求目标服务器服务时,BIG-IP LTM根椐目标服务器之间性能和网络健康情况,选择性能最佳的服务器响应用户的请求。如果能够充分利用所有的服务器资源,将所有流量均衡的分配到各个服务器,我们就可以有效地避免“不平衡”现象的发生。
应用虚拟化带来的好处:
? 实时监控服务器应用系统的状态,并智能屏蔽故障应用系统 ? 实现多台服务器的负载均衡,提升系统的可靠性
? 可以监控和同步服务器提供的内容,确保客户获取到准确可靠的内容 ? 提供服务器在线维护和调试的手段
1.7 网上银行应用优化 1.7.1
网上银行SSL加速
目前,所有的网上银行在交易部分,均采用SSL连接方式,实现端到端的数据加密传输。在SSL处理过程中,所有的传输内容均采用加密算法处理。其中最重要的两个部分为SSL握手时交换密钥的非对称加密和数据传输时的对称加密。
在现有的系统中,通常非对称加密采用1024位的密钥进行加解密,因此对服务器的CPU占用率非常高。在一台新型号的双Xeon CPU服务器上,大约每秒钟400次非对称加解密就能导致CPU占用率100%。同时对称加密通常采用128位,最高256位加密的加解密也会导致服务器CPU占用率居高不下,同样的服务器SSL流量大约能达到150Mbps。因此当我们在部署SSL应用时,必须考虑到以下参数:
? TPS:Transection Per Second,也就是每秒钟完成的非对称加解密
第 16 页 共 23 页
次数
? Bulk:SSL对称加解密的吞吐能力,通常以Mbps来进行衡量。
当SSL的客户端压力超过400TPS时,单台服务器就很难处理请求了。因此,必须采用SSL加速设备来进行处理。
BIG-IP LTM系列可从最低2000TPS到200,000TPS实现全硬件处理SSL非对称加密和对称加密流量。其实现的结构如下:
所有的SSL流量均在BIG-IP上终结,BIG-IP与服务器之间可采用HTTP或者弱加密的SSL进行通讯。这样,就极大的减小了服务器端对HTTPS处理的压力,可将服务器的处理能力释放出来,更加专注的处理业务逻辑。
在BIG-IP可处理单向SSL连接,双向SSL连接,客户端证书认证等。并且可同时处理多种类型和多个应用的SSL加解密处理。
由于采用了独立的安全芯片使用硬件加速SSL流量,基本上对于SSL的流量可实现“零”CPU占用率。
第 17 页 共 23 页
1.7.2 网上银行Web 应用加速
目前基本上所有的网上银行系统都是按照全动态的方式进行编写,后台服务主要以IBM WebSphere和BEA WebLogic为主。全动态系统带来的优点是反应迅速,在资讯和功能发布后立即得到展现,但存在性能差、对大用户访问量难于应付的缺点。
针对网上银行的应用系统特点,Web 应用加速主要从以下几个方面进行:
? 动态静态内容分离
在网上银行的业务中,实际上存在有大量的相对静态内容,例如图片、CSS和JavaScript等。通过WA强大的Policy配置功能,F5可以和网站开发人员一同,设置适当的策略,对相对静态的内容进行分离。也可以通过WA 的IBR智能引擎,对动静内容进行自动分离,将分离后的相对静态内容进行客户端和服务器端Cache处理。
? 动态页面压缩
对于网上银行系统来说,所有的交易均通过动态页面进行。用户的账号、余额以及其他很多信息,都是全动态的内容,对于这些无法进行缓存的内容,WA可以将其进行压缩处理,对服务器的返回内容进行压缩,然后由客户端进行解压缩处理。这样,就减小了在广域网上的数据传输量。通常情况下,一个100k的动态页面经过压缩处理后,可以达到20k的压缩后大小。对于这部分的流量,则可以节省80%的网络带宽占用,同时提高了客户端的页面打开速度。
? 静态内容缓存
在进行了动静内容分离后,对于相对静态内容,WA 就可以通过IBR技术实现客户端缓存。客户端缓存的最大优点就是静态内容都保存在客户端,因此对于此部分内容,客户端无需再到网站进行再次请求。从而减小了网络带宽占用,并且,由于大部分的内容从客户端硬盘直接调入浏览器,大大的加快了客户端的页面访问速度。同时,WA也可以在自身硬盘上进行内容缓存,减小后台
第 18 页 共 23 页
服务器压力。
? 动态页面缓存
在网上银行的实际处理中,有大部分的所谓动态页面实际上也是属于相对静态的内容,这些内容的变化通常是根据动态页面的不同查询参数而决定的。对于同一个动态页面,同样的参数即返回同样的内容。这些内容最典型的就是在网上银行的资讯类内容。对于同一个栏目,基本上都是采用同一个动态页面进行呈现,只是通过其中的查询参数不同而显示出不同的页面,比如http://www.adntech.com/info.jsp?id=123
和
http://www.adntech.com/info.jsp?id=124就是两条资讯的连接。当用户访问这些资讯的时候,应用服务器每次都需要到后台数据库进行一次id查询,以获得资讯的内容。WA通过UCI(Unified Content Identification)功能,可以将这些指定的页面按照其查询参数进行一定时间缓存。这样,当不同的用户按照同样的查询参数请求动态页面的时候,WA可以直接返回页面内容,而不是将请求转发到后台服务器进行一次完整的数据库查询。这样,就减小了后台数据库的查询压力,提高系统的整体响应速度。同时,还可以避免一些动态页面查询攻击给网上银行系统带来的潜在风险。
1.8 网上银行的大客户虚拟专线接入
在网上银行的实际业务中,针对大客户服务,通常是有专用的服务器、应用系统和接入方式来保障大客户的银行业务操作。在传统方式下,这些接入较多采用点到点专线方式进行接入。即在客户的数据中心到银行的大客户统一接入点直接开通一条专线,使客户端可以直接到达银行内部网络。这样的优点是稳定、数据传输安全。但缺点也非常明显,费用比较昂贵,而且维护的费用更加高昂。
第 19 页 共 23 页
F5通过SAM安全接入网关,可以有效的降低这种建设和维护费用。SAM使用SSL通道技术,在客户端和银行接入端建立一个安全通道,通道的建立基于互联网基础上,但是通过强有力的SSL加密通讯机制,保证了端到端的数据传输安全。在这个安全通道内,可以运行任何基于IP协议的应用。同时,SAM还具备客户端SDK开发包,因此在采用专用客户端软件的时候,可以将SSL VPN客户端编译到专用客户端软件内。从而更加方便用户使用。同时进一步加强了应用的安全性。
1.9 网上银行Web应用安全
由于网上银行业务是针对互联网服务的,位于完全开放式的环境中。因此,其安全性显得尤其重要。网上银行本身的安全性可以用一个非常庞大的体系来完成,在简短的篇幅中也无法进行详尽描述。本书从应用交付网络的角度,来分析一下网上银行的安全体系建设。
1.9.1 网络层安全
在网络安全层面上,F5 应用交付网络的核心设备BIG-IP LTM主要通过两个手段来实现网络层安全。
Hardware SynCookie:在BIG-IP LTM 8400以上平台具备有PVA 10芯片。通过PVA 10可以实现硬件SynCookie计算功能,每秒可以计算数百万次上的SynCookie。这样,所有的Syn攻击都会被抵挡在BIG-IP LTM之外,并且不消耗BIG-IP的CPU资源,因此,BIG-IP 可以在防范每秒钟数百万次的Syn攻击
第 20 页 共 23 页