交付:最大可靠性和可扩充性
BIG-IP通过提供业内领先的第7层智能特性消除了单点故障,并实现了网络与应用的虚拟化。这样可确保所有站点始终保持正常运行,并使其更具可扩充性和更易于管理。
应用状态检查
BIG-IP提供了复杂的监视器来检查设备、应用和内容的可用性,其中包括支持许多应用的专用监视器(包括各种应用服务器、SQL、SIP、LDAP和、XML/SOAP等)以及用以检查内容和模拟应用呼叫的监视器。此外,BIG-IP还能对共享服务器上的应用进行有效管理,并前瞻性地报告其状态。
高可用性及交易保证
BIG-IP可提供次秒级系统故障切换和广泛的连接镜像,从而帮助用户出色地解决各种类型的系统、服务器或应用故障。同时,它还能前瞻性地检查并对任何服务器或应用错误即时作出响应,从而帮助企业在降低系统负载的同时,获得出色的可靠性。
全面的负载均衡
BIG-IP采用多种静态和动态负载均衡方法(包括动态比率、最小连接和观测负载均衡),可跟踪一组服务器的动态性能级别,从而确保可始终选中最佳资源以改进性能。
智能应用交换
由于BIG-IP可读取所有IP应用,所以它能够基于特定厂商的应用服务器(BEA、微软、IBM、Oracle、SUN等)信息、Web服务应用中的XML数据或移动/无线应用的设备值来实现持续性。凭借iRules的深度分组检验能力和BIG-IP的交换特性、日志记录特性以及有效载荷或流持续性,企业可以为其所有应用获得更高的可靠性和可扩充性。
完善的IPv6网关
所有企业都需要制定一套明晰的无缝演进战略,以分阶段进行网络移植,以支持不断增长的IPv6需求。
通过IPv6网关模块,BIG-IP提供了完整的v4与v6网络间IP转换与负载均衡能力。这使得用户移值和混和IPv4与IPv6主机资源的共享更易于管理,同时也更为经济高效。
优化:降低基础设施成本和加速应用
BIG-IP卓越的智能特性为企业提供了一款强大的解决方案,可帮助它们提高应用性能、增加现有基础设施的容量、降低基础设施成本和加速其应用。
广域网(WAN)优化和应用加速
BIG-IP提供了一套有针对性的方法来减少流量,降低互联网延迟和客户机连接瓶颈对其应用性能所造成的影响。通过智能压缩等先进特性,BIG-IP可支持对各种文件类型的压缩(如HTTP、XML、Javascript、J2EE应用等),从而在将带宽利用率降低80%的同时,将应用性能提高了3倍。
确保关键应用性能
BIG-IP灵活的第7层带宽管理能力可使企业对带宽进行有效管理,以确保高优先级应用能够得到按时交付。同时,它还提供了定制控制能力,以设定基于应用的带宽限制(容许的带宽峰值),甚至还能在应用之间建立队列关系。
增加服务器容量,提高站点响应性
BIG-IP可提供广泛的连接管理以及TCP和内容卸载能力,以优化服务器性能,显著提高页面加载速度。例如,BIG-IP的OneConnectTCM能通过将数百万条客户机请求汇聚到成百上千个服务器端连接中将服务器容量增加60%,从而确保了后端系统能够高效地处理这些请求。 通过其它优化技术(比如内容缓冲(content
spooling)),BIG-IP可充当―中间人‖来优化与任何端点之间的通信,使服务器能够更有效地处理其工作负载,从而提高通过BIG-IP运行的任何应用的服务器容量。
加密无所不在
作为领先的SSL加速解决方案,BIG-IP提供了惊人的SSL处理扩充性,持续SSL吞吐率可达2Gbs。通过加速批量加密和设置加密,企业可使用更安全的加密方法将其全部通信移植到SSL上,同时不会对应用性能带来任何影响。
内容转换
BIG-IP提供了一款完善的解决方案,可将许多繁重或重复功能卸载至一个集中管理的大功率网络设备上。除了SSL、压缩和其它许多功能外,BIG-IP还提供了一个完整的内容转换网关,可对应用内容进行重新引导、插入或进行整体转换,从而实现有效的应用集成。
第 31 页 / 共41页
安全:更高的攻击防护
这种防护不仅可以阻止攻击,同时还可以为合法用户提供即时服务。从这两方面来看,BIG-IP均提供了一整套安全服务,在提高网络和应用的安全性方面扮演了日益重要的角色。从增强网络和协议级安全性到过滤应用攻击,BIG-IP都可以部署在关键网关上,来出色的保护您的珍贵资源:运行业务的应用。
? 支持更高标准的AES(高级SSL加密标准)算法,采支持应用安全性
?
资源隐藏——BIG-IP将全部应用、服务器错误代码和
真实URL地址进行虚拟化并隐藏,因为这些信息可能会给黑客提供攻击其基础设施、服务以及相关漏洞的线索。
定制应用攻击过滤—BIG-IP的完整检查能力及基于事件的规则提供了一项强大的能力,可搜索并应用各种规则来阻止L7层攻击——同时也可以定义策略来阻止特定访问或禁止某些命令的执行。此外,BIG-IP在为合法用户持续提供流量的同时,还可提供其它安全保护层,以防范黑客、病毒和蠕虫的攻击(如红色代码蠕虫)
集中认证——BIG-IP可作为各种流量类型的认证代理,使企业能够为BIG-IP系统上的应用提供最高级的认证。这种功能使各类应用又多了一道远离自身的网络安全防线,为其Web和应用层提供了进一步的保护。
用市场上最安全的SSL加密技术,无需额外处理成本。
内容保护——防止企业的敏感文件或内容遗留在站点上。
?
?
防御海量攻击
BIG-IP包含丰富的安全特性集,可全面防御拒绝服务
(DoS)攻击、同步攻击(SYN Flood)、和其他基于网络的攻击。诸如SYNCheck等特性可为部署在BIG-IP设备后的服务器提供全面的同步攻击(SYN Flood)保护。此时,BIG-IP作为安全代理,来有效地保护整个网络。与Dynamic Reaping特性相结合,BIG-IP设备可安全地过滤海量攻击,同时为合法连接用户提供不间断的服务。
?
避免协议攻击
BIG-IP提供了―协议无害处理‖(Protocol Sanitization)和―充分TCP终止‖(Full TCP Termination)点来单独管理客户机和服务器端连接,以保护所有后端系统和应用免遭恶意攻击。
增加关键内容保护
?
提供行业内最具选择性的加密方法,来对数据进行整体、部分或有条件地加密。这种精细的控制方法可保护并优化不同环境下的通信。
Cookies加密和其它令牌都透明地分配给合法用户。企业可获得全部状态应用(电子商务、CRP、ERP和其它关键业务应用等)出色的安全性和更高一级的用户身份信任。
防火墙——包过滤
现在,BIG-IP集成了一个控制点来定义并执行基于第4层的过滤规则(基于PCAP,与网络防火墙类似),以提高网络保护能力。
?
第 32 页 / 共41页
BIG-IP的性能及可靠性
创新的性能
BIG-IP提供了业内最快速的应用流量管理方案,其特别设计的体系结构将高性能交换结构与一流SSL和第4层硬件优化完美结合一起,以彻底卸载系统CPU。BIG-IP确保了各项功能均可达到其真实性能,并能够以网络速度进行深层次分组检查。
手工操作。经扩展后,iControl现在已可支持真正的发布/订阅模式。这一模式大大降低了网络开销,改善了通过iControl接口与BIG-IP相集成的应用的性能。对于大多数应用而言,该模式能够显著降低客户机和服务器的网络带宽与处理时间。
网络
支持STP、MSTP、RSTP 链路聚合 VLAN标记 Qos/ToS
第三方MIB支持:全部默认Net-SNMP
系统HA和管理
BIG-IP通过多重启动、―热‖升级、无人值守管理等关键特性改善了系统管理。
作为一款高可用性设备,BIG-IP还提供了对于―HA表‖下所有处理器状态无可比拟的可见性。
BIG-IP——扩充、安全和优化:
Apache
BEA WebLogic
Check Point VPN-1/FireWall-1
Citrix Metaframe Presentation Server HP OpenView
Lotus/Domino Notes servers IBM WebSphere Oracle:
– 9i Application Server – 10g Application Server – E-Business Suite 11i – Collaboration Suite. 微软:
– Application Center – Commerce Server – Exchange Sever
– Outlook Web Access
– Windows Terminal Services – SharePoint Portal Server
– Internet Information Services (IIS) – Live Communications Server – SQL Server
– Microsoft Operations Manager – Mobile Information Server
– Internet Security and Acceleration Server – Visual Studio .NET
Siebel eBusiness Applications PeopleSoft Enterprise Macromedia ColdFusion Trend Micro InterScan
Mercury Business Availability Center SAP mySAP Business Suite Netegrity SiteMinder
webMethods Enterprise Services Platform Tivoli Access Manager RSA SecureID
RealNetworks RealSystem Servers Sun iPlanet Servers ...更多
全新图形用户界面和简化的管理
先进的全新图形用户界面极大地简化了产品配置,降低了设置和维护成本上升。
基于―简档‖(Profile)的配置
全新的简档对象(Profile Object)使企业用户可创建应用于不同资源的流量行为模板,从而减少重复操作并提供一致的设置修改方法。
提高可见性
BIG-IP能够提供详尽的流量统计数据(全局范围或基于每个对象),以帮助企业更好的监控全部活动和资源。
丰富的用户界面
BIG-IP全新的图形用户界面提供了多项可用性增强特性(通过一个安全的、基于SSL浏览器的接口提供),其中包括在线帮助、搜索与分类、在线创建等,大大降低了用于配置的设置与维护时间。
iControl—创建面向应用的网络
F5的iControlTMAPI与SDK帮助实现了第三方应用和BIG-IP之间的自动通信,从而消除了繁琐的
第 33 页 / 共41页
可用的插件模块
智能压缩模块
使用工业标准的GZIP和Deflate压缩算法来压缩HTTP流量;降低带宽消耗、缩短最终用户在慢速/低带宽连接条件下的下载时间。
SSL加速模块
在关键业务在线交易期间提供安全、速度和流量管理的同时,显著改善服务器性能。BIG-IP6800可支持高达20,000个SSL TPS,所有BIP-IP系统均包含100个TPS许可证。
第7层带宽管理模块
通过为高优先级应用分配带宽,确保获得最佳应用性能;基于第4层或第7层参数来控制峰值流量并确定流量优先级。
先进的客户认证模块
允许BIG-IP提供到LDAP、Radius、TACAS和其它集中认证设备的顶级HTTP和其它流量类型的客户机认证。
IPv6网关模块
提供v4和v6网络之间完全的IP转换与负载均衡能力,使用户移植和混和IPv4与IPv6主机资源的共享更易于管理,也更为经济高效。
路由模块
针对BGP、RIP和OSPF提供不同的网络路由模块。
订购信息
BIG-IP本地流量管理器有以下四款规格:更多的软件模块可按您的实际需要快速添加。
6800系列——
超级多用途流量管理 处理器:双CPU 基本内存:2GB
ASIC:Packet Velocity ASIC2
千兆位CU端口:16个 千兆位光纤端口:(SFP - GBIC Mini)4个(2个标准、2个可选) 包括:SSL TPS/Max TPS/Bulk 加速模块:
(100/20,000/2GB/秒) 流量吞吐量:4GB/秒 可选硬件设备:硬件压缩*(2GB/秒)
6400系列——
高级多用途流量管理 处理器:双CPU 基本内存:2GB
ASIC:Packet Velocity ASIC2
千兆位CU端口:16个 千兆位光纤端口:(SFP - GBIC Mini)4个(2个标准、2个可选) 包括:SSL TPS/Max TPS/Bulk 加速模块:
(100/15,000/2GB/秒) 流量吞吐量:2GB/秒 可选硬件设备:硬件压缩*(2GB/秒) FIPS处理**
3400系列——
中级多用途流量管理 处理器:单CPU 基本内存:1GB
ASIC:Packet Velocity ASIC2
千兆位CU端口:8个 千兆位光纤端口:(SFP - GBIC Mini)2个可选 包括:SSL TPS/Max TPS/Bulk 加速模块:
(100/5,000/1GB/秒) 流量吞吐量:1GB/秒
1500系列——
普通多用途流量管理 处理器:单CPU 基本内存:768MB ASIC:无
千兆位CU端口:2个
千兆位光纤端口:2个可选
包括:SSL TPS/Max TPS/Bulk 加速模块:
(100/2,500 MB/秒) 流量吞吐量:500MB/秒
*业内第一款硬件压缩ASIC,集中流量压缩处理,提高服务器容量多达20%,同时加快了对终端用户的应用响应,并降低成本。
**FIPS141-2 二级认证处理通过将SSL密钥存贮到硬件安全模块中,增强了SSL密钥的安全性。防止企业的敏感文件或内容遗留在站点上。
上海联通业务网站应用交付优化设计方案建议
4.2 BIGIP可选模块
目前F5 BIG-IP交换机在基本模块的基础上,可以扩展支持以下模块: ? SSL加速处理(SSL) ? 动态智能压缩(CMP) ? 内存缓存功能(Cache) ? 7层的带宽管理功能(RS) ? 带宽高级客户认证(ACA) ? IP v6网关 ? 高级路由模块
1. SSL加速处理
当企业的关键应用通过互联网进行部署时,往往需要采用SSL来提高应用的安全性。而SSL流量的快速增重,往往使服务器的CPU不堪重负。F5 BIG-IP应用交换机集成了硬件SSL加速处理能力,使客户能够有效地管理通过SSL提供的企业应用,并进行先进的智能流量管理检查。从而,提供了更强大的性能,并降低了实施安全应用的成本。
F5 BIG-IP应用交换机对SSL会话第一阶段的非对称加密和第二阶段的对称加密都实现了硬件加速,真正卸载CPU处理SSL加密解密的带来的沉重负担。通过iRule提供的强大编程处理能力,F5 BIG-IP应用交换机还可以实现对应用内容有选择性的加密。
BIG-IP应用交换机在基本配置中已经包含了100TPS的SSL加速处理能力。通过购买附加的License可以将额外SSL的加速处理能力在BIG-IP应用交换机上激活。
2. 动态智能压缩模块
第35 页 / 共41页