口,其余端口F5均不响应且直接丢弃数据包,从而有效地屏蔽了黑客攻击的第一步端口扫描。甚至F5可以将虚拟服务器的ARP响应屏蔽,从而使黑客无法PING通虚拟服务器。3.3mail服务器的负载均衡及冗余Mail服务器负载均衡及
9、冗余同Web服务器。由于邮件是采用双向解析的特殊应用,负载均衡设备必须能实现邮件服务器的反向解析,从而保证访问的完整性。3.4FTP服务器负载均衡及冗余FTP服务器负载均衡及冗余同Web服务器和Mail服务器负载均衡。为了保证FTP服务器能提供完整的服务,负载均衡设备须具备会话保持功能。3.5API接口F5设备提供了开放的API接口-iControl,它提供了业界最紧密集成的产品套件,利用统一的设备活动协作来对互联网流量和内容部署/提供进行端到端的控制。它提供了端到端集成所需要的产品间的安全通信,而且还可以通过开放式XMLAPI对F5产品进行编程,以支持客户与合作伙伴应用间的集成(F5的i-C
10、ontrol内部通信协议)i-Control能够使应用与网络流量管理和内容提供基础设施实现直接的互操作。通过i-Control开放的安全通信协议和SOAP/XMLAPI,网络设备能够与应用进行通信,应用可以控制网络,从而避免出现易于出错的过程和人为干预。i-Control能够提供网络产品间安全、加密的互相通信能力,并为无缝应用集成带来了方便,其中包括:l 本地流量管理l 分布于全球的流量管理l 将内容部署到远程服务器上l 管理网络中高速缓存提供的内容版本l 显著减少管理分布式网络所需的资源客户、合作伙伴及第三方集成商都可以使用i-Control软件开发套件(SDK),它具有开放式的SOAP/X
11、ML或CORBAAPI。随着i-Control的推出,F5证明了其对制定和采用开放式互联网流量和内容管理标准的支持。通过将i-Control与F5的业界领先iTCM产品相结合使用,可以实施并部署F5的完整互联网控制体系结构,从而增强了7层性能。任何第三方和客户都可以通过i-Control将自己的应用与网络系统集成在一起,从而提供无与伦比的7层性能。四方案设计4.1网络拓扑图改造后新的网络拓扑图如下:负载均衡部分网络拓扑图4.2设计描述4.2.1总体描述本系统中采用美国F5公司两台BIGIP,实现系统中多种服务器的负载均衡及会话保持,其中Web服务器有x台,Mail服务器x台,以及OA服务器有x
12、台,FTP服务器x台。上图是网络中负载均衡部分的拓扑图,两台BIGIP实现双机冗余,下连二层交换机,服务器连接到二层交换机上,实现服务器的负载均衡及冗余。Web服务器,Mail服务器,BBS服务器的负载均衡及冗余相同,对于BBS服务器,BIGIP利用专有的会话保持技术保证用户的正常访问。4.2.2Web服务器负载均衡及冗余BIGIP采用多种静态和动态负载均衡算法实现Web服务器负载均衡,并采用EAV/ECV等精确的检测方法及时检测出服务器故障,隔离故障服务器,直到其恢复正常。对于需要定位在一台服务器上访问的用户,可以采用BIGIP特有的Cookie的会话保持方法将用户会话保持在同一台服务器,保
13、证访问的持续性和完整性。4.2.3服务器安全防护BIGIP还有特殊的机制对Web服务器进行安全防护。1 EAV/ECV的健康检查当有大数据流DOS/DDOS攻击时,BIGIP利用其精确的EAV/ECV探测能力能准确检测服务器运行情况,在服务器处理能力饱和之前屏蔽新建连接。超过服务器吞吐能力的连接在BIGIP处于“等待”状态,直到服务器有空闲资源或TCPtimeout时间。2 API接口-iControl为进一步防止服务器遭受攻击过载,F5利用“iControl”技术可以帮助服务器通知网络,“此时忙,暂停服务”,然后,网络将停止再向它转发客户请求,而将客户请求继续转发至其它服务器,继续对客户应用
14、请求提供服务。3 虚拟服务器对外提供服务的Web服务器,由BIGIP实现负载均衡,用户无法同服务器直接联系,必须与BIGP上虚拟服务器建立联系,同时虚拟服务器只开放提供服务的端口,对其它端口访问,BIGIP均不响应,只做丢包处理。4 防火墙功能(包过滤规则)BIGIP提供包过滤功能,可以实现基于协议类型(tcp,udp,icmp),源IP地址,源端口,目的IP地址,目的端口进行包过滤,保证不合法数据包的入侵,避免后台服务器遭受攻击。4.2.4Mail服务器负载均衡及冗余Mail服务器的负载均衡及冗余同Web服务器。对于Mail服务器,由于收发邮件需要实现双向解析,负载均衡设备采用SNAT保证M
15、ail服务器能正常反向解析。4.2.5FTP服务器负载均衡及冗余FTP服务器的负载均衡及冗余同Web服务器。为了保证用户能正常访问FTP服务器,BIGIP提供会话保持功能,可以采用多种方式实现会话保持。4.2.6易于管理性BIGIP产品不仅提供https的安全Web界面管理,基于串口的管理和SSH安全命令行管理,还有基于软件XControl的管理。XControl是基于F5开放接口iControl开发出来的,针对F5设备进行监控管理的软件产品。五关键技术介绍5.1本地服务器负载均衡算法BIG-IP可以提供12种灵活的算法将数据流有效地转发到它所连接的服务器群、用户此时只须记住一台服务器,即虚拟
16、服务器。但他们的数据流却被BIG-IP灵活地均衡到所有的服务器。这12种局域负载均衡算法包括:1静态负载均衡算法轮询(RoundRobin):顺序循环将请求一次顺序循环地连接每个服务器。当其中某个服务器发生第二到第7层的故障,BIG-IP就把其从顺序循环队列中拿出,不参加下一次的轮询,直到其恢复正常。比率(Ratio):给每个服务器分配一个加权值为比例,根椐这个比例,把用户的请求分配到每个服务器。当其中某个服务器发生第二到第7层的故障,BIG-IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。优先权(Priority):给所有服务器分组,给每个组定义优先权,BIG-I
17、P用户的请求,分配给优先级最高的服务器组(在同一组内,采用轮询或比率算法,分配用户的请求);当最高优先级中所有服务器出现故障,BIG-IP才将请求送给次优先级的服务器组。这种方式,实际为用户提供一种热备份的方式。2动态负载均衡算法最少的连接方式(LeastConnection):传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第二到第7层的故障,BIG-IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。最快模式(Fastest):传递连接给那些响应最快的服务器。当其中某个服务器发生第二到第7层的故障,BIG-IP就把其从服务器队列中拿出,不参加下一次的
18、用户请求的分配,直到其恢复正常。观察模式(Observed):连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第二到第7层的故障,BIG-IP就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。预测模式(Predictive):BIG-IP利用收集到的服务器当前的性能指标,进行预测分析,选择一台服务器在下一个时间片内,其性能将达到最佳的服务器相应用户的请求。(被BIG-IP进行检测)动态性能分配(DynamicRatio-APM):BIG-IP收集到的应用程序和应用服务器的各项性能参数,动态调整流量分配。动态服务器补充(DynamicSe
19、rverAct.):当主服务器群中因故障导致数量减少时,动态地将备份服务器补充至主服务器群。服务质量(QoS):按不同的优先级对数据流进行分配。服务类型(ToS):按不同的服务类型(在TypeofField中标识)对数据流进行分配。规则模式:针对不同的数据流设置导向规则,用户可自行编辑流量分配规则,BIG-IP利用这些规则对通过的数据流实施导向控制。5.2本地服务器/防火墙健康检查机制BIG-IP除了能够进行不同OSI层面的健康检查之外,还具有扩展内容验证(ECV)和扩展应用查证(EAV)两种健康检查方法。基本的健康检查方法有以下几种:在Layer2健康检查涉及到用来对给定的IP地址寻找MAC
20、地址的地址分辨协议(ARP)请求。因为BIG-IP设置了真实服务器的IP地址,它会发送针对每一个真实服务器的IP地址的ARP请求以找到相应的MAC地址,服务器会响应这个ARP请求,除非它已经停机。在Layer3健康检查涉及到对真实服务器发送”ping”命令。“ping”是常用的程序来确认一个IP地址是否在网络中存在,或者用来确认主机是否正常工作。在Layer4,BIG-IP会试图联接到一个特定应用在运行的TCP或UDP端口。举例来说,如果VIP是被绑定在端口80做Web应用的话,BIG-IP试图建立一个联接到真实服务器的80端口。BIG-IP发送一个TCPSYN请求包到每个真实服务器的80端口
21、,并检查回应的TCPSYNACK数据包是否收到,如果哪一个没有收到,BIG-IP就确认那台服务器不能正常提供服务,BIG-IP单独针对服务器的每个应用端口做健康检查并单独做关于其服务器的诊断结果是非常重要的。这样一来真实服务器的80服务可能停机,但是端口21可能正常工作,BIG-IP可以继续利用这个服务器的21端口提供FTP服务,同时确认这个服务器的Web应用已经停机,这样一来就提供了一个高效率的负载均衡解决方案,细分健康检查的做法有效地提高了服务器的处理能力。扩展内容查证(ECV:ExtendedContentVerification):ECV是一种非常复杂的服务检查,主要用于确认应用程序能
22、否对请求返回对应的数据。如果一个应用对该服务检查做出响应并返回对应的数据,则BIG-IP控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据,则将该服务器标识为宕机。宕机一旦修复,BIG-IP就会自动查证应用已能对客户请求做出正确响应并恢复向该服务器传送。该功能使BIG-IP可以将保护延伸到后端应用如Web内容及数据库。BIG-IP的ECV功能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询,然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。用户可以定义发送和接收的字串,发送字串是指发送到一个服务器的请求命令,例如:“GET/”字串发送到一个
23、HTTP服务器。服务器回应得字串必须与接收到的字串相匹配,例如“”。ECV可以工作在正常和透明节点模式。扩展应用查证(EAV:ExtendedApplicationVerification):EAV是另一种服务检查,用于确认运行在某个服务器上的应用能否对客户请求做出响应。为完成这种检查,BIG-IP控制器使用一个被称作外部服务检查者的客户程序,该程序为BIG-IP提供完全客户化的服务检查功能,但它位于BIG-IP控制器的外部。例如,该外部服务检查者可以查证一个从后台数据库中取出数据的应用能否正常工作。EAV是BIG-IP提供的非常独特的功能,它提供管理者将BIG-IP客户化后访问各种各样应用的
24、能力,该功能使BIG-IP在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。该功能对于提高系统可靠性至关重要,它用于从客户的角度测试您的站点。例如,您可以模拟客户完成交易所需的所有步骤连接到前置服务器或中间件服务器、从目录中选择项目以及验证交易使用的信用卡。一旦BIG-IP掌握了该“可用性”信息,即可利用负载平衡使资源达到最高的可用性。BIG-IP已经为测试多种服务的健康情况和状态,预定义了扩展应用验证(EAV),如:FTP、NNTP、SMTP、POP3和MSSQL等,用户还可依据实际应用,自行编辑EAV脚本。F5产品健康检查的频度和间隔是可以根据用户的要求而设置。通过F
25、5灵活自定义方式的ECV健康检查方式,用户可以检查常见的应用如HTTP、SMTP、POP3等。而通过EAV健康检查方式,更可自行编写脚本,实现更加复杂的健康检查方式,全面的检测后台服务器的运行状态,保证系统运行的高效,可靠。5.3会话保持技术当使用BIG-IP对服务器进行负载均衡时,就需要会话保持。如果某位用户连接到了一台服务器上,那么我们肯定希望该用户在将来再次连接时将仍可连接到该台服务器上。当该服务器存有用户相关数据,并且这些数据并不与其它服务器动态共享时,持续性就显得十分有必要了。例如,假设一位用户在某网站采购了一“购物车”的商品,然后还未结帐就离开了该网站。如果在其重新登录网站后,BI
26、G-IP应用交换机将客户请求路由至不同的服务器,那么新的服务器对该用户的数据和其所购买的商品将一无所知。当然,如果所有服务器都在同一个后台数据库服务器中存储用户信息及其选购商品的话,那么一切就不成问题了。但是如果网站不是这样设计的,那么具体的购物车数据就只能存储在特定的服务器上。这样,BIG-IP应用交换机就必需选择用户曾连接上的那台服务器,以无缝地处理用户请求。BIG-IP提供以下几种会话保持方法:SimplePersistence,SSLSessionIDPersistence,SIPPersistence,CookiePersistence,iModePersistence,目的地址归类
27、。SimplePersistence:根据源地址做会话保持,即相同源地址的访问请求定位在同一台服务器上面。SSLSessionIDPersistence:根据SSL会话ID做会话保持。SIPPersistence:SIP协议会话保持技术。HTTPCookiePersistence:BIG-IP支持四种Cookie会话保持技术,即:改写模式,插入模式,被动的cookie,Cookie散列。1在Cookie改写模式下,服务器将插入一个cookie,然后BIG-IP应用交换机将对其进行重写,访问流程如下:首次命中,HTTP请求(不带有cookie)进入BIG-IP应用交换机,BIG-IP应用交换机任
28、选一台服务器,将请求发送至该服务器,来自该服务器的HTTP回复此时包括一个空白的cookie,BIG-IP应用交换机重写cookie,并在粘贴一个特殊的cookie后将HTTP回复发送回去。再次命中,HTTP请求(带有与上面同样的cookie)进入BIG-IP应用交换机,BIG-IP应用交换机借助cookie信息确定合适的服务器,HTTP请求(带有与上面同样的cookie)进入服务器,HTTP回复(带有空白cookie)返回BIG-IP应用交换机,后者将向客户机提供更新后的cookie。如图4.2所示:图4.Error! No sequence specified.Cookie会话保持改写模式
29、2在Cookie插入模式下,BIG-IP插入一个cookie,服务器无需作出任何修改,访问流程如下:首次命中,HTTP请求(不带cookie)进入BIG-IP应用交换机,BIG-IP应用交换机任选一台服务器,将请求发送至该服务器,HTTP回复(不带cookie)被发回BIG-IP应用交换机BIG-IP应用交换机插入cookie,将HTTP回复返回到客户机。再次命中,HTTP请求(带有与上面同样的cookie)进入BIG-IP应用交换机,Cookie指定合适的服务器,HTTP请求(带有与上面同样的cookie)进入服务器,HTTP回复(不带有cookie)进入BIG-IP应用交换机,后者将为客户
30、机提供更新后的cookie。3在被动模式下,服务器使用特定信息来设置cookie,访问流程如下:首次命中,HTTP请求(不带有cookie)进入BIG-IP应用交换机,BIG-IP应用交换机任选一台服务器,将请求发送至该服务器,HTTP回复(带有特定cookie)返回至BIG-IP应用交换机,BIG-IP应用交换机将HTTP回复(带有特定cookie)发回客户机。再次命中,发送HTTP请求(带有与上面同样的cookie),Cookie指定合适的服务器,HTTP请求(带有与上面同样的cookie)进入服务器,HTTP回复(带有特定cookie)返回至BIG-IP应用交换机,后者将HTTP回复(带
31、有特定cookie)发送回客户机。BIG-IP应用交换机Cookie持续性模式与SSL持续性模式之间的主要区别在于:对于Cookie持续性而言,数据存储在客户机上,而不是BIG-IP应用交换机上,因此可充分使用客户机上的无限资源。即Cookie持续性体现在HTTPCookie上,而信息则存储于客户机的磁盘驱动器上。4Cookie会话保持散列模式该模式只能在BIGIPHA控制器和企业上使用。散列模式使您可以通过设定cookie中一定字节数的信息来确定连接的目的地。该模式用于将cookie值映射到节点上,之后该值这将用于连接含该cookie的客户机,从而实现了节点的持续性。5.4HTTP流量压缩利
32、用BIGIP的流量压缩功能,支持多种类型的文件压缩,从而在降低80%网络带宽的同时,将应用性能提高3倍以上,并且解决了互联网延迟和客户机连接瓶颈对其应用性能的所造成的影响。5.5连接优化和长连接负载均衡BIGIP可提供广泛的连接管理能力,以优化服务器性能,显著提高页面加载速度。连接优化可以实现以下功能: 可以提高服务器30%的服务能力-聚合大量用户请求为很少的服务器连接。 将HTTP1.0的访问转化为HTTP1.1对服务器进行访问。智能的负载均衡连接聚合到不同的内容服务器(html,jpg,streaming等)。连接优化的几种方式及其原理: OneConnectHTTPTransformat
33、ion: 将一个用户的多个连接请求整合成一个连接对服务器进行访问。OneConnectHTTPtransformationsindex.htma.gifb.gifc.aspindex.htma.gifb.gifc.aspManyOneOneConnectContentSwitching 将一个用户的多个请求拆开再重新整合,将整合后的结果负载均衡到不同的内容服务器群。index.htma.gifb.gifc.aspindex.htma.gifb.gifc.aspOneConnectContentSwitchingHTMLserverpoolGIFserverpoolASPserverpoolOn
34、eConnectwithclientaggregation将多个用户的请求整合之后,将整合后的结果发送到不同的内容服务器群。OneConnectWithclientaggregation:sales.htmd.gife.giff.aspindex.htmd.gifa.gifc.aspHTMLserverpoolGIFserverpoolASPserverpoolindex.htma.gifb.gifc.aspf.aspsales.htme.gifb.gif以上三种方式均对连接进行了优化,减少了服务器要处理的连接数,增加了服务器的容量,保证后端应用系统可以高效的处理这些请求。5.6带宽管理BIG
35、-IP灵活的第7层带宽管理能力可使企业对带宽进行有效管理,以确保高优先级应用能够得到按时交付。同时,它还提供了定制控制能力,以设定基于应用的带宽限制(容许的带宽峰值),甚至还能在应用之间建立队列关系。带宽管理的功能特点:1灵活的带宽管理 灵活的带宽限制 支持带宽借用 根据应用进行带宽列队(带宽平均分配,FIFO)2从二层到七层的精细的流量分类可以根据IP地址,端口,以及基于七层内容进行流量分类,定制适合的带宽策略。3双向流量控制BIGIP可以提供双向流量的带宽管理,确保高优先级应用能够按时交付。5.7API接口iControl为了确保电子商务取得成功,应用和网络必须能够紧密结合。网络通知应用;
36、应用指导网络,这就是F5新型体系结构的基础。i-Control提供了业界最紧密集成的产品套件,利用统一的设备活动协作来对互联网流量和内容部署/提供进行端到端的控制。它提供了端到端集成所需要的产品间的安全通信,而且还可以通过开放式XMLAPI对F5产品进行编程,以支持客户与合作伙伴应用间的集成(F5的i-Control内部通信协议)。F5互联网流量、应用和网络管理体系如图5.4.1所示:图5.4.1F5互联网流量、应用和网络管理体系结构这种架构方式克服了多厂商解决方案的最大问题:互操作性和管理复杂性,而且还避免了单厂商套件的最大问题:有限的灵活性、缺乏足够的集成能力。这种架构使服务提供商和企业能
37、够:l 管理和控制全球范围的互联网流量和内容l 部署并实施SLA政策l 将政策应用到多种技术上,如防火墙、VPN和QoS设备l 接收告警并管理关于网络和设备活动的报告l 保持适当的系统配置i-Control能够使应用与网络流量管理和内容提供基础设施实现直接的互操作。通过i-Control开放的安全通信协议和SOAP/XMLAPI,网络设备能够与应用进行通信,应用可以控制网络,从而避免出现易于出错的过程和人为干预。i-Control能够提供网络产品间安全、加密的互相通信能力,并为无缝应用集成带来了方便,其中包括:l 本地流量管理l 分布于全球的流量管理l 将内容部署到远程服务器上l 管理网络中高
38、速缓存提供的内容版本l 显著减少管理分布式网络所需的资源客户、合作伙伴及第三方集成商都可以使用i-Control软件开发套件(SDK),它具有开放式的SOAP/XML或CORBAAPI。随着i-Control的推出,F5证明了其对制定和采用开放式互联网流量和内容管理标准的支持。通过将i-Control与F5的业界领先iTCM产品相结合使用,可以实施并部署F5的完整互联网控制体系结构,从而增强了7层性能。任何第三方和客户都可以通过i-Control将自己的应用与网络系统集成在一起,从而提供无与伦比的7层性能。F5亚太区i-Control合作开发伙伴北京信诺瑞得信息技术有限公司已经利用i-Cont
39、rol软件开发套件(SDK)开发出了F5设备集中管理平台X-Control。它可以对F5设备进行集中、可视化的管理,主要有以下功能: 设备集中管理:设备的分区域、网络中心等多级管理体系、方便的拖放式设备管理。 可视化设备对象管理:可视化、直观、即时得到对象信息、Enable/Disable选中的对象、鼠标单击进行对象的监控、流量统计及预警。对象监控:实时流量监控(VIP、Pool、节点、设备)、CPU监控、内存使用率监控、定制监控参数、监控图表导出。如图5.4.2所示:图5.4.2X-Control对象监控 监控数据导出:导出流量数据(文本、XML、HTML表格、Excel文档、导出图表、PD
40、F、JPG、GIF等格式)、用户可以根据导出的数据定制个性化报表。 对象预警:实时预警(VIP、Pool、节点、设备)。 配置信息管理:配置备份、配置恢复、配置删除、HA的配置同步、配置激活、回滚、上传/下载。 获取设备信息:查看设备运行的服务、查看设备打开的端口、查看软件产品的详细信息。 控制设备运行的网络服务:方便控制设备运行的各种服务。 查看设备的全局统计信息:查看深入的统计信息、系统流量、运行时间、网络连接、拒绝访问信息等等。自动发现设备:通过网络自动发现F5设备、自动添加发现的设备到设备分级目录。如图4.5所示:图5.4.3X-Control自动发现设备 数据采集:数据采集是将实时监
41、控的数据存储在本地存储介质中。为统计分析提供数据源。 统计报表:对采集的下线数据进行查询及报表输出。5.8系统安全性由于互联网的传播,黑客攻击工具现今十分容易获得,导致针对互联网上的应用服务的攻击日益增加。同时,各种各样的黑客攻击手段层出不穷,攻击手段越来越隐蔽,破坏能力越来越大,危害也日益严重。而拒绝服务攻击一直是安全界迟迟没有解决的一大问题,有的专家认为是网络协议本身的安全缺陷造成的,同时,基本上所有的防火墙在解决拒绝服务攻击上都能力有限,而且很多防火墙或者入侵检测系统反而自己成了拒绝服务攻击的目标。DOS(拒绝服务)攻击即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间
42、、内存、进程甚至网络带宽,从而阻止正常用户的访问。从大家认可这个对拒绝服务攻击的定义,我们看出,其实对网络带宽进行的消耗性攻击只是DOS的一个小部分,只要能够对目标造成麻烦,从而使得某些服务被暂停甚至主机当机,都是DOS。因此,对于安全系统而言,必须在以下三方面进行加强:1加强可靠性。鉴于安全系统产品所处的位置,如果出现因故障而宕机的现象,会影响整个网络的运行,因此,它应该具有双机热备能力和自身抗打击能力,这对高可用环境尤为重要。2进一步提高处理速率。当前对攻击进行的攻击特征模块检测均是基于软件的,为提高处理速度,必须采用硬件构架,借助芯片能力的提升来实现。将来可能会把这些功能全部移植到芯片上
43、,彻底提升效率。3与多种安全产品联动或集成。由于安全体系是一个整体解决方案,因此必须能够通过与各种防病毒、防火墙和IDS等安全技术的联动,在最大范围或程度上防范DoS/DDoS攻击。F5公司是业界领先的L4/L7交换机厂商,在不断完善对各类服务器应用的负载均衡的同时,也逐步在内核中引入安全防御的概念,并且通过F5特有的开放系统(提供i-Controller构架下的API/SDK开发标准),联合业界著名的操作系统厂商、防火墙厂商、防病毒厂商、IDS/IPS厂商、应用服务软件厂商,构筑起围绕服务器为核心的动态攻击防御系统。F5的动态攻击防御系统由五大功能模块构成,相互联动确保系统安全:提高服务器的
44、高可用性提高自身的高可用性网络流量分配应用安全性动态安全策略保护5.8.1提高服务器的高可用性F5在硬件平台上运行的BIG-IP应用流量管理软件可为所有基于IP的应用和Web服务提供原来只有Web应用才能享有的流量管理功能。在任何网络环境下,BIG-IP都能通过其功能强大的通用扩展应用检测EAV和扩展内容检测ECV对服务器进行仔细检测,自动屏蔽故障服务器,以便准确、安全、经济高效地创建和提供所有基于IP的应用或Web服务。当大数据流DoS/DDoS攻击进入的时候,服务器可能由于在瞬间接受超过服务器吞吐能力的数据流而直接导致系统崩溃,甚至导致数据丢失或客户资料遗失。而采用F5的BIG-IP保护服
45、务器,通过EAV/ECV精确探测服务器的处理能力,从而在服务器处理能力饱和之前自动屏蔽新建链接。超过服务器吞吐能力的链接将在F5上处于waiting状态,直至有服务器空闲或TCPtimeout。与此同时,为进一步防止服务器遭受攻击过载,F5利用“i-Control”技术可以帮助服务器通知网络,“此时忙,暂停服务”,然后,网络将停止再向它转发客户请求,而将客户请求继续转发至其它服务器,继续对客户应用请求提供服务。并且,服务器会同时通知3-DNS,这个中心可用服务器数量减少一台,应相应减少对这个中心的客户服务请求量。当这台服务器完成所有数据记录的备份后,服务器又会通知BIG-IP和3-DNS,此时
46、它已恢复正常,可以提供服务。这时,系统又恢复原有的正常状态。在系统的运行过程中,各种各样的变化是不可避免的,靠人工的方法毕竟不是一个灵活的、智能的方式。“i-Control”可帮助系统成为一个“自适应”的系统,使“网络真正感知应用,应用控制网络”。同时,对于所有对外提供应用的服务器,由于有F5提供负载均衡,用户无法直接于服务器联系,必须与F5上建立的虚拟服务器建立链接,所以黑客无法获得服务器的真实地址,增加了黑客攻击的难度。同时,由于虚拟服务器对外只提供应用服务端口,其余端口F5均不响应且直接DropPacket,从而有效地屏蔽了黑客攻击的第一步端口扫描。甚至F5可以将虚拟服务器的ARP响应屏
47、蔽,从而使黑客无法PING通虚拟服务器。由于对外只提供必须的应用端口,因而可以有效地屏蔽第一章常用黑客攻击手段的前四种方式,通过加强对应用服务器的BUG管理可以有效避免黑客利用系统BUG攻击的手段。而对于DoS/DDoS攻击,F5对于常用的几种攻击手段,从内核级就予以屏蔽。5.8.2提高自身的高可用性如前所述,DoS攻击主要是利用现有系统对外提供的正常业务服务,通过发送大量的非法数据流来达到阻止业务服务的目的。为了抵御DoS攻击,首先必须大力提升系统自身的吞吐能力,至少必须大于可能的DoS能力,否则尽管系统能够抵御攻击,但性能无法满足,同样无法在攻击下保证正常业务,从而使黑客间接达到攻击目的。为此,F5通过多年的研发推出精心打造的全新体系构架,大为提升L4/L7的吞吐性能,远远领先业界其他竞争对手,具体测试数据如图4.6、4.7所示:图4.6第三方测试L4Se