科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道F5金融行业解决方案

F5金融行业解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

作者: 佚名,  出处:安全新客站, 责任编辑: 郭秋爽,  2008-06-03 17:05  本文介绍了F5面对保险公司负载均衡问题的解决方案。· 使用BIGIP内部的SSL加速芯片来提供对基于SSL加密通道通信的高性能处理,并且通过F5的iRules实现各种证书内容的透传处理 

作者:佚名 来源:SohuIT 2008年6月4日

关键字: 服务器 SSL 会话

  • 评论
  • 分享微博
  • 分享邮件

  作者: 佚名,  出处:安全新客站, 责任编辑: 郭秋爽,  2008-06-03 17:05



  本文介绍了F5面对保险公司负载均衡问题的解决方案。



  项目概况:



  · BIGIP为该集团所有生产系统以及网上业务系统提供应用负载功能



  · 集团通过旗下各专业子公司共为3,700多万名个人客户及约200万名公司客户提供了保险保障、投资理财等各项金融服务。公司拥有20多万名销售人员及近4万名正式雇员,各级各类分支机构及营销服务部门3,000多个



  · 集团内部包括有超过150个应用系统,应用系统之间有各种不同关联,需要在应用层处理上满足各种关联的处理流程



  · 集团内部的应用系统架设在不同的应用平台上,包括有Windows、Linux,Weblogic、Websphare等,需要在跨平台的支持上满足各种灵活的处理方式



  · 集团的应用系统全部为生产系统或网上业务系统,因此要求要对通信进行较高的加密处理和严格的证书处理



  典型网络结构:



  



  



  



  客户需求:



  · 需要满足针对各种应用平台的深层次应用处理和健康检查,包括有Weblogic和Websphare,以及微软的AppCenter



  · 需要支持各种形式的SSL加密处理以及证书处理,包括证书的透传等细节处理



  · 需要满足针对应用的细节选择处理,包括根据不同的应用条件选择相应的应用服务器进行数据处理



  · 需要满足各种会话保持要求,特别是根据应用条件的会话保持以及根据Cookie信息的会话保持处理



  · 要保证高可用性,包括在发生应用切换时候的会话处理能力



  · 要能支持高性能,支持数百万级的并发连接处理和十万级的新建会话处理。



  · 要有高扩展性,能灵活增加新的处理设备



  · 要满足无缝整合,能在任何时候部署新的设备,不影响应用的持续性



  · 方案在将来有很好的扩展性,还可以灵活增加新的应用系统而不涉及内部改动



  · 要能实现分布式部署,并且能进行统一规划,统一管理



  · 要求方案设计简单,容易部署。



  F5的解决方案:



  · 使用多台BIGIP LTM来实现应用负载均衡,分别处理不同层面的应用系统



  · 使用iRules来进行细节应用处理,凡是满足某种应用条件的数据包,都根据要求分配到相应的应用服务器进行相关处理



  · 使用高级应用健康检查机制(EAV、ECV)来与各种不同的内部应用平台沟通,真正保证应用健康检查的准确性



  · 使用BIGIP内部的SSL加速芯片来提供对基于SSL加密通道通信的高性能处理,并且通过F5的iRules实现各种证书内容的透传处理



  · 使用基于Cooike信息的会话保持机制,来保证应用访问的完整性



  · 通过iControl接口与内部网络管理系统进行结合,实现统一管理



  · 通过Oneconnect功能实现连接优化,提升服务器的处理能力



  为什么选择F5:



  · 高效灵活的应用处理能力,通过iRules,可以根据应用的各种细节需求进行动静态的处理



  · 稳定可靠的会话保持机制,通过基于Cookie信息的会话保持方式,能保证即使从同一台应用代理发出的多种应用访问,也能进行区分并实现应用会话自此至终在同一台应用服务器上完成



  · 准确的高级应用健康检查,F5可以模拟客户端向服务器发出请求,检查接收数据中是否含有期望的字符串来确定应用的状态,并且可以使用shellscript或perl 语言等嵌入程序执行EAV,对服务器进行多层步骤、复杂的健康检查,从而准确定位服务器的工作状态



  · 超强的SSL处理能力和全面的证书透传处理能力,可以通过F5内部的高性能SSL加解密芯片,来处理从客户端发送过来的大量SSL请求,将这些请求进行解密后,再以HTTP方式发送到后台的服务器,以节省服务器的CPU资源



  · 高可用性的保证,F5采用自行设计的高速切换方式,现在最短的已经可以达到200ms的切换速度。并且在两台设备之间对数据流的状态信息进行复制,保证在切换后用户端和服务器端感觉不到切换,从而保证应用的持续运行。



  关键技术阐述:



  · 通过iRules来进行深层应用的灵活处理



  所有F5设备的底层均由TM/OS实现,在其基础之上,是一个基于数据流技术的通用检查引擎(UIE)。构建在对所有数据流内容的理解上,设计了与安全、优化和交付相关的所有模块。这些模块的配置均通过Profile进行,Profile按照对象建模方式可以继承、修改。在所有配置的顶端,由iRules对整个系统的运行进行可编程控制。在iRules语法结构中,可以使用50多个事件,200多个函数,可以实现丰富而灵活的功能



  · 通过SSL加速芯片来进行加密通信处理



  由于网络通讯的安全性和保密性的要求,许多关键业务必须通过HTTPS方式进行访问,将明文方式传输的HTTP请求和回应包含在SSL通道中。同时,通过证书体系或动态口令方式对服务器和客户端进行唯一性验证。由于SSL在带来应用安全性的同时,将会给服务器带来巨大的负担,因此在这类应用中,F5将会启用设备本身的SSL加速功能,通过硬件SSL处理芯片对SSL通信进行加解密处理,从而卸载服务器的处理能力,保证应用的安全,稳定运行。



  · 基于Cookie信息的会话保持机制



  Cookie持续性利用客户机存储的cookie信息来把客户机连接到合适的服务器上。F5提供4种不同的Cookie持续性模式以适应任何应用的要求:重写模式、插入模式、被动模式和散列模式。



  · 健康检查方法



  BIGIP支持采用ICMP,TCP/UDP,ECV,EAV,iControl等各种方法对服务器或应用状态进行健康检查。



  ·ICMP:第2/3层的健康检查方法,采用Ping的方法检查服务器是否alive。



  ·TCP/UDP:第4层的健康检查方法,检查相应的TCP/UDP端口是否激活来确定Service的状态。



  ·ECV:扩展内容验证,第7层的健康检查方法。模拟客户端向服务器发出请求,检查接收数据中是否含有期望的字符串来确定应用的状态。



  ·EAV:扩展应用验证,嵌入式、个性化的健康检查方法。可以使用shell script或perl 语言等嵌入程序执行EAV,对服务器进行多层步骤、复杂的健康检查。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章