文档介绍：F5 金融行业解决方案
目录
银行 1
商业银行网上银行防火墙负载均衡及多链路接入 1
国外商业银行广域网数据传输加速 5
商业银行省级分行流量管理解决方案 7
地区级商业银行总部网银流量管理解决方案 10
银行主机前置网关负载均衡 14
分行中间业务 16
银行总部内网OA系统防攻击解决方案 18
证券 21
大型证券公司网上证券交易系统 21
保险 23
保险公司负载均衡应用解决方案 23
基金 26
大型基金公司多链路接入及服务器负载均衡 26
中型基金公司多链路及服务器负载均衡解决方案 30
交易所 33
外汇交易中心–多链路负载均衡解决方案 33
银行
商业银行网上银行防火墙负载均衡及多链路接入
项目概况:
该用户为国内大型商业银行
用户有一个主数据中心,同时接入电信和网通线路,另外建立了一个分支数据中心,也同时接入电信和网通线路
客户拥有国内最完善的网上银行系统,每天流量以及交易数量日益增长
由于数据传输量大和访问数量的暴增,目前原有的防火墙安全系统已经无法承担,需要使用多台防火墙共同工作,来分担压力
尽管带宽较大,但数据传输的速度仍然较慢,希望通过改造提高数据处理和传输效率
网络结构:
多数据中心接入:
客户需求:
要满足高可用性,包括防火墙的状态信息处理,线路故障的切换处理,因为涉及网上交易,需要在绝大部分情况下保证应用的持续性
要有高扩展性,能灵活增加新的处理设备
要满足无缝整合,能在任何时候部署新的设备,不影响应用的持续性
设计必须考虑到设备本身的冗余性和高可用性。
建议的方案必须最小限度的影响现有系统
方案在将来有很好的扩展性,还可以灵活增加新的接入链路而不涉及内部改动
要求方案设计简单,容易部署。
F5的解决方案:
采用6台BIGIP 6400来实现链路接入负载、服务器负载均衡和防火墙负载均衡
由于要求可用性和无缝整合及切换,因此在链路接入层,采用两台BIGIP 6400来同时实现链路负载以及服务器负载均衡
另外在第二层采用两台BIGIP 6400来对4台Checkpoint防火墙进行负载均衡,并采用会话保持技术保证应用的持续性
在服务器群前面,再采用两台BIGIP 6400,通过F5的Autolasthop功能,来保证同一访问的数据来回都固定在一台防火墙进行处理,保证应用的持续性
Reputation:f5是业界经过验证的成熟供应商,银行也认可这一点
为什么选择F5:
高性能、高流量的数据处理能力,BIGIP 6400能支持2G的七层应用流量,并且支持针对高强度的DOS攻击防御,有效保证在各种高强度访问压力下的处理效率。
超高新建连接数与并发连接数支持: BIGIP 6400支持每秒22万的四层新建连接能力,,同时支持800万的并发连接数,具有很高的连接处理能力
灵活的应用处理能力:F5具有UIE+iRuls,UIE可以高效率地将TCP/UDP的数据包打开,并搜索其中的特征数据。然后iRules可以根据UIE搜索到的数据进行应用规则处理。这样,F5可以真正搭建起网络与应用之间的桥梁,实现很多应用开发以及网络配置无法实现的应用需求。
稳定而简单的结构部署:整个部署和实施过程,不需要影响到原有的拓扑结构,在经过实验验证可行后,可以整套架构直接插入原有拓扑结构中间,不涉及任何网络改动,实现无缝的整合和接入。在线部署为银行最担心的部署方式,能实现无缝接入部署是F5的最大优势。在最终部署时,5分钟内已经完成所有切换连接,半个小时后,通过所有应用部门的应用验证,最终确认上线部署成功。
关键技术阐述:
UIE+iRules:
UIE --Universal Inspection Engine 通用搜索引擎,可以将TCP/UDP的数据包打开,并搜索其中的特征数据。
i-rules –可以根据UIE搜索到的数据进行应用规则处理。
UIE+ I-rules 可以帮助客户实现以下功能:
应用流量管理
针对复杂应用的负载均衡和会话保持处理
应用安全处理
灵活可靠的高级状态健康检查
BIGIP支持采用ICMP,TCP/UDP,ECV,EAV,iControl等各种方法对服务器或应用状态进行健康检查。
ICMP:第2/3层的健康检查方法,采用Ping的方法检查服务器是否alive。
TCP/UDP:第4层的健康检查方法,检查相应的TCP/UDP端口是否激活来确定Service的状态。
ECV: