F5BIGIP-LTMSSL應(yīng)用加速技術(shù)白皮書范本

1、精品資料網(wǎng)（） 50萬份精華管理資料，3萬多集管理視頻講座精品資料網(wǎng)（）專業(yè)提供企管培訓(xùn)資料 HYPERLINK t _parent 更多資料請請?jiān)L問精品品資料網(wǎng) HYPERLINK () () SHAPE * MERGEFORMAT 此資料來自：精品資料網(wǎng)（ HYPERLINK ）聯(lián)系電話班手機(jī)供50萬份管理資料下載3萬集企業(yè)管理資料下載1300GB高清管理講座硬盤拷貝更多企業(yè)學(xué)學(xué)院： HYPERLINK 中小企業(yè)業(yè)管理全能能版183套講講座+899700份份資料 HYPERLINK t _blank 總經(jīng)理、高層管理理49套講座座+16

2、3388份資料 HYPERLINK t _blank 中層管理理學(xué)院46套講座座+60220份資料 HYPERLINK t _blank 國學(xué)智慧慧、易經(jīng)46套講座座 HYPERLINK t _blank 人力資源源學(xué)院56套講座座+271123份資料 HYPERLINK t _blank 各階段員員工培訓(xùn)學(xué)學(xué)院77套講座座+ 3224份資料 HYPERLINK t _blank 員工管理理企業(yè)學(xué)院院67套講座座+ 87720份資料 HYPERLINK t _blank 工廠生產(chǎn)產(chǎn)管理學(xué)院院52套講座座+ 133920份份資料 HYPERLINK t _blank 財(cái)務(wù)管理理學(xué)院53套講座座+

3、 177945份份資料 HYPERLINK t _blank 銷售經(jīng)理理學(xué)院56套講座座+ 144350份份資料 HYPERLINK t _blank 銷售人員員培訓(xùn)學(xué)院院72套講座座+ 48879份資料 HYPERLINK t _blank SHAPE * MERGEFORMAT 此資料來自：精品資料網(wǎng)（）聯(lián)系電話班手機(jī)供50萬份管理資料下載3萬集企業(yè)管理資料下載1300GB高清管理講座硬盤拷貝更多企業(yè)學(xué)學(xué)院： 中小企業(yè)業(yè)管理全能能版183套講講座+899700份份資料總經(jīng)理、高層管理理49套講座座+163388份資料中層管理理學(xué)院46套

4、講座座+60220份資料國學(xué)智慧慧、易經(jīng)46套講座座人力資源源學(xué)院56套講座座+271123份資料各階段員員工培訓(xùn)學(xué)學(xué)院77套講座座+ 3224份資料員工管理理企業(yè)學(xué)院院67套講座座+ 87720份資料工廠生產(chǎn)產(chǎn)管理學(xué)院院52套講座座+ 133920份份資料財(cái)務(wù)管理理學(xué)院53套講座座+ 177945份份資料銷售經(jīng)理理學(xué)院56套講座座+ 144350份份資料銷售人員員培訓(xùn)學(xué)院院72套講座座+ 48879份資料F5 BIIGIP-LTM SSL應(yīng)應(yīng)用加速技技術(shù)白皮書書 2007-10-002 166:50:59作者：來源：瀏覽覽次數(shù)：113文文字大?。骸尽俊尽俊尽亢喗椋篎55 BIGGIP-LLT

5、M SSSL應(yīng)用用加速技術(shù)術(shù)白皮書 1 SSSL加速原原理 1.1 SSSL簡要介介紹 SSSL是被設(shè)設(shè)計(jì)用來保保證信息安安全的一個個協(xié)議，它它依賴于可可靠的TCCP協(xié)議來來傳輸數(shù)據(jù)據(jù)。它的特特點(diǎn)之一是是獨(dú)立于上上層的應(yīng)用用層協(xié)議(如：HTTTP， .關(guān)鍵字： 1SSLL加速原理理1.1SSL簡簡要介紹SSSL是被被設(shè)計(jì)用來來保證信息息安全的一一個協(xié)議，它它依賴于可可靠的TCCP協(xié)議來來傳輸數(shù)據(jù)據(jù)。它的特特點(diǎn)之一是是獨(dú)立于上上層的應(yīng)用用層協(xié)議(如：HTTTP，等等)，這些些應(yīng)用層協(xié)協(xié)議可以透透明使地用用SSL協(xié)協(xié)議。SSSL協(xié)議可可以協(xié)商一一個對稱加加密算法和和會話密鑰鑰，同時可可以在通信信之

6、前認(rèn)證證服務(wù)器的的合法性。SSL協(xié)議議提供了一一種“管道道式安全”，它具有有三個特征征：管道是保保密的，保保密性是通通過使用加加密技術(shù)來來保證的，在在通過一個個簡單的握握手過程之之后獲得一一個共同的的密鑰，作作為對稱加加密算法的的密鑰。管道是認(rèn)認(rèn)證過的，服服務(wù)器端總總是需要把把自己的證證書遞交給給客戶端，以以便客戶端端對服務(wù)器器進(jìn)行認(rèn)證證。服務(wù)器器可以選擇擇是否需要要客戶端遞遞交證書。管道是是可靠的，消消息的傳輸輸包含了消消息完整性性檢查。SSL協(xié)協(xié)議實(shí)際上上由兩個協(xié)協(xié)議構(gòu)成，位位于下面的的一層為SSSL記錄錄協(xié)議（SSSL RRecorrd Prrotoccol），其其上為SSSL控制協(xié)協(xié)議

7、(SSSL Coontrool Prrotoccols)，SSLL記錄協(xié)議議用于封裝裝上層發(fā)送送和接收的的所有數(shù)據(jù)據(jù)，當(dāng)然包包括 SSSL控制協(xié)協(xié)議的數(shù)據(jù)據(jù)， SSSL控制協(xié)協(xié)議包含：SSL握握手協(xié)議(SSL Handdshakke Prrotoccol)SSL密密鑰交換協(xié)協(xié)議(SSSL Chhangee Cippherss Speecifiicatiion)SSL報(bào)報(bào)警協(xié)議(SSL Alerrt Prrotoccol) SSL的握握手過程是是建立SSSL的主要要加密和安安全參數(shù)的的過程，它它是SSLL的控制協(xié)協(xié)議執(zhí)行的的控制功能能。握手過過程體現(xiàn)在在瀏覽器使使用HTTTPS訪問問WEB服服務(wù)

8、器時，包包括以下步步驟：1瀏覽器向向安全WEEB服務(wù)器器發(fā)出一個個HTTPPS的請求求，比如：。2 該該WEB服服務(wù)器將它它的證書遞遞交給瀏覽覽器的SSSL模塊。3 瀏覽覽器檢查服服務(wù)器遞交交的證書的的有效性，比比如有效日日期和證書書的簽名等等。如果該該證書不是是被一個瀏瀏覽器已經(jīng)經(jīng)信任的發(fā)發(fā)證結(jié)構(gòu)（CCA）簽發(fā)發(fā)的證書，瀏瀏覽器將彈彈出一個對對話框來提提示用戶是是否信任該該WEB站站點(diǎn)證書。如果用戶戶選擇不信信任該證書書，瀏覽器器會選擇自自動中止該該連接。44 瀏覽器器將把從WWEB站點(diǎn)點(diǎn)證書里取取得的站點(diǎn)點(diǎn)名稱和瀏瀏覽器的UURL 里里的域名相相對照，如如果相符，瀏瀏覽器將認(rèn)認(rèn)為站點(diǎn)為為真

9、正的站站點(diǎn)。5 瀏覽器將將自己支持持的一系列列算法發(fā)送送給服務(wù)器器。6 如如果服務(wù)器器需要客戶戶端遞交證證書，瀏覽覽器將把自自己的證書書發(fā)送給服服務(wù)器，服服務(wù)器檢查查遞交的證證書，并且且檢查該證證書是否為為自己已經(jīng)經(jīng)信任的發(fā)發(fā)證機(jī)構(gòu)（CCA）發(fā)放放的證書。如果不是是，服務(wù)器器將自動中中止該次連連接。7 服務(wù)器端端選擇自己己和客戶端端共同支持持的加密算算法，然后后發(fā)送給客客戶端。8 瀏覽器產(chǎn)產(chǎn)生一個會會話密鑰，然然后把該密密鑰通過服服務(wù)器的公公鑰加密后后傳給服務(wù)務(wù)器。99 服服務(wù)器接收收到該加過過密的會話話密鑰后用用自己的私私鑰解密，得得到會話密密鑰的明文文。10 客戶端和和服務(wù)器使使用剛才協(xié)協(xié)

10、商的會話話密鑰對應(yīng)應(yīng)用層的數(shù)數(shù)據(jù)進(jìn)行加加解密，對對傳輸?shù)臄?shù)數(shù)據(jù)進(jìn)行安安全保護(hù)。典型的SSSL應(yīng)用部部署如下：1.2BIGIIP SSSL 加速速在SSLL處理過程程中，所有有的傳輸內(nèi)內(nèi)容均采用用加密算法法處理。其其中最重要要的兩個部部分為SSSL握手時時交換秘鑰鑰的非對稱稱加密和數(shù)數(shù)據(jù)傳輸時時的對稱加加密。在現(xiàn)有的系系統(tǒng)中，通通常非對成成加密采用用10244位的密鑰鑰進(jìn)行加解解密，因此此對服務(wù)器器的CPUU占用率非非常高。在在一臺最新新型號的雙雙Xeonn服務(wù)器上上，大約每每秒鐘4000次非對對稱加解密密就能導(dǎo)致致CPU占占用率1000%。同同時對稱加加密通常采采用1288位，最高高256位位

11、加密的加加解密也會會導(dǎo)致服務(wù)務(wù)器CPUU占用率居居高不下，同同樣的服務(wù)務(wù)器SSLL流量大約約能達(dá)到1150Mbbps。因因此當(dāng)我們們在部署SSSL應(yīng)用用時，必須須考慮到以以下參數(shù)：TPSS：Traansecctionn Perr Seccond，也也就是每秒秒鐘完成的的非對稱加加解密次數(shù)數(shù)Bullk：SSSL對稱加加解密的吞吞吐能力，通通常以Mbbps來進(jìn)進(jìn)行衡量。當(dāng)SSLL的客戶端端壓力超過過400TTPS時，單單臺服務(wù)器器就很難處處理請求了了。因此，必必須采用SSSL加速速設(shè)備來進(jìn)進(jìn)行處理。BIGIPP-LTMM/ACCC系列可從從最低20000TPPS到644000TTPS實(shí)現(xiàn)現(xiàn)全硬件處

12、處理SSLL非對稱加加密和對稱稱加密流量量。其實(shí)現(xiàn)現(xiàn)的結(jié)構(gòu)如如下：所有的SSSL流量均均在BIGGIP上終終結(jié)，BIIGIP與與服務(wù)器之之間可采用用HTTPP或者弱加加密的SSSL進(jìn)行通通訊。這樣樣，就極大大的減小了了服務(wù)器端端對HTTTPS處理理的壓力，可可將服務(wù)器器的處理能能力釋放出出來，更加加專注的處處理業(yè)務(wù)邏邏輯。在BIGIIP可處理理單向SSSL連接，雙雙向SSLL連接。并并且可同時時處理多種種類型和多多個應(yīng)用的的SSL加加解密處理理。采用BIGGIP 實(shí)實(shí)現(xiàn)SSLL加速的性性能如下表表：在BIGIIP新的硬硬件平臺BBIGIPP 84000和88800上，SSSL加速速的處理能能力

13、還會有有成倍的提提高。由于于采用了獨(dú)獨(dú)立的安全全NP硬件件加速SSSL流量，基基本上對于于SSL的的流量可實(shí)實(shí)現(xiàn)“零”CPU占占用率。因因此，當(dāng)采采用內(nèi)置模模式時，SSSL加解解密動作基基本不會影影響到負(fù)載載均衡的處處理能力。1.3BIGIIP SSSL加速產(chǎn)產(chǎn)品系列產(chǎn)品型號配置功功能BIGGIP 33400-ACC8個100/1000/10000M電口口，2個可可選光纖接接口自帶帶50000TPS SSL加加速Liccensee，帶寬控控制，5000Mbpps HTTTP壓縮縮，內(nèi)存CCachee BIGGIP 11500-LTM4個100/1000/10000M電口口，2個可可選光纖接接口

14、自帶帶100TTPS SSSL加速速Liceense，服服務(wù)器負(fù)載載均衡，最最大支持22000TTPS，5500Mbbps SSSL BBulkBBIGIPP 34000-LTTM8個個10/1100/11000MM電口，22個可選光光纖接口自帶1000TPSS SSLL加速Liicensse，服務(wù)務(wù)器負(fù)載均均衡，最大大支持50000TPPS，1GGbps SSL BulkkBIGIIP 64400-LLTM116個100/1000/10000M電口口，4個可可選光纖接接口自帶帶100TTPS SSSL加速速Liceense，服服務(wù)器負(fù)載載均衡，最最大支持1150000TPS，22Gbpss

15、SSLL BullkBIGGIP 66800-LTM16個110/1000/10000M電電口，4個個可選光纖纖接口自自帶1000TPS SSL加加速Liccensee，服務(wù)器器負(fù)載均衡衡，最大支支持201100TPPS，2GGbps SSL BulkkBIGIIP 84400-LLTM112個100/1000/10000M光/電口，22個可選110G光纖纖接口自自帶1000TPS SSL加加速Liccensee，服務(wù)器器負(fù)載均衡衡，最大支支持220000TPPS，2.5Gbpps SSSL Buulk除BIGIIP 34400-AACC之外外，其他的的產(chǎn)品系列列均可根據(jù)據(jù)客戶需求求增加SSS

16、L處理能能力和選配配其他功能能模塊，包包括HTTTP壓縮、內(nèi)存Caache、帶寬控制制、IP V6等。2主要要實(shí)現(xiàn)功能能2.1核心功能能客戶機(jī)機(jī)到BIGGIP端到到端加密通通道BIGGIP采用用標(biāo)準(zhǔn)的SSSL加密密通道協(xié)議議?？梢院秃蜆?biāo)準(zhǔn)的瀏瀏覽器配合合，支持SSSL/TTLS各版版本的協(xié)議議標(biāo)準(zhǔn)。在在客戶端和和BIGIIP之間建建立安全的的SSL/TLS加加密通道。保證在通通道內(nèi)傳輸輸?shù)腍TTTP請求的的安全性，實(shí)實(shí)現(xiàn)對應(yīng)用用安全的完完整保護(hù)。證書認(rèn)認(rèn)證功能在在BIGIIP中可導(dǎo)導(dǎo)入X5009證書，可可實(shí)現(xiàn)單向向認(rèn)證、雙雙向認(rèn)證。BIGIIP可以提提供給客戶戶端自身的的證書以供供客戶端認(rèn)認(rèn)證

17、。也可可以要求客客戶端提交交證書進(jìn)行行驗(yàn)證。確確保SSLL交易的完完整性和不不可抵賴性性。服務(wù)務(wù)器SSLL傳輸通常常情況下，客客戶端與BBIGIPP采用SSSL連接，BBIGIPP與后臺服服務(wù)器采用用HTTPP連接。在在某些安全全要求較高高的場合下下，需要BBIGIPP與后臺服服務(wù)器也采采用HTTTPS加密密傳輸，以以保證數(shù)據(jù)據(jù)傳輸?shù)娜窂桨踩用軅鬏斴?。BIGGIP可支支持與后臺臺服務(wù)器多多種加密算算法的連接接方式。資源訪問問控制在BBIGIPP中可對客客戶端可訪訪問資源和和不可訪問問資源進(jìn)行行靈活的定定義訪問權(quán)權(quán)限控制?？赏ㄟ^客客戶端是否否有證書、Cookkie、訪訪問的URRL等進(jìn)行

18、行判斷，然然后確定用用戶是否有有對該資源源的訪問權(quán)權(quán)限。將不不安全和越越權(quán)訪問直直接進(jìn)行控控制。證證書信息透透傳由于信信息安全的的完整性要要求，當(dāng)服服務(wù)器端在在收到用戶戶請求時，需需要對客戶戶端進(jìn)行再再次確認(rèn)。以確認(rèn)用用戶是通過過安全網(wǎng)關(guān)關(guān)訪問。BBIGIPP可以將客客戶端證書書進(jìn)行解析析，將服務(wù)務(wù)器所需要要的所有信信息以HTTTP UURI參數(shù)數(shù)或者HTTTP HHeadeer等方式式傳遞給后后臺服務(wù)器器，以提供供服務(wù)器二二次認(rèn)證的的信息。多應(yīng)用系系統(tǒng)支持在在BIGIIP可以支支持不限數(shù)數(shù)量的應(yīng)用用系統(tǒng)，并并且可以同同時支持單單向、雙向向認(rèn)證方式式。便于SSSL加解解密的集中中控制。同同時，

19、BIIGIP還還可以同時時支持非HHTTPSS應(yīng)用如HHTTP、SMTPP、POPP3、DNNS等應(yīng)用用的集群方方式。提供供用戶最大大的靈活性性和安全性性。完善善的日志輸輸出在BIIGIP上上可提供多多種類型的的日志輸出出：用戶訪問日日志：可以以記錄用戶戶的所有訪訪問HTTTP請求，并并將其存放放在BIGGIP或者者遠(yuǎn)端Syyslogg服務(wù)器上上。錯誤信信息日志：用戶未提提交證書、提交證書書過期或已已吊銷等，均均將被BIIGIP記記錄在日志志中，以提提供審計(jì)查查詢。管理理員操作日日志：將管管理員的所所有操作均均記錄下來來，以提供供審計(jì)查詢詢或系統(tǒng)配配置回溯。系統(tǒng)日志志：BIGGIP自身身的系統(tǒng)

20、運(yùn)運(yùn)行狀態(tài)，后后端服務(wù)器器的Dowwn/UPP狀態(tài)等。安全加密密級別控制制BIGIIP可支持持以下加密密協(xié)議：SSSLv22TLSvv1SGCC/設(shè)置RRFC 22246中中描述的所所有標(biāo)準(zhǔn)協(xié)協(xié)議擴(kuò)展和和密碼AEES（在RRFC 33268中中進(jìn)行了描描述） 從現(xiàn)現(xiàn)有的1228位加密密方式一直直到AESS 2566位的加密密算法，BBIGIPP均可提供供全硬件加加速支持用戶自定定義功能BBIGIPP內(nèi)置有iiRulees可編程程控制語言言，具有550多個事事件、2000多個函函數(shù)，允許許用戶對流流量進(jìn)行任任意處理。典型的諸諸如客戶端端三次握手手完成、SSSL握手手、客戶端端證書提交交、SSLL

21、握手完成成等BIGGIP均有有對應(yīng)的事事件處理。并且豐富富的函數(shù)和和過程也可可以對數(shù)據(jù)據(jù)進(jìn)行靈活活處理，比比如查找、比對、修修改等，然然后可以根根據(jù)查找比比對的結(jié)果果作出相應(yīng)應(yīng)的處理。2.2附加功能能服務(wù)器器負(fù)載均衡衡和健康檢檢查考慮到到后臺服務(wù)務(wù)器所承受受的壓力和和冗余性，BBIGIPP可以在完完成SSLL加解密的的同時，對對后臺服務(wù)務(wù)器進(jìn)行負(fù)負(fù)載均衡，同同時檢查服服務(wù)器的真真實(shí)可用性性。以確保保交易的不不間斷性。服務(wù)器器慢啟動和和停機(jī)維護(hù)護(hù)當(dāng)后臺有有多臺應(yīng)用用服務(wù)器，新新節(jié)點(diǎn)加入入或者恢復(fù)復(fù)時，BIIGIP可可以通過慢慢啟動方式式來保證服服務(wù)器的壓壓力逐步增增加，以避避免新服務(wù)務(wù)器壓力過過

22、載。當(dāng)服服務(wù)器需要要停機(jī)維護(hù)護(hù)時，BIIGIP可可以允許當(dāng)當(dāng)前的用戶戶連接不中中斷，而新新的請求分分配到其他他服務(wù)器上上。保證當(dāng)當(dāng)前用戶訪訪問的不中中斷，這樣樣，大大減減小了維護(hù)護(hù)的壓力。應(yīng)用兼兼容性BIIGIP可可與多種應(yīng)應(yīng)用系統(tǒng)進(jìn)進(jìn)行配合，具具有極高的的兼容性。現(xiàn)有的系系統(tǒng)包括IIIS、AApachhe、ToomCatt、WebbLogiic、WeebSphhere等等系統(tǒng)BIIGIP都都可以實(shí)現(xiàn)現(xiàn)無縫的配配合。多多結(jié)構(gòu)支持持BIGIIP可支持持負(fù)載均衡衡內(nèi)置SSSL加速方方式以實(shí)現(xiàn)現(xiàn)應(yīng)用的統(tǒng)統(tǒng)一管理，簡簡單維護(hù)。也可以支支持SSLL加速外掛掛方式以實(shí)實(shí)現(xiàn)系統(tǒng)良良好的擴(kuò)充充性和高性性能。靈

23、靈活的CRRL驗(yàn)證機(jī)機(jī)制BIGGIP可支支持3種方方式的CRRL（用戶戶吊銷列表表）驗(yàn)證文件方式：將CRLL以文件方方式加載到到BIGIIP內(nèi)存中中。OCSSP：通過過OCSPP認(rèn)證網(wǎng)關(guān)關(guān)進(jìn)行客戶戶端證書認(rèn)認(rèn)證。CRRLDP：通過CRRL Diistriibutiing PPointt去讀取LLDAP或或者HTTTP服務(wù)器器上的CRRL列表。透明SSSL模式支支持在透明明SSL加加速模式中中，客戶端端通過域名名HTTPPS直接訪訪問后臺的的WEB服服務(wù)器。在在流量通過過BIGIIP時，BBIGIPP截獲HTTTPS流流量，并對對其進(jìn)行解解密，然后后將請求發(fā)發(fā)送到后端端服務(wù)器的的HTTPP端口。

24、在在服務(wù)器處處理完成后后，將頁面面內(nèi)容返回回給BIGGIP，由由BIGIIP進(jìn)行加加密后返回回給Cliient端端。這樣對對于客戶端端來說根本本感覺不到到BIGIIP的存在在?？蛻舳薎IP透傳BBIGIPP 可以不不改變客戶戶端源地址址直接將請請求發(fā)送到到服務(wù)器上上，以提供供服務(wù)器日日志和審計(jì)計(jì)需要，也也可以將客客戶端源地地址插入到到HTTPP Heaader中中提供給后后臺的服務(wù)務(wù)器進(jìn)行處處理。多CA支支持在BIIGIP上上的同一個個虛擬服務(wù)務(wù)器中，可可以支持多多個CA所所頒發(fā)的客客戶端證書書認(rèn)證、CCRL訪問問控制和客客戶端證書書選擇。多多CA支持持通常用于于用戶在不不改變原有有系統(tǒng)的情情

25、況下，加加入新的CCA認(rèn)證體體系，而不不讓原有的的用戶感覺覺到任何改改變。實(shí)現(xiàn)現(xiàn)系統(tǒng)的透透明遷移。應(yīng)用優(yōu)化化在BIGGIP中擁擁有許多專專利技術(shù)的的應(yīng)用優(yōu)化化功能，包包括TCPP Exppresss、HTTTP壓縮、HTTPP緩存、訪訪問鏈接聚聚合等。一一方面提高高了用戶的的響應(yīng)速度度，另一方方面減小了了服務(wù)器端端的壓力。同時，HHTTP壓壓縮等功能能還減小了了帶寬的占占用，直接接為企業(yè)減減小了帶寬寬租借費(fèi)用用。帶寬控制制BIGIIP靈活的的七層帶寬寬控制模塊塊，可靈活活的根據(jù)用用戶的特征征、訪問的的應(yīng)用等進(jìn)進(jìn)行應(yīng)用的的優(yōu)先級處處理，保證證關(guān)鍵業(yè)務(wù)務(wù)的帶寬使使用。2.3產(chǎn)品品特性專專用硬件平平

26、臺提供高高性能SSSL加速BBIGIPP內(nèi)置高速速安全NPP硬件處理理芯片，可可完全支持持SSL握握手時的非非對稱加解解密和SSSL數(shù)據(jù)傳傳輸時的對對稱加解密密。實(shí)現(xiàn)CCPU的”零”占用用率。透透明和兼容容性BIGGIP默認(rèn)認(rèn)工作在透透明模式，在在服務(wù)器端端接收的HHTTP請請求看上去去全部來源源于真實(shí)的的客戶端。BIGIIP極高的的兼容性，保保證了和后后臺的多種種業(yè)務(wù)系統(tǒng)統(tǒng)對接時的的易于部署署。易用用性BIGGIP具備備iConntroll二次開發(fā)發(fā)接口，用用戶可靈活活實(shí)現(xiàn)BIIGIP上上數(shù)據(jù)的采采集和設(shè)備備控制。簡簡潔的配置置界面和對對象式的PProfiile定義義也使管理理變得輕松松和簡

27、單。高安全全性強(qiáng)大的的硬件平臺臺和高效的的軟件設(shè)計(jì)計(jì)，保證在在BIGIIP后臺的的服務(wù)器避避免DDOOS攻擊。ASM模模塊的加入入進(jìn)一步保保證了用戶戶的系統(tǒng)免免受各種針針對HTTTP應(yīng)用的的攻擊手段段。高可可擴(kuò)展性由由于負(fù)載均均衡和SSSL加速功功能的合二二為一，BBIGIPP可以進(jìn)行行多種組合合方式，確確保后臺服服務(wù)的高可可擴(kuò)展性和和自身的高高可擴(kuò)展性性。高可可靠性完善善的負(fù)載均均衡算法、服務(wù)器健健康檢查以以及自身的的高可用性性設(shè)計(jì)，都都充分保證證了系統(tǒng)的的高可靠性性。3BBIGIPP SSLL加速典型型部署結(jié)構(gòu)構(gòu)3.1內(nèi)置SSSL加速的的結(jié)構(gòu)：如圖：HTTTPS流流量到達(dá)BBIGIPP上的

28、VSS，由VSS處理之后后轉(zhuǎn)換成HHTTP流流量直接發(fā)發(fā)往服務(wù)器器，服務(wù)器器處理完成成后返回給給BIGIIP，然后后由BIGGIP加密密后返回給給用戶。3.2外外掛SSLL加速器的的結(jié)構(gòu)：通通常情況下下，考慮到到系統(tǒng)的可可擴(kuò)展性，可可采用獨(dú)立立的設(shè)備分分別實(shí)現(xiàn)服服務(wù)器的負(fù)負(fù)載均衡和和SSL加加速，同時時負(fù)責(zé)服務(wù)務(wù)器負(fù)載均均衡的BIIGIP LTM也也實(shí)現(xiàn)了SSSL加速速用BIGGIP LLTM的負(fù)負(fù)載均衡。建議的系系統(tǒng)結(jié)構(gòu)圖圖如下：在外掛方方式下，通通常加速器器直接連接接在BIGGIP上，這這樣可以節(jié)節(jié)省核心交交換機(jī)的端端口，減少少數(shù)據(jù)包的的往返傳輸輸。根據(jù)實(shí)實(shí)際情況的的不同，也也可將加速速器

29、直接連連接在主干干交換機(jī)上上。但無論論如何連接接，實(shí)際的的數(shù)據(jù)流程程如下：上下的兩臺臺BIGIIP LTTM實(shí)際為為同一臺設(shè)設(shè)備。采用用外掛方式式下，HTTTPS流流量首先到到達(dá)實(shí)現(xiàn)負(fù)負(fù)載均衡功功能的BIIGIP LTM，然然后由BIIGIP LTM 分配到多多臺用于SSSL加速速的ACCC34000或BIGGIP LLTM上，在在SSL加加速器處理理完成后，將將HTTPP流量返回回到負(fù)責(zé)負(fù)負(fù)載均衡的的BIGIIP LTTM，并由由BIGIIP LTTM發(fā)往后后端的服務(wù)務(wù)器，再后后端服務(wù)器器處理處理理完成后原原路返回。4SSSL的認(rèn)證證模式4.1單向向認(rèn)證模式式在采用單單向認(rèn)證時時，主要是是客

30、戶端驗(yàn)驗(yàn)證服務(wù)器器端是否合合法。在建建立SSLL握手的時時候，服務(wù)務(wù)器將其證證書傳送給給客戶端進(jìn)進(jìn)行驗(yàn)證。客戶端主主要驗(yàn)證有有三個方面面：1、服務(wù)務(wù)器證書是是否在有效效時間內(nèi)即即服務(wù)器證證書的有效效時間與當(dāng)當(dāng)前時間相相比較，如如果過期，則則認(rèn)為該證證書已經(jīng)失失效。2、服務(wù)器器證書中的的域名是否否與用戶訪訪問的域名名一致即客客戶端訪問問的域名，如如在瀏覽器器中填入:，則訪問問的域名為為。服務(wù)器器的證書中中的域名必必須與此域域名一致。3、服服務(wù)器證書書是否由瀏瀏覽器認(rèn)可可的根證發(fā)發(fā)放在主流流的瀏覽器器軟件包括括IE和MMozilla的版本本中，均已已經(jīng)內(nèi)置了了全球主流流的CA系系統(tǒng)的根證證書。用戶

31、戶也可以自自行安裝可可信任的根根證書，比比如CFCCA、信安安以及各地地CA中心心的自建系系統(tǒng)的根證證書。瀏覽覽器將使用用內(nèi)置的根根證書對服服務(wù)器返回回的服務(wù)器器證書進(jìn)行行驗(yàn)證。如果驗(yàn)證全全部通過，則則SSL握握手成功，瀏瀏覽器將直直接發(fā)送HHTTP請請求到服務(wù)務(wù)器請求內(nèi)內(nèi)容。如果果任何一項(xiàng)項(xiàng)沒有通過過，瀏覽器器則會彈出出錯誤提示示，由用戶戶選擇是否否繼續(xù)進(jìn)行行。該提示示如下：其中，黃色色帶驚嘆號號的標(biāo)志為為驗(yàn)證失敗敗。綠色標(biāo)標(biāo)志為驗(yàn)證證成功。單向認(rèn)證的的流程如下下：4.2雙雙向認(rèn)證模模式 在雙向認(rèn)認(rèn)證模式下下，除客戶戶端驗(yàn)證服服務(wù)器端是是否合法外外，服務(wù)器器端也需要要驗(yàn)證客戶戶端是否為為合法

32、用戶戶。服務(wù)器器端需要安安裝頒發(fā)客客戶端證書書的CA的的根證書和和中間證書書，要求客客戶端提交交客戶端證證書，并通通過已經(jīng)安安裝的根證證書和中間間證書對客客戶端證書書進(jìn)行逐級級驗(yàn)證。以以確定客戶戶端是否為為合法用戶戶。當(dāng)客戶端連連接一個雙雙向認(rèn)證模模式的VSS時，除了了客戶端驗(yàn)驗(yàn)證服務(wù)器器端是否安安全外，還還需要進(jìn)行行以下步驟驟：1、客戶戶端彈出證證書選擇框框，該證書書選擇框內(nèi)內(nèi)列出服務(wù)務(wù)器端，也也就是BIIGIP上上所支持的的CA所發(fā)發(fā)布的證書書。2、客戶端選選擇證書然然后提交。3、BBIGIPP驗(yàn)證客戶戶端提交的的證書是否否由所信任任的CA所所發(fā)布。44、如果果配置了證證書吊銷列列表，BI

33、IGIP將將根據(jù)客戶戶端證書中中提供的CCRL發(fā)布布點(diǎn)，驗(yàn)證證客戶端提提交的證書書是否已經(jīng)經(jīng)被作廢。如果作廢廢或者證書書已經(jīng)過期期，則BIIGIP將將拒絕該用用戶登錄。雙向認(rèn)證的的流程如下下：現(xiàn)在國內(nèi)的的主流CAA系統(tǒng)為CCFCA和和信安的證證書系統(tǒng)。下面就針針對這兩種種證書體系系進(jìn)行分別別介紹。4.2.11CFCCA系統(tǒng)CCFCA為為銀行業(yè)的的官方證書書機(jī)構(gòu)，在在國內(nèi)有較較多的用戶戶。CFCCA的證書書系統(tǒng)中，分分為Enttrustt CA和和新的國產(chǎn)產(chǎn)CA兩個個系統(tǒng)。其中Enttrustt CA為為3級結(jié)構(gòu)構(gòu)，其結(jié)構(gòu)構(gòu)如下：國產(chǎn)CA為為兩級結(jié)構(gòu)構(gòu)，結(jié)構(gòu)如如下：在對CFCCA Cllient

34、t證書進(jìn)行行驗(yàn)證的時時候，BIIGIP需需要進(jìn)行多多級認(rèn)證。BIGIIP現(xiàn)支持持的最大多多級認(rèn)證深深度為9級級。以Enntrusst CAA三級證書書為例，其其驗(yàn)證流程程如下：驗(yàn)證Cllientt Cerrtifiicatee是否由PPCA認(rèn)可可驗(yàn)證PPCA是否否由OCAA認(rèn)可驗(yàn)驗(yàn)證RCAA是否是自自簽發(fā)證書書并存放在在BIGIIP的可信信任證書列列表（Trrusteed Auuthorritiees）中。如果三級認(rèn)認(rèn)證均通過過，則驗(yàn)證證該客戶端端為合法客客戶。4.2.22信安系系統(tǒng)信安的的系統(tǒng)為單單級證書體體系，在各各大銀行通通常是自建建CA。所所以通常情情況下根證證書均為銀銀行特有，在在配

35、置時需需要向客戶戶配合提供供根證書。在配置信信安系統(tǒng)的的時候，只只需要將提提供的根證證書配置為為Trussted Authhoritties即即可。注意意根證書必必須為PEEM格式，經(jīng)經(jīng)常可能能能拿到手的的證書為DDER格式式。5基基本功能及及配置5.1證書書的導(dǎo)入55.1.11服務(wù)器器證書的生生成和導(dǎo)入入如果由由BIGIIP來生成成服務(wù)器證證書需要通通過以下步步驟。選擇擇Locaal Trraffiic-SSSL CCertiificaates-Creeate注意Coommonn Namme一定要要設(shè)置為準(zhǔn)準(zhǔn)備用來使使用的域名名。點(diǎn)擊FFinissh繼續(xù)：點(diǎn)擊Dowwnloaad Xiin_

36、ann_serrver.csr到到本地硬盤盤，然后把把csr文文件提交給給CA，就就可以得到到相應(yīng)的證證書了。完完成后，在在SSL Ceriitifiicatees 的頁頁面中能看看到一個只只有keyy的條目：在從CAA得到證書書后，導(dǎo)入入到相應(yīng)的的名字即可可。如果已經(jīng)經(jīng)具備服務(wù)務(wù)器證書和和私鑰需要要通過以下下步驟進(jìn)行行導(dǎo)入選擇擇Locaal Trraffiic-SSSL CCertiificaates -Immportt選擇導(dǎo)入入的項(xiàng)目通常先導(dǎo)導(dǎo)入證書：在導(dǎo)入證書書成功后，再再點(diǎn)擊導(dǎo)入入的證書然然后導(dǎo)入相相應(yīng)的keey文件。5.1.22根證及及中間證書書的導(dǎo)入對對于單級證證書模式，將將PEM

37、格格式的根證證直接導(dǎo)入入即可：對于多級證證書模式，需需要將在整整個鏈上的的多個證書書進(jìn)行Booundlle。Booundlle的方式式為將多個個證書粘貼貼拷貝到一一起，然后后全部導(dǎo)入入：BEEGIN CERTTIFICCATEMIICCvDCCCAiWggAwIBBAgIEEPPx11qzANNBgkqqhkiGG9w0BBAQUFFADAggMQswwCQYDDVQQGGEwJDDTjERRMA8GGA1UEEChMIIQ0ZDDQSBSSQ0EwwHhcNNMDIwwNjA00MDczzOTIwwWhcNNMjIwwNjA00MDgwwOTIwwWjAggMQswwCQYDDVQQGGEw

38、JDDTjERRMA8GGA1UEEChMIIQ0ZDDQSBSSQ0EwwgZ8wwDQYJJKoZIIhvcNNAQEBBBQADDgY0AAMIGJJAoGBBALjjj9EbWWFRz66rj4aa42KppSB+jjPqoHHnkjmmr3S669P4AAicz99r6ZffFat11SvjJJAG4XXjB699ejGcczrP22Acp33JVyHH3jDMMXSa44EfEffw/Errom1IILaWyyjKTll/Cs778oJMMjGyiiZT5CCJ14ggH6o99rVYMMEr2FFjH6aa7SJKKJ/P/YBiQQzNh66h97ggynIyyJ5ChhAgM

39、BBAAGjjggEBBMIH+MBEGGCWCGGSAGGG+EIBBAQQEEAwIAABzBCCBgNVVHR8EEOzA55MDeggNaAzzpDEwwLzELLMAkGGA1UEEBhMCCQ04xxETAPPBgNVVBAoTTCENGGQ0EggUkNBBMQ0wwCwYDDVQQDDEwRDDUkwxxMCsGGA1UddEAQkkMCKAADzIwwMDIwwNjA00MDczzOTIwwWoEPPMjAyyMjA22MDQwwODA55MjBaaMAsGGA1UddDwQEEAwIBBBjAffBgNVVHSMEEGDAWWgBQAAmjTyyUflTTFGF00bnKh

40、hBt7HHgXAbbvDAddBgNVVHQ4EEFgQUUAJo008lH55UxRhhdG5yyoQbeex4FwwG7wwwDAYDDVR0TTBAUwwAwEBB/zAddBgkqqhkiGG9n0HHQQAEEEDAOOGwhWWNi4wwOjQuuMAMCCBJAwwDQYJJKoZIIhvcNNAQEFFBQADDgYEAAJv+ggsBZvv4egVVVt7qqPYUMM8M0rrfT2TTjUd/vm7ll7kmffGHLzz2hJRR2fMhhgMXoo8sxPPBA6DDL3ZWW08X+UA5GGsa344enwttkDEVVTe1NNvpz66L+W11C9hWWp

41、zyKKsK0HHQbrCC5xTLLAcEll7nlttZb/JJN44RRbcevvYcdAAt3SyyOAaooOtGlljBQwwFI0TTFdMwwHrg=ENDD CERRTIFIICATEEBEEGIN CERTTIFICCATEMIICCezCCCAeSggAwIBBAgIEEPPyMMXjANNBgkqqhkiGG9w0BBAQUFFADAggMQswwCQYDDVQQGGEwJDDTjERRMA8GGA1UEEChMIIQ0ZDDQSBSSQ0EwwHhcNNMDQwwODEwwMDgzzNjM33WhcNNMTQwwNzI11MTYwwMDAwwWjAkkMQswwCQY

42、DDVQQGGEwJDDTjEVVMBMGGA1UEEChMMMQ0ZDDQSBUURVNUUIENBBMIGffMA0GGCSqGGSIb33DQEBBAQUAAA4GNNADCBBiQKBBgQDYYrs500M7hqq8y0LLzFjffN3UPPQzGiiBg1kkLinPPqJcSSx7oRRXey115WpLLLMLtthcfpp9Gn/7uXmmtNL66athrr91YXXzrB33Rcp553U3zzqScGGE9h22ktFQQ3SNddZP6cc/VSQQ+27ppAVxWWRUC+F6pmmUsnoo+jd11mftYYjhKRRV8yvvCRpSSV6HDDzhLKK

43、83xbbkoCffiQIDDAQABBo4G99MIG66MEIGGA1UddHwQ77MDkwwN6A11oDOkkMTAvvMQswwCQYDDVQQGGEwJDDTjERRMA8GGA1UEEChMIIQ0ZDDQSBSSQ0ExxDTALLBgNVVBAMTTBENSSTDEwwCwYDDVR0PPBAQDDAgEGGMB8GGA1UddIwQYYMBaAAFACaaNPJRR+VMUUYXRuucqEGG3seBBcBu88MB0GGA1UddDgQWWBBRGGctwllcp8CCTlWDDtYD55C9vppk7P00RTAMMBgNVVHRMEEBTADDAQH/MBkGGC

44、SqGGSIb22fQdBBAAQMMMAobbBFY22LjADDAgSQQMA0GGCSqGGSIb33DQEBBBQUAAA4GBBAJ699l0Y11K+ayyEvojjzBHffzozMMf0a00aQMaaEbiiil+RJJQ8lvvwWHZZOeaRRTcJOOxyiPPoQ5DDZqhEEusXaavFPXX4J/mmE3H55PCnVV5tF77tSO77vEguuhs8mm2IXxxrOZCCpKmCCJVevvNdV99x0m99eD6229NVJJGf6883raMMx39FFt4HQQFaLTT+EXbbnSAWWvYemmPyOWWENDD CERRTIFIICA

45、TEE導(dǎo)入后，BBIGIPP會自動識識別其為一一個Bouundlee Cerrtifiicatee:同時，自自動識別出出Bounndle中中的各級證證書。在處理多級級證書和多多CA時，通通常會用到到Bounndle證證書方式。5.2CCliennt SSSL Prrofille的配置置Clieent SSSL PProfiile的配配置，是應(yīng)應(yīng)用SSLL加速功能能中最重要要的一個環(huán)環(huán)節(jié)。5.2.1單向認(rèn)證證方式單向向認(rèn)證模式式下，需要要配置的內(nèi)內(nèi)容較少：Certtificcate:服務(wù)器證證書Keey:服務(wù)務(wù)器證書對對應(yīng)的KeeyChhain:如果服務(wù)務(wù)器證書為為多級證書書體系，則則將中間證證

46、書添加在在這里。如如果是單級級證書體系系，則不需需要任何配配置。5.2.2雙向認(rèn)證證方式在雙雙向認(rèn)證模模式下，則則需要配置置BIGIIP驗(yàn)證CCliennt證書的的部分：在雙向認(rèn)證證時，需要要配置以下下內(nèi)容：TTrustted CCertiificaate AAuthooritiies：客客戶端證書書的根證書書Clieent CCertiificaate：這這里有兩種種模式可以以選擇 Requuire:客戶端必必須提交證證書，通常常都采用這這種方式 Reqquestt:客戶端端可提交證證書，也可可不提交證證書Advvertiised Certtificcate Authhoritties：在客

47、戶端端連接時，服服務(wù)器發(fā)送送到客戶端端的信息，該該信息使在在客戶端彈彈出的證書書選擇列表表中只包含含選中的根根證書所頒頒發(fā)的客戶戶端證書。配置時注注意如果有有中間證書書，則一定定要選擇根根證書和中中間證書的的Bounndle。5.3CRLDDP配置在在國內(nèi)現(xiàn)有有系統(tǒng)中，多多采用CRRLDP方方式進(jìn)行客客戶端吊銷銷證書驗(yàn)證證。BIGGIP可配配置多個CCRLDPP服務(wù)器，并并根據(jù)客戶戶端提交的的證書信息息CRLDDP說明去去查找不同同的CRLLDP服務(wù)務(wù)器。CRLDPP配置步驟驟為：創(chuàng)創(chuàng)建一個CCRLDPP Serrver：需要填入入CRLDDP Seerverr IP地地址、端口口，CRLLD

48、P SServeer的BaaseDNN。如果是是信安系統(tǒng)統(tǒng)，還需要要選擇ReeversseDN為為Enabble。創(chuàng)建一個個CRLDDP Coonfirruatiion：需需要填入CCRLDPP的更新間間隔時間，通通常為300分鐘，即即18000秒，并選選擇一個或或多個CRRLDP Servver。創(chuàng)建一個個CRLDDP Prrofille：選擇擇一個CRRLDP Conffigurratioon并配置置一個auuth rrule，通通常情況下下均采用系系統(tǒng)默認(rèn)值值。將CCRLDPP proo關(guān)聯(lián)：在在VS配置置的autthentticattion proffile中中選擇剛才才創(chuàng)建的CCRL

49、DPP Proofilee。在配置CRRLDP完完成后，BBIGIPP接收到客客戶端證書書后，將根根據(jù)證書中中的CRLLDP信息息查找相應(yīng)應(yīng)的CRLLDP服務(wù)務(wù)器，并比比較客戶的的Subjject是是否存在于于吊銷列表表中。如果果在吊銷列列表中，則則直接中斷斷客戶端連連接。如果果有特殊需需求，也可可以通過配配置將未通通過驗(yàn)證的的客戶請求求重定向到到指定的錯錯誤頁面上上。5.44ACLL訪問控制制在BIGGIP中，可可通過靈活活的Rulles來實(shí)實(shí)現(xiàn)用戶的的訪問控制制，通常訪訪問控制可可分為兩種種模式：允許指定定的URII訪問允許許，關(guān)閉其其他的所有有URI訪訪問關(guān)閉閉指定的UURI訪問問允許，

50、開開放其他所所有的URRI訪問典型的Ruules如如下：if $thee_urii staarts_withh /ccommoon oor $tthe_uuri sstartts_wiith /AddditioonalCCode rreturrnif $tthe_uuri sstartts_wiith /xxxx.htmml oor $tthe_uuri sstartts_wiith /eb HHTTP:reddirecct 5.5證書內(nèi)容容添加到HHTTP Headder在實(shí)實(shí)際應(yīng)用中中，通常需需要將證書書中的一些些字段如ssubjeect，EExpirre Daate，IIssuee Da

51、tte等信息息插入到HHTTP headder中，傳傳遞給后臺臺的服務(wù)器器，以便于于服務(wù)器對對用戶進(jìn)行行識別。在在BIGIIP中，可可以將證書書中的任何何字段添加加到HTTTP Heeaderr并傳遞到到后臺服務(wù)務(wù)器。添加加方法需要要通過ruules進(jìn)進(jìn)行。Ruless實(shí)例如下下：when CLIEENTSSSL_CLLIENTTCERTT seessioon addd sssl SSSL:sesssioniid SSL:cerrt 0 when HTTPP_REQQUESTT seet idd SSSL:ssessiioniddsett cerrt ssessiion llookuup ss

52、sl $iidHTTTP:headder iinserrt suubjecct XX509:subbjectt $ceertHHTTP:heaader inseert nnot_vvalidd_beffore X5009:nnot_vvalidd_beffore $cerrtHTTTP:headder iinserrt noot_vaalid_afteer XX509:nott_vallid_aafterr $ceert該Rulee運(yùn)行后，在在服務(wù)器端端收到的HHTTP請請求如下：GET / HTTTP/1.1Acccept: */*Acceept-LLanguuage: zh-cnAccce

53、ptt-Enccodinng: ggzip, defflateeUserr-Ageent: Moziilla/4.0 (commpatiible; MSIIE 6.0; WWindoows NNT 5.0)Hoost: 7Coonnecctionn: Keeep-AAliveesubjject: /CNN=0433501440n/OOU=NEET_COONN/OO=F5/C=CNNnot_valiid_beeforee: Feeb 233 05:43:447 20005 GGMTnoot_vaalid_afteer: FFeb 223 055:43:47 22007

54、GMT參考BIGGIP rreferrencee Guiide，我我們可以添添加更多的的內(nèi)容到HHTTP Headder中。5.6指定出錯錯頁面處理理對于出錯錯頁面的處處理有兩種種方式直接由HHTTP:ressponsse處理。Rulee如下：when HTTPP_REQQUESTT HTTTP:resppond 200 conttent Apollogy Pagee抱歉，您您訪問的頁頁面未經(jīng)授授權(quán)。.通過HTTTP rredirrect實(shí)實(shí)現(xiàn)：Rule如如下：whhen HHTTP_REQUUEST HTTTP:rredirrect 5.7同VS多多CA支持持在一些系系統(tǒng)中，由由于歷史原原因

55、，可能能會需求同同一個VSS支持兩套套或多套CCA系統(tǒng)。服務(wù)器器證書處理理在任何情情況下，針針對一個VVS，服務(wù)務(wù)器證書只只能有一個個。服務(wù)務(wù)器中間證證書處理由由于服務(wù)器器證書只有有一個，所所以服務(wù)器器中間證書書也只能有有一個，將將相應(yīng)的服服務(wù)器中間間證書配置置到Chaain即可可?？蛻魬舳俗C書根根證處理對對客戶端證證書的根證證書，則需需要將多個個CA的根根證書包括括中間證書書，全部BBounddle到一一個CA Bounndle中中。并添加加在Truustedd Autthoriitiess中?？涂蛻舳藦棾龀鲎C書選擇擇框處理客客戶端彈出出證書選擇擇框是由AAdverrtaisse Ceertifficatte配置選選項(xiàng)所決定定，在此應(yīng)應(yīng)當(dāng)和Trrusteed Auutoriitiess選擇同樣樣的CA Bounndle。CRLLDP的處處理配置多多個CRLLDP SServeer，添加加到同一個個CRLDDP Coonfiggurattion中中，BIGGIP可以以根據(jù)客戶戶端證書提提供的CRRL Diistriibutiion PPointt自動選擇擇相應(yīng)的CCRLDPP Serrver來來進(jìn)行驗(yàn)證證。5.8透透明SSLL處理在透透明SSLL模式下，需需要通配符符