F5产品培训的学习资料

F5产品培训的学习资料第1页/共63页F5-应用交付专家

——

F5产品介绍第2页/共63页Applications&StorageUsersInternationalDataCenterF5：一体化的应用交付架构

EnterpriseManager/ControlPointTMOSiControlBIG-IPGlobalTrafficManagerWOMAPMSSLVPNBIG-IPLocalTrafficManagerBIG-IPApplicationSecurityManagerBIG-IPWebAcceleratorBIG-IPLinkControllerARXFile/DataVirtualization一个整合的硬件平台统一的管理界面License功能实现统一的支持体系99.999%的应用高可用应用级安全服务器资源恢复80%带宽节约2~5倍Web应用的速度3~7倍第3页/共63页F5作为ADN（应用交付网络）业界的领导者

为用户提供优秀的解决方案提高客户响应速度3－10倍恢复80%服务器资源降低带宽75％以上实现应用级的安全数据中心99.999%的高可用性应用交付网络的价值第4页/共63页F5简介全球应用交付(ADN)的领导者总部在西雅图,Nasdq上市(FFIV)全球应用交付控制器产品市场中占据61%的市场份额您只要访问互联网一定会经过F5几乎所有的在线业务,包括银行,税务,证券,电子商务,电子政务…均要经过F5第5页/共63页F5中国大客户第6页/共63页F5中国大客户第7页/共63页F5解决方案合作伙伴：不是简单堆砌，而是深层互动第8页/共63页F5BIG-IP硬件平台第9页/共63页BIG-IP平台系列BIG-IP3900

QuadcoreCPUBIG-IP6900

2xDualcoreCPUBIG-IP8900

2xQuadcoreCPUBIG-IP11000

2xHexcoreCPUBIG-IP1600

DualcoreCPUBIG-IP3600

DualcoreCPUVIPRION2400QuadcoreCPU/

2100Blades(4x)非模块化（1U，2U）2xQuadcoreCPU/

4200Blades(4x)模块化（机框式）ProductionLab虚拟版（纯软件版本）PriceFunction/PerformanceVIPRION48002xHexcoreCPU/

4300Blades(4x)VIPRION4480第10页/共63页BIG-IP平台系列PriceFunction/PerformanceVIPRIONBIG-IP3600DualcoreCPU810/100/1000+2x1GBSFP1x160GBHD+8GBCF4GBmemorySSL@10KTPS/2Gbbulk1Gbpsmaxsoftwarecompression2GbpsTraffic1AdvancedProductModuleBIG-IP8900BIG-IP1600DualcoreCPU410/100/1000+2x1GBSFP1x160GBHD4GBmemory

SSL@5KTPS/1GbBulk1Gbpsmaxsoftwarecompression1GbpsTraffic1BasicProductModule

2xDualcoreCPU1610/100/1000+8x1GBSFP2x320GBHD(S/WRAID)+8GBCF8GBmemorySSL@25KTPS/4Gbbulk5Gbpsmaxhardwarecompression6GbpsTrafficMultipleProductModulesBIG-IP69002xQuadcoreCPU1610/100/1000+8x1GBSFP2x320GBHD(S/WRAID)+8GBCF16GBmemorySSL@58KTPS/9.6Gbbulk6Gbpsmaxhardwarecompression12GbpsTrafficMultipleProductModulesQuadcoreCPU810/100/1000+4x1GBSFP1x300GBHD+8GBCF8GBmemorySSL@15KTPS/3.8Gbbulk3.8Gbpsmaxsoftwarecompression4GbpsTrafficBIG-IP3900第11页/共63页BIG-IP1600BIG-IP3600BIG-IP3900BIG-IP6900BIG-IP8900端口4个10/100/1000M+2个可选（LX、SX）SFP8个10/100/1000M+2个可选（LX、SX）SFP8个10/100/1000M+4个可选（LX、SX）SFP16个10/100/1000M+8个可选（LX、SX）SFP16个千兆电口+8个SFP+2个万兆SFPLayer4Connections/sec60,000

100,000

175,000220,000400，000Layer7Request/sec100,000

135,000

400,000600,0001,200，000Max.throughput1Gbps

2Gbps4Gbps

6Gbps

12GbpsMax.conc.conn.4Million

4Million8Million8Million16MillionMax.SSLTPS5,00010,00015,00025,00058,000Max.SSLBulk1Gbps2Gbps2.4Gbps4Gbps9.6GbpsMax.SSLconc.Conn.1,000,000

1,000,000

1,000,0001,000,0004,000,000Max.HTTPcompression750Mbps1Gbps3.8Gbps硬件5Gbps硬件8GbpsSwitchbackplane14Gbps

24Gbps

34Gbps68Gbps80GbpsBIG-IP平台性能对比第12页/共63页BIG-IP8900VIPRION2400With1bladesVIPRION2400With4bladesMax.throughput12Gbps40Gbps160GbpsLayer4Connections/sec400,000400,000cps1MillionLayer7Requests/sec(inf-inf)1,200,0001,000,000rps4,000,000rpsMax.conc.conn.16Million16Million64MillionMax.SSLTPS58,00050,000200,000Max.SSLBulk9.6Gbps9Gbps36GbpsMpression8Gbps10Gbps40Gbpsbackplane112Gbps60Gbps240GbpsBIG-IP平台性能对比第13页/共63页ModelVIPRION2400VIPRION4480最大4层吞吐160gb320gb4层连接速率1,600kCPS2,800kCPS最大7层吞吐72gb160gb最大HTTP每秒请求4,000kRPS6,400kRPS最大并发连接64m64mSSL1k证书200kTPS200kTPSSSL2k证书40kTPS40kTPS以上数字基于每机箱填充4个刀片VIPRION2400VIPRION4480BIG-IP平台性能对比第14页/共63页第9代应用交付控制器VIPRION2400第15页/共63页第9代应用交付控制器

VIPRION24004层专用芯片ePVA+HighSpeedBridge真正的节能减排80Plus-certifiedLowersTCO4Ｕ，4插卡，双冗余电源模块化设计全10G网络接口10Gports(SFP+)第16页/共63页第9代应用交付控制器

VIPRION2400SingleBlade4BladeSystemL7FastHTTPInf/Inf

1,000,000rps4,000,000rpsL7FullProxy150,000cps600,000cpsSSLTPS50,000200,000SSLGbps9Gbps36GbpsL4Conn/s400,000cps1,600,000cpsCompression10Gbps40GbpsL4Throughput40Gbps160GbpsL7Throughput18Gbps72Gbps第17页/共63页VIPRION2400

企业级–按需扩展为企业量身订做4插槽机箱4U机架高度10Gb(sfp+)端口

–每刀片8个80Pluscertifiedpower性能ePVA–4层硬件卸载40Gbps硬件压缩400002kkeySSLTPS安全和可靠vCMP–多实例的Big-IP无源背板标配双电源虚拟化(vCMP)第18页/共63页F5产品功能模块第19页/共63页F5产品全系列EnterpriseManager™TMOS®iControl®Applications

&StorageUsersInternationalDataCenterBIG-IP®LocalTrafficManagerARX®FileVirtualizationBIG-IP®

GlobalTrafficManagerBIG-IP®

LinkControllerBIG-IP®

WANOptimizationModuleBIG-IP®Web-AcceleratorBIG-IP®

ApplicationSecurityManagerBIG-IP®

AccessPolicyManager第20页/共63页21用户体验商业信息服务器应用门户数据中心ISPs客户端WA访问ASMWAGTMWOMLCLTMLTMAPMEDGE快速安全高可用第21页/共63页BIG-IP平台的功能模块LTM：服务器负载均衡LC：链路负载均衡GTM：全局负载均衡ASM：应用安全管理，WAFAPM：访问策略管理，SSLVPNWA：Web应用加速WOM：广域网优化管理ARX：文件虚拟化（针对NAS，文件系统）高可用安全加速文件数据的优化第22页/共63页F5LTM本地流量管理器第23页/共63页24VirtualServerNetworkBIG-IPLTMServer1Server2负载均衡工作原理BIGIPLTM对外提供一个虚拟的应用服务器，接收所有的客户端请求BIGIPLTM通过负载均衡算法处理，将客户端请求转发到后台服务器上BIGIPLTM通过会话保持，将同一个客户端的访问保持在相同服务器上BIGIPLTM通过应用健康检查，准确的判断应用程序的工作和服务状态，一旦发现应用不能提供服务，则将其从pool中摘除，直至其恢复正常第24页/共63页25Internet:80:4002:80VirtualServer7:80PoolMembers:8080BIGIPLTM对外提供一个虚拟的应用服务器，接收所有的客户端请求,然后根据负载均衡算法，将请求发送到后台相应的应用上第25页/共63页26部署方式方式一：串连式方式二：旁挂式第26页/共63页27LTMClientsF5LTM采用直连式应用到网络中第27页/共63页28ClientsF5LTM采用旁挂式应用到网络中第28页/共63页F5LTM拓扑示意图第29页/共63页LTM功能介绍多服务器负载均衡（标准配置）SSL卸载功能（内置免费）快速缓存功能（内置免费）内容压缩功能（内置免费）多连接复用功能（内置免费）防DDOS攻击模块（内置免费）速率限制模块（内置免费）iRULE根据4-7层各种特征码进行流量控制（内置免费）网络防火墙功能（内置免费）SSLVPN功能（10个免费客户端）第30页/共63页F5GTM数据中心负载均衡第31页/共63页城域网和广域网冗灾系统建设32ApplicationApplicationEnterpriseApplicationISP1ISP2BIG-IPLTM/LCwww.F5.comApplicationApplicationEnterpriseApplicationISP3ISP4BIG-IPLTMBIG-IPGTMBIG-IPGTMBIG-IPGTMBIG-IPGTM第32页/共63页GTM功能介绍多链路inbound负载均衡（内置免费）多数据中心inbound负载均衡（内置免费）完整DNS功能（内置免费）GeoLocation地址库功能（内置免费）DNSiRule功能（内置免费）DNS缓存功能（单独激活）DNSDDOS防护功能（单独激活）DNSSEC安全功能（单独激活）第33页/共63页F5LC多链路负载均衡第34页/共63页第35页/共63页模块选型多链路负载均衡多服务器负载均衡（内置免费）防DDOS攻击模块（内置免费）速率限制模块（内置免费）GeoLocation地址库（内置免费）第36页/共63页根据用户需求灵选线路做到电信走电信，网通走网通加快用户响应速度根据带宽比率来选择线路根据不同的客户端来选择线路给不同客户端限定速率完成带宽管理给内部的各种应用服务进行带宽管理第37页/共63页F5WA应用加速器第38页/共63页IncreaseRevenueandProductivity

withBIG-IPWebAcceleratorBIG-IPWebAccelerator第39页/共63页WA功能静态及动态页面缓存功能内容压缩功能内容缓存功能多连接复用TCP优化功能WORD，PDF等文件加速功能非对称加速功能第40页/共63页访问中国移动主页用户等待时间4.667秒一个小图片的内容更新确认让用户等待了3.190秒第41页/共63页F5WebAccelerator

Centralized,EfficientWebApplicationAcceleration第42页/共63页业界首个对Web应用进行打包、预配置和认证策略的优化设备在应用厂商已经经过认证测试，并且已进行预先配置第43页/共63页F5APM远程接入管理第44页/共63页APM功能SSLVPN功能SSO功能高级的端点安全功能支持iPad,Driod,移动终端和智能手机简单，可视化的策略编辑器第45页/共63页统一的应用访问

withBIG-IPAccessPolicyManager(APM)第46页/共63页客户端安全－APM端点检查47AccessPolicyManager

–指定的防病毒软件检查－指定的个人防火墙检查 –Windows操作系统补丁检查

–注册表设置－自带防病毒软件并可以通过ICAP与第三方防病毒软件联动FullNetworkQuarantineNetworkPleaseupdateyourmachine!通过APM，可以对每一个访问特定VirtualServer的客户端进行检查或者对每一个需要进行SSLVPN访问的客户端进行检查第47页/共63页F5ASM应用安全防火墙第48页/共63页SSL封装的Web攻击对防火墙/IPS和IDS来说是不可见的防火墙IPSDataCenterLAN传统防火墙只能防止网络攻击IDSPort80/443Web流量畅通无阻EmployeesWeb应用WebDav CodeRedNimda ForcefulbrowsingCrosssitescripting OScommandinjectionUnicodeattacks CookiepasswordtheftCookiepoisoning Web-basedwormsSQLinjection SitedefacingATTACKSXMLSOAPwebservices.NETJ2EEJava文件和打印服务第49页/共63页当网络防火墙应用在Web上SSL的问题。网络入侵检测是设计工作在TCP/IP层的，在HTTP层并没有效果。对内容检查的深度不够，且无法对内容进行任何操作。数据伪装的问题。因此，网络防火墙不适用于应用层的防护。第50页/共63页WEB应用攻击防护操纵稳藏字段更改Cookie后门和调试漏洞缓冲区溢出输入信息控制跨站点脚本参数篡改强制浏览非法错误处理Injection攻击应用系统的默认配置第51页/共63页OverviewPortfolioReleasesHotTopicsSolutionsCross-SiteScripting(XSS)BrokenAuthenticationBrokenSessionManagementFailuretoRestrictURLAccessInsufficientTransportLayerProtectionUnvalidatedRedirectsandForwardsSecurityMisconfigurationCookiePoisoningInsecureCryptographicStorageBruteForceAttackCross-SiteRequestForgery(CSRF)SSLRenegotiationVulnerabilitiesSlowPOSTInsecureDirectObjectReferencesSlowLorisUsersWebApplicationsBIG-IPASMInjectionAttackCross-SiteScripting(XSS)BrokenAuthenticationBrokenSessionManagementSlowPOSTInsecureDirectObjectReferencesSlowLorisBruteForceAttackCross-SiteRequestForgery(CSRF)SSLRenegotiationVulnerabilities网络层安全防护协议层安全防护（SMTP,HTTP,FTP）应用层安全防护针对所有web应用漏洞记录全部应用流量的日志和报表提供2-7层防护PCI合规性BIG-IPApplicationSecurityManager

针对最新的网络威胁提供攻击防护

More第52页/共63页F5WOM广域网加速器第53页/共63页WOM总体介绍Step3对称式智能压缩Step4SSL加密Step5TCP优化Step2对称式重复数据传输原始数据Step6带宽分配优化后的数据Step1应用协议加速原始数据优化后的数据全功能WOM实现功能LTM中包含的免费WOM模块BIG-IPLTM+WOMiSessionsInternetorWANBIG-IPLTM+WOM第54页/共63页OverviewPortfolioReleasesHotTopicsSolutionsBIG-IPWanOptimizationModule

连接通过网络和应用代理、压缩和重复数据删除的方式被加密和加速

AppTierBIG-IPWebTierFileServersActive

Database数据复制和备份的优化.TCP和

HTTP优化DataCenter1DataCenter2HTTP等应用的优化BIG-IPBIG-IP

/ARXLogicalDiagramFileServersStandby

DatabaseThisisalogicaldiagram.DatabaseandstorageaccelerationwillphysicallyroutethroughtheBIG-IP.跨越广域网迁移工作中的VM镜像且不丢弃用户会话加速诸如SnapMirror或Exchange的复制和备份数据中心间的加速InternetorWANMore第55页/共63页EDGEGATEWAY包含WA、WOM和APM三个模块第56页/共63页EDGEGatewa