5. 自身的高可用性
如前所述,DoS攻击主要是利用现有系统对外提供的正常业务服务,通过发送大量的非法数据流来达到阻止业务服务的目的。为了抵御DoS攻击,首先必须大力提升系统自身的吞吐能力,至少必须大于可能的DoS能力,否则尽管系统能够抵御攻击,但性能无法满足,同样无法在攻击下保证正常业务,从而使黑客间接达到攻击目的。为此,F5通过多年的研发推出精心打造的全新体系构架,大为提升L4/L7的吞吐性能。
随着企业部署更多的应用(从CRM到ERP系统),应用流量管理产品必须能够支持庞大的且不断增加的流量。BIG-IP可以做到。它提供了其它解决方案无法企及的强大处理能力,能够深层检查流量。与分布式体系结构不同的是,BIG-IP可以随时将其全部处理能力集中应用于任何端口,以制定最佳决策。
如此强劲的处理能力,确保了F5在一般的攻击下仍然能够顺利地完成负载均衡的工作。当然,也会出现攻击 的流量大于F5的处理能力的情况,如果是其他设备可能均会发生系统崩溃,甚至是导致网络崩溃。而F5的内核采用独有的Reaper功能,内置的DoS 监控程序会自动实时检测整个系统的CPU/Memory利用率,如果超过低阀值(Low WaterMark)则自动随意丢弃新建链接,如果达到高阀值(High WaterMark )系统将丢弃所有的新建链接,将所有的攻击屏蔽,以达到保护自身系统的效果,等待CPU/Memory利用率下降或攻击流下降时再开启新链接。
下图就是F5在遭受大量DoS攻击下CPU/Memory的实时记录图表,可以看到,由于拥有Reaper技术,防止了F5自身在大量攻击下发生崩溃的情况。
第 21 页 / 共41页
第 22 页 / 共41页
6. 强大的SSL加速能力
当XXXX的关键应用通过互联网进行部署时,需要采用SSL来提高应用的安全性。而SSL流量的快速增重,往往会使服务器的CPU不堪重负。F5 BIG-IP应用交换机集成了硬件SSL加速处理能力,使XXXX能够有效地管理通过SSL提供的企业应用,并进行先进的智能流量管理检查。从而,提供了更强大的性能,并降低了实施安全应用的成本。
F5 BIG-IP应用交换机对SSL会话第一阶段的非对称加密和第二阶段的对称加密都实现了硬件加速,真正卸载CPU处理SSL加密解密的带来的沉重负担。通过iRule提供的强大编程处理能力,F5 BIG-IP应用交换机还可以实现对应用内容有选择性的加密。
同时,F5的BIG-IP应用交换机具有支持三级证书,双向证书认证,CRL自动下载,证书信息透传后台应用服务器等功能特色。
BIG-IP应用交换机在基本配置中已经包含了100TPS的SSL加速处理能力。通过购买附加的License可以将额外SSL的加速处理能力在BIG-IP应用交换机上激活。最大可以支持15, 000 TPS, 2G Bulk加解密处理能力,足以满足XXXX业务需求和一定时期内的发展。
第 23 页 / 共41页
7. 灵活而有效的HTTP压缩功能
广域网访问的网络延时与带宽瓶颈经常给用户的WEB应用的正常访问带来不便,通过在F5 BIG-IP应用交换机上启用HTTP压缩功能,可以带来以下好处: ? 更快的页面下载速度;
? 更小的带宽消耗(支持广泛数据类型的压缩:例如HTTP, XML, Javascript, J2EE
applications and many others),启用带宽压缩所带来的带宽节省可以达到80%。 ? 客户端自适应的压缩处理能力(技术专利):F5 BIG-IP应用交换机可以通过探测到客户端
的Round Trip Time来识别用户是通过宽带还是窄带方式上网,然后决定是否要对该用户启用HTTP压缩功能。
? 对用户完全透明,不需要在客户端安装程序:F5 BIG-IP应用交换机采用的压缩算法是
目前常用WEB浏览器广泛支持的GZIP和Deflate算法,因此对用户完全透明,不需要预先安装客户端解压程序。
第 24 页 / 共41页
8. Stateful Fail Over 技术
F5 Networks 公司的产品是业界唯一的可以达到ms级切换的产品,而且设计极为合理,所有会话通过Active 的设备的同时,会把会话信息通过同步数据线同步到Backup的设备上,保证在Backup 设备内也有所有的用户访问会话信息;另外每台设备中的watchdog芯片通过心跳线监控对方设备的电频,当Active设备发生故障时, watchdog会首先发现,并通知Backup 设备接管Shared IP,VIP等,完成A=>B的切换过程,因为Backup设备中有事先同步好的会话信息,所以可以保持访问的畅通和在线会话的数据。
第 25 页 / 共41页