F5互联网出口解决方案培训资料(共37张PPT)
合集下载
F5培训
台式机
托管主机
(TM/OS)
能够对应用流进行管理
• 独立的连接控制 • 支持所有的IP应用 • 高性能的应用构架 • • 双向、全面的负载检查 基于会话的控制系统
通用检查引擎(UIE)
TM/OS 快速应用代理
客户端 服务器端
为网络注入智力
TMOS
客户端
TCP TM filter SSL TM filter HTTP TM filter
•
• 上述检查方法的检查频度(e.g. 10 seconds)与检查响应 Timeout 时间( e.g. 5 seconds)都可以根据应用情况进
BIGIP典型部署模式-One Arm
Client
Server
优点:对现有网络变动最小,无须调整网络结构及物理线路连接
。VS和真实服务器在同一网段 缺点:进出流量通过同一条或一组光纤线路,在同网段有Client 访问VS的时候需要特殊处理
业绩优异
• 超过10,000 客户 & 60,000 台设备在全世界运行 • FY06 Revenue: $396 M • #1 应用交付网络的领导者 – Gartner •SSL VPN 市场占有率增长最快 – Infonetics Top 50 Innovator Award 2006
合作伙伴
• 独特的F5 与应用厂商的集成 • Application Partner Tested and Documented Solutions • F5 Solutions in Partner Labs • Cooperative Support Agreements
Others
F5的应用交付功能
负载均衡 广域均衡 和容灾 HTTP & XML 压缩 连接优化
深信服下一代防火墙互联网出口解决方案ppt课件
限流
阻断、重定向、隔离等
正常数据流
关联分析
分片重组
流量分析
流恢复
报文正规化
关联检测引擎:提升检测精度例:Apache 2.2 漏洞: CVE-2011-3192 Denial Of Service Vulnerability应用识别分析: Web应用,保护对象为 Apache 2.2内容识别分析: 数据包匹配到CVE-2011-3192的漏洞特征关联分析结果: 命中,威胁级别严重,阻断!
敏感信息防泄漏
常见的敏感信息防泄漏用户信息邮箱账户信息MD5加密密码银行卡号身份证号码社保账号信用卡号手机号码内部保密文件根据文件类型防泄密根据特征自定义信息合规性
病毒/URL过滤
病毒查杀
常见病毒查杀httpftpPop3Smtp压缩文件……
网站分类过滤70个大类含非法及不良分类恶意网站过滤数千万个网站……
安全云
自动化威胁情报收集平台
IPS保护
虚拟主机补丁(4000+)操作系统漏洞,如Windows、Linux、Unix等应用程序漏洞,如Apache、IIS等中间件漏洞,如WebShpere、WebLogic等数据库漏洞,如SQL Server、Oracle等浏览器漏洞:IE、FrieFox、Google Chrome等……
自动学习建模
正常访问服务器
自动学习自动建模
未知攻击、非法请求
网站构架参数类型参数长度……
多维行为分析
1、多维行为分类2、分类威胁阈值3、阈值循环微调4、汇总基线比较
自动关联分析
数据流
会话状态跟踪
丢弃报文
应用识别分析并行处理支持近千种协议
内容特征分析 并行处理包括攻击特征、漏洞特征
丢弃报文、隔离
阻断、重定向、隔离等
正常数据流
关联分析
分片重组
流量分析
流恢复
报文正规化
关联检测引擎:提升检测精度例:Apache 2.2 漏洞: CVE-2011-3192 Denial Of Service Vulnerability应用识别分析: Web应用,保护对象为 Apache 2.2内容识别分析: 数据包匹配到CVE-2011-3192的漏洞特征关联分析结果: 命中,威胁级别严重,阻断!
敏感信息防泄漏
常见的敏感信息防泄漏用户信息邮箱账户信息MD5加密密码银行卡号身份证号码社保账号信用卡号手机号码内部保密文件根据文件类型防泄密根据特征自定义信息合规性
病毒/URL过滤
病毒查杀
常见病毒查杀httpftpPop3Smtp压缩文件……
网站分类过滤70个大类含非法及不良分类恶意网站过滤数千万个网站……
安全云
自动化威胁情报收集平台
IPS保护
虚拟主机补丁(4000+)操作系统漏洞,如Windows、Linux、Unix等应用程序漏洞,如Apache、IIS等中间件漏洞,如WebShpere、WebLogic等数据库漏洞,如SQL Server、Oracle等浏览器漏洞:IE、FrieFox、Google Chrome等……
自动学习建模
正常访问服务器
自动学习自动建模
未知攻击、非法请求
网站构架参数类型参数长度……
多维行为分析
1、多维行为分类2、分类威胁阈值3、阈值循环微调4、汇总基线比较
自动关联分析
数据流
会话状态跟踪
丢弃报文
应用识别分析并行处理支持近千种协议
内容特征分析 并行处理包括攻击特征、漏洞特征
丢弃报文、隔离
F5负载均衡内部培训资料
Application Server 1
Application Server 2
BIGIP LTM对外提供一个 虚拟的应用服务器,接收 所有的客户端请求
BIGIP LTM通过负载均衡 算法处理,将客户端请求 转发到后台的多个应用实 例
BIGIP LTM内置可编程控 制接口,可以对流量进行 编程控制处理
人 Citrix的市场主导为虚拟化软件产品,对
Netscaler并不重视
EvenData Confidential
Radware
Radware是一家以色列公司,专做负载均 衡产品,与F5在中国市场是最大的竞争对手
Radware其产品集成性不好,一个硬件平 台无法实现所有功能,其分类为LP(链路), AD(服务器负载),APPxcel(优化)
compression
4 Gbps L7 Traffic
4 GB memory
SSL @ 10K TPS / 2 Gb bulk
Dual core CPU 4 10/100/1000 + 2x 1GB SFP 1x 160GB HD 4 GB memory
1 Gbps max software compression
SOURCE: Gartner - For Internal Use only
F5,在应用交付控制器市场遥遥领先
Q208 Advanced Platform ADC* Market Share Leaders
– F5:
60%
– Citrix:
14.2%
– Radware:
8.6%
Q208 Advanced Platform ADC Market Share Revenue Leaders
网络出口设计教材(PPT 36张)
{ netmask netmask | prefix-length prefix-length } 定义一个地址
池,用于转换地址。
网络拓扑图
本工作任务的网络拓扑,如图所示。
PC1
192.168.1.0/24 光电 转换器 用户 端光端 机 218.12.226.1 ISP局端
f0/1:218.12.226.2 f0/0:192.168.1.1 NAT配置网络拓扑图
route-map命令
route-map name [ permit | deny ] [sequence-number ]
参数 name permit deny sequence-number
描述 Route-map的名称,拥有相同名称的route-map子句将组成一个route-map 如果报文符合该子句中的匹配条件,则报文将被进行策略路由 如果报文符合该子句中的匹配条件,则报文将不进行策略路由,进行正常 的转发 该route-map子句的编号,如果不指定则系统会自动赋予一个编号,routemap中的各子句按照编号的顺序执行
NAT实施
NAT优点:
节省公共地址 可减少编址方案重叠的情况发生 将私有网络转化成公网时,无需要重新进行编址
NAT缺点:
NAT会增加延迟 无法进行端到端的IP跟踪 NAT使某些在有效负载中使用IP地址的应用无法运行
NAT术语
内部/外部:IP主机相对于NAT设备的物理位置。
静态PAT条目。
配置静态外部源地址转换
第一步:在路由器上配置IP路由选择和IP地址。
第二步:至少指定一个内部接口和一个外部接口,方法是进入接口
配置模式下,并执行命令ip nat { inside | outside }。
路由器基础介绍Ppt共37张PPT大纲
02
串行接口
用于连接广域网或其 他类型的网络,实现 远程通信。
03
USB接口
提供扩展功能,如连 接3G/4G上网卡、打 印机等。
04
控制台接口
用于连接终端设备进 行命令行配置和管理 。
端口速率、双工模式等参数解释
端口速率
指网络接口的数据传输速率,单 位通常为Mbps或Gbps。
双工模式
指网络接口的工作模式,包括半 双工和全双工两种模式。半双工 模式指数据只能单向传输,全双 工模式指数据可以同时双向传输
接入路由器
为企业员工提供网络接入服务,支持多种接 入方式。
高可用性设计
采用冗余备份、负载均衡等技术,确保企业 网络稳定可靠。
校园网络环境中应用案例
宿舍区无线覆盖
在宿舍区域部署无线路由器,为学生 提供便捷的无线接入服务。
教学楼有线接入
在教学楼内设置有线接入点,满足教 师和学生的上网需求。
图书馆网络中心
售后服务
了解厂家提供的售后服务内容和期限,确保使用 过程中得到及时支持。
保修政策
了解产品保修政策,如包换、包修等,确保购买 后无后顾之忧。
维修网点
了解厂家授权的维修网点分布情况,方便日后维 修和保养。
06
路由器安全设置与防护措施
Chapter
密码安全设置原则和方法
1 2
选择强密码
使用包含大小写字母、数字和特殊字符的复杂密 码,避免使用容易猜测的单词或短语。
网吧/大型场所
需要高带宽、低延迟和大 量并发连接数,选择专业 级路由器。
品牌和价格因素考量
品牌选择
优先选择知名品牌,品质更有保障,如华为、TP-Link等。
价格因素
F5产品介绍PPT
Coyote Point Array Networks Stampede Technologies
Systems
Zeus Technology
Foundry NetContinuum Networks
Niche Players
Visionaries
Completeness of Vision
Source: Gartner, December 2005
20
BIG-IP 应用交换机系列
BIG-IP 6400/6800
• 2U高-新型的USB端口,液晶显示和键区 • 双处理器 • Packet Velocity ASIC 2 • 16个10/100/1000铜线以太网端口 • 2个标准端口,2个可选的(共计4个)千兆位光纤端口 • 可存取闪存和硬盘,用于改善记录能力 • 3个带有插卡的PCI插槽 • 热插拔冗余电源供应 • 集成的管理计算机(无人值守管理)
BIG-IP 6400
220,000
BIG-IP 6800 220,000
75,000
110,000
2 Gb/s 8 Million
15,000 2 Gb/s 500,000 2 Gb/s 44 Gb/s
4 Gb/s 8 Million
20,000 2 Gb/s 500,000 2 Gb/s 44 Gb/s 22
61 62
342 330 338 335 Current Connections
Servers
33
Observed
Internet
Clients
Next requests goes to Node with combination of fewest connections and best response
F5
• 多个ISP的智能化管理 — 让多个ISP就像一个ISP在工作 • ISP 链路虚拟化 (Link Controller) – ISP链路优化 – 集成Rate Shaping功能 – 根据链路成本实现负载均衡策略 • 自己控制最优的路由,不把命运掌握在ISP手里
12
F5销售人员教战训练 F5销售人员教战训练
16
F5销售人员教战训练 F5销售人员教战训练
7. 总结
SOA 复杂性
服务器 应用 门户
安全需求
数据中心 ISPs 客户端
用户体验
商业信息
F5
• 快速
访问
资源集中
攻击
分布式的用户
• 高可用 • 安全
总结: 总结
F5 确保网络优化企业应用的效率使应用系统
快速、高可用、 快速、高可用、安全
17
F5销售人员教战训练 F5销售人员教战训练
•
11
F5销售人员教战训练 F5销售员教战训练
5e. F5如何面对这些问题
SOA 复杂性
服务器 应用 门户
安全需求
数据中心 ISPs 客户端
用户体验
商业信息
• 快速
访问
资源集中
攻击
分布式的用户
• 高可用 • 安全
针对ISP: 针对 我们能够确保优化的应用流量通过最具有性能价格比的ISP发布
陈述的要点
• 13
F5销售人员教战训练 F5销售人员教战训练
5g. F5如何面对这些问题
服务器 应用
SOA 复杂性
门户
安全需求
数据中心 ISPs 客户端
用户体验
商业信息
• 快速
访问
资源集中
2019年信诺瑞得培训—F5iRules功能0721.ppt
WA WEB Servers APP Servers DB Servers
BIGIP
BIGIP
Switch
GTM
WA
WEB Servers APP Servers DB Servers
WANJet
WANJet
网络应用的安全解决方案图
网络应用的安全
•Web应用防火墙 •用户上网安全防护 •邮件应用安全 •网络应用的安全分析、防护
从“业务角度”监测整个相关系统
• 当业务发生问题时,很快定位 故障点,进行快速排查
• 每一个检测对象发生故障时, 很快知道会影响那些业务
• 由于DB1故障,引发了三个应 用和两种业务系统产生故障
• 让管理员站在用户角度
✓ 业务状态一目了然
✓ 可迅速判断业务受到的影 响及时解决问题。
业务A
业务B
业务C
F5的扩展功能
10
目录
信诺瑞得公司介绍 什么是iRules F5数据处理过程 iRules功能
11
TMOS Architecture
Rate Shaping TCP Express
SSL TrafficShield
Caching XML Web Accel 3rd Party
Compression OneConnect TCP Express
网络应用检测netgain技术介绍网络应用的优化解决方案网络应用的优化gtm主数据中心routerinternetbigip6400备份数据中心bigip6400bigipbigiprouterswitchswitchwebserverswaappserversdbserverswagtm访问客户端访问客户端webserversappserversdbservers广域网应用加速wanjetwanjet网络应用的安全解决方案图网络应用的安全?web应用防火墙?邮件应用安全?网络应用的安全分析防护?用户上网安全防护ironportmailasm目录irules功能什么是irulesf5的扩展功能目录irules功能tmosarchitectureclientsideserversidetmostrafficpluginshighperformancenetworkingmicrokernelpowerfulapplicationprotocolsupportexternalmonitoringnetworkprogramminglanguagehighperformancehwirulesclienticontrolapitcpproxyapplicationdeliverynetworkvirtualserverpoolmembersinternetvirtualserver216349417
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
F5 互联网出口解决方案
Charles Zhu
2016.11.23
用户面临的业务问题
• 出向或入向流量不能选择最优的运营商链路,影响互联网访问 • 不能对多条运营商链路实现完善的健康检查和故障切换?
• 为解决互联网出口安全问题而部署了多台不同功能的设备,维 对?
• 后期希望实现互联网发布业务在同城双中心平滑切换的应用级
成功案例
xx企业电子商务平台互联网出口解决方案
用户需求:
• • • • 有能力防护L3-L4层的DDoS攻击 确保用户的访问体验
业务创新,从传统商务模式向O2O服务模式
建立高可用,具备高并发处理能力的电子商
解决方案优势:
• • • • 路,同时为业务级容灾数据中心预留空间
GTM+LTM结合,完美解决进站出站流量负
Line graphs
Two- to three-line summary of findings. Further detail in the right h
2013 PR
Lorem ipsu et consecte sit amet, n
Lorem ipsu et. Consec dolor sit am consectetu
•为用户提供可控的外网DNS服务,并可有效防范针对DNS的DDO
•可提供2-4层网络防火墙安全防护和L3-L4 DDOS防护功能(*); •可为用户打造应用级容灾的双活数据中心(*);
•多种功能融合在一个平台上实现,简化了数据中心架构,降低了
注:* 标识功能需扩展至标准版。
推荐解决方案: 低配 – LC2000S * 2 ; 高配 -- BR4000S * 2
Pie Chart
Two- to three-line summary of findings. Further details in the right
58% 23% 10% 9%
Lorem ipsum dolo et consectetur lor
Lorem ipsum dolo et consectetur lor
$XXXM
Projected income for the first 3 months of 2013
$XXXM
$X million
Sept 12, 2013
Projected in 3 months of
Doughnut charts
Here’s another option for percentage-based information. Three to
• LTM设备确保大量并发业务系统的安全、快速和 F5 BIG-IP标准版 互联网 接入区 处理问题;
• AFM网络防火墙为IDC提供3-4层网络安全防护; 供了强大的控制力;
• TMOS融合了可定制的iRules和UIE,为处理应用 Switch Switch • AVR模块提供WEB应用性能检测、监控; 远程管理;
F5的解决方案
Clients
解决方案说明:
• GTM+LTM结合,完美解决进站出站流量负载、
多条运营商链路,同时为业务级容灾(双活)数
• GTM提供DNSSEC功能,确保DNS来源的真实性 统安全; 电信 联通 移动
• DNS Service为用户提供最大超过8M QPS的高性
御DNS DDoS攻击;
完善的DDOS安全防护架构,对恶意攻击起到
业务价值
• 帮助用户解决互联网出口多链路问题,杜绝链路单点故障,消 路间的瓶颈。
• 还可为用户在互联网出口实现外网DNS、应用级容灾和L3-L4 D 务。
为什么选择F5
欢迎关注F5微信公众号
Charts and Graphs
The following slides are examples of how to present statistics and data in visual formats.
核心业务:
• 电子商务平台 • CMS\EPS系统 • 电子邮件系统 • 产销管理系统
设备部署:
• BR-4000s * 2
客ቤተ መጻሕፍቲ ባይዱ收益:
• • • • 服务的需求,大大降低了管理的复杂度
通过F5 BR-4000S的部署,使用F5 Synthes
实现了企业各种核心业务系统应用的高可用
提升了 DNS 基础架构的性能和其安全防护能
方案优势
• 使用F5 Synthesis新融合架构,在一台设备上实现客户的L4-L7 了30%管理运维任务
• 实现了企业互联网出口多链路出向与入向的智能流量管理,保 口7*24的连续性;
• 完善的DDOS安全防护架构,对恶意攻击起到了很好的防护,减 部攻击;
• 为用户未来扩展为双活数据中心提供了保障。
Lorem ipsum dolo et consectetur lor
Lorem ipsum dolo et consectetur lor
Bar charts
Two- to three-line summary of findings.
$XXXM
Projected income for the first 3 months of 2013
GTM提供完善的DNS服务,提供智能的DN
LTM设备确保大量并发业务系统的安全、快
AFM数据中心防火墙可部署1-4层网络安全策
DDOS攻击防护
• • •
高性能的体系架构,支撑数据中心业务的处
TMOS融合了可定制的iRules和UIE,为处理
APM提供安全便捷的远程SSL VPN接入,方
主要技术:
• 多链路负载均衡 • 外网智能DNS及安全防护 • 应用双活 • L3-L4 DDOS防护 • 数据中心防火墙
50%
SUBJECT: 400,000
74%
SUBJECT: 400,000
82%
SUBJECT: 400,000
You can double-click on these charts to open in Excel and change the data there.
• 自带 SSL VPN模块帮助用户在任何地点安全快速
• 提供高性能的硬件体系架构,满足用户性能和功
应用服务器群组
• 简化整个数据中心多层架构,减少故障点及设备
应用服务区域
方案优势
•确保用户在互联网发布的业务系统能够被安全快速地访问;
•让用户可智能选择最优链路访问Internet资源,实现多条运营商链
Charles Zhu
2016.11.23
用户面临的业务问题
• 出向或入向流量不能选择最优的运营商链路,影响互联网访问 • 不能对多条运营商链路实现完善的健康检查和故障切换?
• 为解决互联网出口安全问题而部署了多台不同功能的设备,维 对?
• 后期希望实现互联网发布业务在同城双中心平滑切换的应用级
成功案例
xx企业电子商务平台互联网出口解决方案
用户需求:
• • • • 有能力防护L3-L4层的DDoS攻击 确保用户的访问体验
业务创新,从传统商务模式向O2O服务模式
建立高可用,具备高并发处理能力的电子商
解决方案优势:
• • • • 路,同时为业务级容灾数据中心预留空间
GTM+LTM结合,完美解决进站出站流量负
Line graphs
Two- to three-line summary of findings. Further detail in the right h
2013 PR
Lorem ipsu et consecte sit amet, n
Lorem ipsu et. Consec dolor sit am consectetu
•为用户提供可控的外网DNS服务,并可有效防范针对DNS的DDO
•可提供2-4层网络防火墙安全防护和L3-L4 DDOS防护功能(*); •可为用户打造应用级容灾的双活数据中心(*);
•多种功能融合在一个平台上实现,简化了数据中心架构,降低了
注:* 标识功能需扩展至标准版。
推荐解决方案: 低配 – LC2000S * 2 ; 高配 -- BR4000S * 2
Pie Chart
Two- to three-line summary of findings. Further details in the right
58% 23% 10% 9%
Lorem ipsum dolo et consectetur lor
Lorem ipsum dolo et consectetur lor
$XXXM
Projected income for the first 3 months of 2013
$XXXM
$X million
Sept 12, 2013
Projected in 3 months of
Doughnut charts
Here’s another option for percentage-based information. Three to
• LTM设备确保大量并发业务系统的安全、快速和 F5 BIG-IP标准版 互联网 接入区 处理问题;
• AFM网络防火墙为IDC提供3-4层网络安全防护; 供了强大的控制力;
• TMOS融合了可定制的iRules和UIE,为处理应用 Switch Switch • AVR模块提供WEB应用性能检测、监控; 远程管理;
F5的解决方案
Clients
解决方案说明:
• GTM+LTM结合,完美解决进站出站流量负载、
多条运营商链路,同时为业务级容灾(双活)数
• GTM提供DNSSEC功能,确保DNS来源的真实性 统安全; 电信 联通 移动
• DNS Service为用户提供最大超过8M QPS的高性
御DNS DDoS攻击;
完善的DDOS安全防护架构,对恶意攻击起到
业务价值
• 帮助用户解决互联网出口多链路问题,杜绝链路单点故障,消 路间的瓶颈。
• 还可为用户在互联网出口实现外网DNS、应用级容灾和L3-L4 D 务。
为什么选择F5
欢迎关注F5微信公众号
Charts and Graphs
The following slides are examples of how to present statistics and data in visual formats.
核心业务:
• 电子商务平台 • CMS\EPS系统 • 电子邮件系统 • 产销管理系统
设备部署:
• BR-4000s * 2
客ቤተ መጻሕፍቲ ባይዱ收益:
• • • • 服务的需求,大大降低了管理的复杂度
通过F5 BR-4000S的部署,使用F5 Synthes
实现了企业各种核心业务系统应用的高可用
提升了 DNS 基础架构的性能和其安全防护能
方案优势
• 使用F5 Synthesis新融合架构,在一台设备上实现客户的L4-L7 了30%管理运维任务
• 实现了企业互联网出口多链路出向与入向的智能流量管理,保 口7*24的连续性;
• 完善的DDOS安全防护架构,对恶意攻击起到了很好的防护,减 部攻击;
• 为用户未来扩展为双活数据中心提供了保障。
Lorem ipsum dolo et consectetur lor
Lorem ipsum dolo et consectetur lor
Bar charts
Two- to three-line summary of findings.
$XXXM
Projected income for the first 3 months of 2013
GTM提供完善的DNS服务,提供智能的DN
LTM设备确保大量并发业务系统的安全、快
AFM数据中心防火墙可部署1-4层网络安全策
DDOS攻击防护
• • •
高性能的体系架构,支撑数据中心业务的处
TMOS融合了可定制的iRules和UIE,为处理
APM提供安全便捷的远程SSL VPN接入,方
主要技术:
• 多链路负载均衡 • 外网智能DNS及安全防护 • 应用双活 • L3-L4 DDOS防护 • 数据中心防火墙
50%
SUBJECT: 400,000
74%
SUBJECT: 400,000
82%
SUBJECT: 400,000
You can double-click on these charts to open in Excel and change the data there.
• 自带 SSL VPN模块帮助用户在任何地点安全快速
• 提供高性能的硬件体系架构,满足用户性能和功
应用服务器群组
• 简化整个数据中心多层架构,减少故障点及设备
应用服务区域
方案优势
•确保用户在互联网发布的业务系统能够被安全快速地访问;
•让用户可智能选择最优链路访问Internet资源,实现多条运营商链