F5金融行业解决方案

　　作者: 佚名, 　出处:安全新客站,　责任编辑: 郭秋爽,　 2008-06-03 17:05

　　本文介绍了F5面对保险公司负载均衡问题的解决方案。

　　项目概况：

　　· BIGIP为该集团所有生产系统以及网上业务系统提供应用负载功能

　　· 集团通过旗下各专业子公司共为3,700多万名个人客户及约200万名公司客户提供了保险保障、投资理财等各项金融服务。公司拥有20多万名销售人员及近4万名正式雇员，各级各类分支机构及营销服务部门3,000多个

　　· 集团内部包括有超过150个应用系统，应用系统之间有各种不同关联，需要在应用层处理上满足各种关联的处理流程

　　· 集团内部的应用系统架设在不同的应用平台上，包括有Windows、Linux，Weblogic、Websphare等，需要在跨平台的支持上满足各种灵活的处理方式

　　· 集团的应用系统全部为生产系统或网上业务系统，因此要求要对通信进行较高的加密处理和严格的证书处理

　　典型网络结构：

　　客户需求：

　　· 需要满足针对各种应用平台的深层次应用处理和健康检查，包括有Weblogic和Websphare，以及微软的AppCenter

　　· 需要支持各种形式的SSL加密处理以及证书处理，包括证书的透传等细节处理

　　· 需要满足针对应用的细节选择处理，包括根据不同的应用条件选择相应的应用服务器进行数据处理

　　· 需要满足各种会话保持要求，特别是根据应用条件的会话保持以及根据Cookie信息的会话保持处理

　　· 要保证高可用性，包括在发生应用切换时候的会话处理能力

　　· 要能支持高性能，支持数百万级的并发连接处理和十万级的新建会话处理。

　　· 要有高扩展性，能灵活增加新的处理设备

　　· 要满足无缝整合，能在任何时候部署新的设备，不影响应用的持续性

　　· 方案在将来有很好的扩展性，还可以灵活增加新的应用系统而不涉及内部改动

　　· 要能实现分布式部署，并且能进行统一规划，统一管理

　　· 要求方案设计简单，容易部署。

　　F5的解决方案：

　　· 使用多台BIGIP LTM来实现应用负载均衡，分别处理不同层面的应用系统

　　· 使用iRules来进行细节应用处理，凡是满足某种应用条件的数据包，都根据要求分配到相应的应用服务器进行相关处理

　　· 使用高级应用健康检查机制(EAV、ECV)来与各种不同的内部应用平台沟通，真正保证应用健康检查的准确性

　　· 使用BIGIP内部的SSL加速芯片来提供对基于SSL加密通道通信的高性能处理，并且通过F5的iRules实现各种证书内容的透传处理

　　· 使用基于Cooike信息的会话保持机制，来保证应用访问的完整性

　　· 通过iControl接口与内部网络管理系统进行结合，实现统一管理

　　· 通过Oneconnect功能实现连接优化，提升服务器的处理能力

　　为什么选择F5：

　　· 高效灵活的应用处理能力，通过iRules，可以根据应用的各种细节需求进行动静态的处理

　　· 稳定可靠的会话保持机制，通过基于Cookie信息的会话保持方式，能保证即使从同一台应用代理发出的多种应用访问，也能进行区分并实现应用会话自此至终在同一台应用服务器上完成

　　· 准确的高级应用健康检查，F5可以模拟客户端向服务器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态，并且可以使用shellscript或perl 语言等嵌入程序执行EAV，对服务器进行多层步骤、复杂的健康检查，从而准确定位服务器的工作状态

　　· 超强的SSL处理能力和全面的证书透传处理能力，可以通过F5内部的高性能SSL加解密芯片，来处理从客户端发送过来的大量SSL请求，将这些请求进行解密后，再以HTTP方式发送到后台的服务器，以节省服务器的CPU资源

　　· 高可用性的保证，F5采用自行设计的高速切换方式，现在最短的已经可以达到200ms的切换速度。并且在两台设备之间对数据流的状态信息进行复制，保证在切换后用户端和服务器端感觉不到切换，从而保证应用的持续运行。

　　关键技术阐述：

　　· 通过iRules来进行深层应用的灵活处理

　　所有F5设备的底层均由TM/OS实现，在其基础之上，是一个基于数据流技术的通用检查引擎(UIE)。构建在对所有数据流内容的理解上，设计了与安全、优化和交付相关的所有模块。这些模块的配置均通过Profile进行，Profile按照对象建模方式可以继承、修改。在所有配置的顶端，由iRules对整个系统的运行进行可编程控制。在iRules语法结构中，可以使用50多个事件，200多个函数，可以实现丰富而灵活的功能

　　· 通过SSL加速芯片来进行加密通信处理

　　由于网络通讯的安全性和保密性的要求，许多关键业务必须通过HTTPS方式进行访问，将明文方式传输的HTTP请求和回应包含在SSL通道中。同时，通过证书体系或动态口令方式对服务器和客户端进行唯一性验证。由于SSL在带来应用安全性的同时，将会给服务器带来巨大的负担，因此在这类应用中，F5将会启用设备本身的SSL加速功能，通过硬件SSL处理芯片对SSL通信进行加解密处理，从而卸载服务器的处理能力，保证应用的安全，稳定运行。

　　· 基于Cookie信息的会话保持机制

　　Cookie持续性利用客户机存储的cookie信息来把客户机连接到合适的服务器上。F5提供4种不同的Cookie持续性模式以适应任何应用的要求：重写模式、插入模式、被动模式和散列模式。

　　· 健康检查方法

　　BIGIP支持采用ICMP，TCP/UDP，ECV，EAV，iControl等各种方法对服务器或应用状态进行健康检查。

　　·ICMP：第2/3层的健康检查方法，采用Ping的方法检查服务器是否alive。

　　·TCP/UDP：第4层的健康检查方法，检查相应的TCP/UDP端口是否激活来确定Service的状态。

　　·ECV：扩展内容验证，第7层的健康检查方法。模拟客户端向服务器发出请求，检查接收数据中是否含有期望的字符串来确定应用的状态。

　　·EAV：扩展应用验证，嵌入式、个性化的健康检查方法。可以使用shell script或perl 语言等嵌入程序执行EAV，对服务器进行多层步骤、复杂的健康检查。