极速快乐十分开奖结果查询

服务热线:010-82583049

F5负载均衡解决方案

solution

当前所在位置:首页 > 解决方案> F5负载均衡解决方案

1.1.1 银行总部内网OA系统负载均衡及防攻击解决方案

 

项目概况:

 

 该银行为首家全国性股份制商业银行,是中国金融体制改革的先行者。为我国股份制商业银行的发展开辟了道路,对金融改革起到了催化、推动和示范作用。

 内部portal系统是银?#24515;?#37096;的OA核心系统,各个?#20013;?#22343;会连接到内部portal系统。该业务是一个银行的核心系统,且涉及到所有的?#20013;校?#29992;户希望能够提供一个安全、可靠、持续稳定运行的门户。通过架构流量管理产品,改进服务器和应用在运维时对在线业务的影响。

 

网络结构:

图片1.png 

客户需求:

 

 用户需要对在两台IBM主机上的4个OA业务同时实现负载均衡,并且要求系统能够实现无缝切换、在线维护。

 由于发生过?#20013;?#35774;备故?#31995;賈路?#36865;大量half-sync连接到portal服务器,导致核心的portal服务器故障。所以用户要求提供抵御核心系统防御half-sync的DDOS功能,以及阻止单一IP发起超过规定连接数的访?#26159;?#27714;。

 该故障的发生有两种原因:一是服务器或客户机中病毒,由病毒发起大量Syn连接到Portal服务器;二是由于应用的编写问题,在?#25345;?#24773;况下认为连?#29992;?#26377;建立成功,而在不停的向Portal服务器新建连接。

 高可靠性,通过HA方式保证系统的7x24小时服务,保证系统的高可靠性。

 提供有选择性的会话镜像功能,保证设备切换?#20445;?#20851;键的?#20184;?#24212;用的连续性。

 

F5的解决方案:

 

 采用F5公司提供的应用流量管理器LTM 6800两台做HA冗余结构,不但可以实现两台服务器的负载均衡,而且在系统级别实现了动态攻击抵御。

 系统采用了独特的TMOS系统,从内?#21496;?#33258;动可以防范通常的DoS/DDos攻击建立half-Sync的请求。

 采用系统内部提供的TCL脚本,我们轻松的实现了阻止同一IP客户建立超过规定的连接而不影响其已经建立的连接。

 F5负载均衡器内置业界唯一专有的四层ASIC芯片,加速对数据处理的性能。

 采用F5特有的负载均衡算法和健?#23548;?#26597;方法保证各种业务负载实时高效均衡。

 采用F5丰富的会话保持机制,对应用访?#23454;?#19968;致性进行流量控制。

 采用F5的温暖关机特性,减少系统运维时对用户在线访?#23454;?#24433;响。

 

为什么选择F5:

 

 可以支持所有基于TCP/IP的应用。

 可以自动抵御大量DoS/DDoS攻击,使后台的服务器不遭到任何攻击。

 在大量攻击情况下,正常的用户访问仍然能够被转发到服务器采用sync-cookie技术可以轻易的区分出攻击请求和正常访?#26159;?#27714;。

 采用内嵌的TCL脚本,可以阻止用户建立n个连接以上的请求。并且,系统在阻止第n+1个请求?#20445;?#24182;?#25442;?#24433;响现有的n个连接。尤其重要的是,这种设置是基于每一个对外服务单独设置的,带来了极大的系统灵活性。

 F5负载均衡器双机心跳线方式提供毫秒级快速切换,是OA系统这样的关键业务系统所必需的。

 F5在世界级银行(例如:花旗银行,美洲银行等)以及全国性银行(例如:工行,农行,建行,中行,?#34892;?#31561;)成功案例和优异运行记录。

 

关键技术阐述:

 

 UIE+iRule提供了对应用的可编程控制:

UIE -- Universal Inspection Engine可以将TCP/UDP的数据包打开,并搜索其中的特征数据。 iRules -- 可以根据UIE搜索到的数据进行应用规则处理。

UIE+ iRules可以帮助用户实现以下功能

 

1. 应用流量管理

2. 针对复杂应用的负载均衡和会话保持处理

3. 应用安全处理

 

下面的Rules通过统计客户端连接数,当某客户端连接数超过一定限度?#20445;?#21017;将其所有的新建连接拒绝。

 

when RULE_INIT {

  array set ::active_clients { }

}

when CLIENT_ACCEPTED {

  set client_ip [IP::remote_addr]

  puts "starting client---------$client_ip"

  if { [info exists ::active_clients($client_ip)] } {

    puts "origin connection is ==== $::active_clients($client_ip)"

    if {$::active_clients($client_ip) > 3 } {

      reject

      puts "client connection is reject"

      return

    } else {

      incr ::active_clients($client_ip)

    puts "bynow connection is ==== $::active_clients($client_ip)"

    }

  } else {

   puts "client connection is the first one"

    set ::active_clients($client_ip) 1

  }

}

when CLIENT_CLOSED {

  puts "closing_________[IP::remote_addr]"

  if { [info exists ::active_clients($client_ip)] } {

    incr ::active_clients($client_ip) -1

    if { $::active_clients($client_ip) <= 0 } {

      unset ::active_clients($client_ip)

    }

  }

}

 

 2.pngBIG-IP的SYNCheck特性提供全面的防SYN Flood攻击:

LTM6800可安全地过滤海量攻击,同时为合法连接用户提供不间断的服务。

 


 双机采用专用的心跳线,支持毫秒级切换:专用的心跳线使双机的切换变得更加快速可靠。双机的切换可以在200毫秒以内完成。

 

 双机连接状态镜像(Connection Mirroring):LTM设备支持会话表有选择性状态同步,可以选择设定对哪些应用采用会话状态同步功能。这样即可减轻双机状态同步对系统带来的额外压力,又可以对要求不间断运行的应用,做到双机切换对应用无影响。

 

 


极速快乐十分开奖结果查询