F5 Networks IDC/CDN方案（一）

　　IDC使用F5的BIG/IP可开展的增值服务

　　A、BIG/IP支持电子商务“连续性”

　　电子商务所涉及的商业问题是，大多数通信管理设备无法确保整个购物过程的持续性。在从浏览商品到将其放入购物车（不安全），及至利用SSL购买商品（安全）且传输信用卡数据的阶段尤为严重。结果，由于购物车应用恰恰在用户准备购买时出现题（而且不仅仅是购物车空），大多数用户都放弃该站点，转向了竞争对手的站点或传统的零售厂商。

　　BIG/IP支持各类持续性功能。这些企业要求保持每个用户与同一服务器维持连接。这被称为“连续性”。在授权用户使用特殊功能或数据之前对用户进行鉴权的应用亦要求保持用户与鉴别服务器保持持续性对话。

　　在整个购物过程中，通常要求购物车应用具有持续性。典型的负载平衡是利用源IP地址来鉴定用户身份，以保持持续性。因此，许多电子商务需要提供“连续性”来保证对客户请求进行无缝处理。BIG/ip通过多种模式提供“连续性”选项：同一资源服务器、同一服务器、VIP、SSL、Cookie连续性和目标地址相似性。例如，Cookie连续性（正在申请专利）使用客户存储的cookie信息，将客户连接引导到上次访问的服务器（BIG/ip提供3种不同的Cookie连续性模式以适合所有应用的需要）。并且，即使在一些客户是从很少的IP地址导出或其IP地址发生更改的情况下，SSL连续性也能确保客户处于正确的连接状态。BIG/IP的连续性为电子商务这类特殊应用提供强有力的支持，保证用户的请求的处理在同一服务器上完成。

　　B、扩展内容查证（ECV：ExtendedContentVerification）

　　ECV是一种非常复杂的服务检查，主要用于确认应用程序能否对请求返回对应的数据。如果一个应用对该服务检查作出响应并返回对应的数据，则BIG/IP控制器将该服务器标识为工作良好。如果服务器不能返回相应的数据，则将该服务器标识为宕机。宕机一旦修复，BIG/IP就会自动查证应用已能对客户请求作出正确响应并恢复向该服务器传送。该功能使BIG/IP可以将保护延伸到后端应用如Web内容及数据库。BIG/ip的ECV功能允许您向Web服务器、防火墙、缓存服务器、代理服务器和其它透明设备发送查询，然后检查返回的响应。这将有助于确认您为客户提供的内容正是其所需要的。

　　C、扩展应用验证（EAV）

　　扩展应用查证（EAV：ExtendedApplicationVerification）EAV是另一种服务检查，用于确认运行在某个服务器上的应用能否对客户请求作出响应。为完成这种检查，BIG/IP控制器使用一个被称作外部服务检查者的客户程序，该程序为BIG/IP提供完全客户化的服务检查功能，但它位于BIG/IP控制器的外部。例如，该外部服务检查者可以查证一个Internet或Intranet上的从后台数据库中取出数据并在HTML网页上显示的应用能否正常工作。EAV是BIG/IP提供的非常独特的功能，它提供管理者将BIG/IP客户化后访问各种各样应用的能力，该功能使BIG/IP在提供标准的可用性查证之外能获得服务器、应用及内容可用性等最重要的反馈。

　　该功能对于电子商务和其它应用至关重要，它用于从客户的角度测试您的站点。例如，您可以模拟客户完成交易所需的所有步骤－连接到站点、从目录中选择项目以及验证交易使用的信用卡。一旦BIG/ip掌握了该“可用性”信息，即可利用负载平衡使资源达到最高的可用性。

　　BIG/ip已经为测试Internet服务的健康情况和状态，预定义的扩展应用验证（EAV），它有二种用户界面：浏览器和CLI配置。BIG/IP预定义的应用检查：FTP、NNTP、SMTP、POP3和MSSQL.

　　BIG/IP已经成功地运行在世界上许多著名IDC　:如Eexdous,NTT、NTT、BT，及许多著名公司的网络系统中，例如微软公司所有的电子商务网站上，阿拉斯加航空公司的网上售票系统，及Egghead公司软件销售系统。BIG/IP为这些公司庞大的网络系统的安全运行发挥了巨大的作用。越来越多的用户已经认识到F5公司的BIG/IP不但可以实现对防火墙、代理服务器的智能的负载均衡处理，同时利用BIG/IP还可以加强系统的安全性，提高系统的可用性。BIG/IP可以支持以下的安全特性：

　　●防火墙功能

　　BIG/IP利用包过滤技术来限制和拒绝某些访问，网络管理员可以亲自制定规则，根据访问者IP包的源地址、目的地址以及源端口和目的端口号，甚至数据包的类型(UDP，TCP，ICMP等)来决定是否允许该访问者的进入。BIG/IP的这个特性为网络管理员提供了灵活的管理手段极大地提高了网络的安全性。

　　●严格的访问控制

　　通过授权或关闭BIG/IP及虚拟服务器上的端口可以实现仅允许那些规定类型的数据流透过BIG/IP来访问这些虚拟服务器。所谓虚拟服务器是指某种虚拟地址和端口的组合，那些未被定义为可通过BIG/IP的数据流则被拒绝接入。由于BIG/IP只允许那些网络管理人员指定的数据流通过它，因此它提供了一种极为严密的安全手段。

　　●安全管理

　　BIG/IP默认的配置仅允许那些加密的管理数据进入。BIG/IP提供了两种安全的远程管理工具。BIG/Config和SSH。BIG/Config提供了一种基于浏览器的界面来实现，网络人员安全地对其进行实时配置和管理。BIG/Config利用SSL来对网络管理员和BIG/IP之间的通讯进行加密。SSH用于BIG/IP中所有的命令行界面信息。利用这些手段，网络管理员就可以高效、安全地设置及管理本地及远端的BIG/IP。

　　●抵抗常规的攻击

　　BIG/IP本身具有很强的抗攻击能力，它不但可以为网络中的服务器提供负载均衡功能，还提供了以下防攻击手段来保护网络中的服务器：

　　●通过对无效连接的管理来防止使用没有开放的服务进行攻击。

　　●实现源路由的跟踪，防止IP欺骗

　　●不用Ack缓冲应答未确认的SYN，防止SYN风暴。

　　●防止连续和接管的攻击。

　　●HA及HA+模块不运行SMTPd，FTPd，Telnetd等易受到攻击的进程，具有较高的安全性。

　　由于BIG/IP以上这些固有的安全特性及抗攻击能力，可提高网络的安全性。

　　●安全工具

　　在BIG/IP的安全管理报告中通过监视下列参数，BIG/IP可以在安全报告中列出那些服务和端口受到了非法的访问尝试：

　　IP地址：攻击者的源IP地址

　　频率：攻击者尝试攻击的数量

　　端口：哪个端口受到攻击

　　这些信息可以帮助管理员发现他们网络中存在的安全漏洞，并且可以判定哪些人是潜在的攻击者。

　　●端口映射和网络地址翻译(NAT)

　　通过设置，BIG/IP可以将一个端口映射到多个端口上。许多知名的端口是，如80，443，20，21可以被映射到服务器上的任何一个端口上。此外，BIG/IP可以将位于它后面的服务器的地址翻译为那些对外公布的地址。这个安全特性为网络带来了以下几种好处：

　　●入侵者无法确定哪些服务运行在哪些端口上，因而增加了攻击的难度；

　　●使用非公开的路由地址、BIG/IP可以节省客户的IP地址，降低客户的成本；

　　●可以隐藏BIG/IP背后的服务器地址，避免这些服务器暴露到外部世界，从而减少了黑客攻击这些服务器的机会。

　　●安全的SNMP

　　BIG/IP不支持SNMP管理中的SET功能，这样BIG/IP就可以避免那些基于SNMP的攻击。由于SNMPV3正在逐步取代当前的版本，BIG/IP将会充分结合SNMPV3的新特性，诸如用户授权认证及加密等，来增强网络的安全性。

　　BIG/IP是一款灵活的、适应力非常强的产品，与防火墙、路由器ACL、邮件过滤器及内容过滤器等产品配合使用可以极大地提高网络的安全性，即使F5的BIG/IP产品在市场上的定位并不是防火墙或安全产品，但是BIG/IP的众多安全特性的确为这些网站系统的安全运行提供了必要的支持，许多知名公司如微软，USAToday，ANS及阿拉斯加航空公司等都是BIG/IP的忠实用户，BIG/IP也在这些公司庞大的网站的高效、健康地运行中赢得了巨大的声誉。

　　E、VLAN中继

　　BIG/ip支持802.1qVLAN标准，它允许网络管理员可以安全地将一个物理网络分割为多个虚拟网络。BIG/Ip的中继技术使263　网利用一对BIG/IP为多个用户提供各类增值服务，同时各用户有保持各自的独立性。

　　F、Npath™性能

　　BIG/ip包括称作nPath的可选模式。该模式允许服务器绕过BIG/ip直接将信息返回给客户。例如，涉及下载流式媒体的企业可以选择采用该功能。BIG/ip仅对用户的请求（即进入的流量）进行管理。BIG/Ip的nPATH功能使263利用这一功能为一些特殊用户提供特殊服务。

　　G、SSL加速

　　加密套接字(SecureSocket)层交易的广泛采用和总体网络负载减缓了服务器的执行速度。要求SSL交易加速。

　　电子商务业务是基于互联网交易。每笔进入电子商务数据中心的交易均进行了SSL加密处理。由于每秒可执行多达800个新的安全连接。BIG/IPSSL加速卡可把CPU从繁重的加密与解密处理负荷中解放出来，从而将宝贵的资源归还给服务器群。它可与任何操作系统或互联网服务器互操作，而不会出现服务器硬件、软件安装或兼容性问题。以后各个阶段通过从在这些阶段安装的高速缓存中检索静态且加过密的数据而受益。