F5 金融行业解决方案
目录
1.1 银行 ................................................................................................................. 3
1.1.1 商业银行网上银行防火墙负载均衡及多链路接入 .......................... 3 1.1.2 国外商业银行广域网数据传输加速 .................................................. 6 1.1.3 商业银行省级分行流量管理解决方案 .............................................. 8 1.1.4 地区级商业银行总部网银流量管理解决方案 ................................ 11 1.1.5 银行主机前置网关负载均衡 ............................................................ 15 1.1.6 分行中间业务 .................................................................................... 17 1.1.7 银行总部内网OA系统防攻击解决方案 ........................................ 19 1.2 证券 ............................................................................................................... 22
1.2.1 大型证券公司网上证券交易系统 .................................................... 22 1.3 保险 ............................................................................................................... 24
1.3.1 保险公司负载均衡应用解决方案 .................................................... 24 1.4 基金 ............................................................................................................... 27
1.4.1 大型基金公司多链路接入及服务器负载均衡 ................................ 27 1.4.2 中型基金公司多链路及服务器负载均衡解决方案 ........................ 31 1.5 交易所 ........................................................................................................... 34
1.5.1 外汇交易中心 – 多链路负载均衡解决方案 ................................. 34
1.1 银行
1.1.1 商业银行网上银行防火墙负载均衡及多链路接入
项目概况:
该用户为国内大型商业银行
用户有一个主数据中心,同时接入电信和网通线路,另外建立了一个分支数据中心,也同时接入电信和网通线路 客户拥有国内最完善的网上银行系统,每天流量以及交易数量日益增长
由于数据传输量大和访问数量的暴增,目前原有的防火墙安全系统已经无法承担,需要使用多台防火墙共同工作,来分担压力
尽管带宽较大,但数据传输的速度仍然较慢,希望通过改造提高数据处理和传输效率
网络结构:
多数据中心接入:
客户需求:
要满足高可用性,包括防火墙的状态信息处理,线路故障的切换处理,因为涉及网上交易,需要在绝大部分情况下保证应用的持续性 要有高扩展性,能灵活增加新的处理设备
要满足无缝整合,能在任何时候部署新的设备,不影响应用的持续性 设计必须考虑到设备本身的冗余性和高可用性。 建议的方案必须最小限度的影响现有系统
方案在将来有很好的扩展性,还可以灵活增加新的接入链路而不涉及内部改动 要求方案设计简单,容易部署。
F5的解决方案:
采用6台BIGIP 6400来实现链路接入负载、服务器负载均衡和防火墙负载均衡 由于要求可用性和无缝整合及切换,因此在链路接入层,采用两台BIGIP 6400来同时实现链路负载以及服务器负载均衡
另外在第二层采用两台BIGIP 6400来对4台Checkpoint防火墙进行负载均衡,并采用会话保持技术保证应用的持续性
在服务器群前面,再采用两台BIGIP 6400,通过F5的Autolasthop功能,来保证同一访问的数据来回都固定在一台防火墙进行处理,保证应用的持续性 Reputation:f5是业界经过验证的成熟供应商,银行也认可这一点
为什么选择F5:
高性能、高流量的数据处理能力,BIGIP 6400能支持2G的七层应用流量,并且支持针对高强度的DOS攻击防御,有效保证在各种高强度访问压力下的处理效率。 超高新建连接数与并发连接数支持: BIGIP 6400支持每秒22万的四层新建连接能力,以及每秒7.5万的七层新建连接能力,同时支持800万的并发连接数,具有很高的连接处理能力
灵活的应用处理能力:F5具有UIE+iRuls,UIE可以高效率地将TCP/UDP的数据包打开,并搜索其中的特征数据。然后iRules可以根据UIE搜索到的数据进行应用规
则处理。这样,F5可以真正搭建起网络与应用之间的桥梁,实现很多应用开发以及网络配置无法实现的应用需求。
稳定而简单的结构部署:整个部署和实施过程,不需要影响到原有的拓扑结构,在经过实验验证可行后,可以整套架构直接插入原有拓扑结构中间 ,不涉及任何网络改动,实现无缝的整合和接入。在线部署为银行最担心的部署方式,能实现无缝接入部署是F5的最大优势。在最终部署时,5分钟内已经完成所有切换连接,半个小时后,通过所有应用部门的应用验证,最终确认上线部署成功。
关键技术阐述:
UIE+iRules:
UIE --Universal Inspection Engine 通用搜索引擎,可以将TCP/UDP的数据包打开,并搜索其中的特征数据。
i-rules –可以根据UIE搜索到的数据进行应用规则处理。 UIE+ I-rules 可以帮助客户实现以下功能:
1. 应用流量管理
2. 针对复杂应用的负载均衡和会话保持处理 3. 应用安全处理
灵活可靠的高级状态健康检查
BIGIP支持采用ICMP,TCP/UDP,ECV,EAV,iControl等各种方法对服务器或应用状态进行健康检查。
? ICMP:第2/3层的健康检查方法,采用Ping的方法检查服务器是否alive。 ? TCP/UDP:第4层的健康检查方法,检查相应的TCP/UDP端口是否激活来确
定Service的状态。
? ?
ECV:扩展内容验证,第7层的健康检查方法。模拟客户端向服务器发出请求,检查接收数据中是否含有期望的字符串来确定应用的状态。
EAV:扩展应用验证,嵌入式、个性化的健康检查方法。可以使用shell script 或perl 语言等嵌入程序执行EAV,对服务器进行多层步骤、复杂的健康检查。一般开发EAV需要三天左右的时间。
iControl:主动式的健康检查方法。让服务器或应用来告诉BIGIP,它的健康状态。一般开发iControl需要三个月甚至更长的时间。
?
高可用性:
F5的BIGIP采用了独立的管理CPU支持带外管理,称为SCCP模块,SCCP为一个独立的系统,具备自己的独立的OS、Memory和Flash Disk。在电源接通并打开电源开关的情况下,SCCP即已经启动,并且不受HOST系统重起、挂起等影响。SCCP在正常工作时,运行在Bridge模式下,将所有管理以太网口和Console的连接传递给HOST系统,以对HOST直接进行管理。同时,也可以给SCCP配置自己的独立IP地址和路由。SCCP在配置IP地址后,仅对外提供SSH服务。在重起SCCP的时候,整个系统,包括HOST均会被重新启动。利用SCCP,F5可以对正在运作的所有系统进程和硬件的运作状态进行有效监控