F5BIGIPSSL加速全攻略.docx

《F5BIGIPSSL加速全攻略.docx》由会员分享，可在线阅读，更多相关《F5BIGIPSSL加速全攻略.docx（27页珍藏版）》请在优知文库上搜索。

1、F5BIGIP-1.TMSS1.应用加速技术白皮书2007-10-0216:50:59作者：Netoo*;F5Jtetwrorks浏览次发；13文字大小；(AJ【中】【小】简介，FSB1.C1.P-1.n1.S$1.应用加速技术白皮书1SS1.加速原理1.1SS1.u要介绍SS1.是被谀计用来保证信息平安的一个惨仪.它依较于可*的TB林/来传珀数据，它的构点之一是独立于上层的应用层砂族(如：HnT.关健字1SS1.出火F5BIGIPISS1.加速原理I.1SS1.皆要介绍SS1.是被设计用来保证信息平安的一个林议，它依籁于可维的TCPifr议来传输数据.它的特点之一是独立于上层的应用层协议(如

2、：HTTP,等)，这些应用层冰议可以透明使地用SS1.悔议.SS1.苏汉可以林育一个对称加密算法和会话密钥.同时可以在通信之前认证效劳器的合法性。SS1.快或提供了一种“管道式平安”，它具有三个捋征：管道是保密的，保密性是递it使用加密技术来保证的，在逋过一个简单的握手过程之后获得一个共同的密机，作为对称加冬算法的密钥.首道是认证过的，效劳器端总是需要杷自己的证书里交给名户财.以便客户端对效劳器进行认证.效劳器可以选择是否需要客户端递交证书.管道是可教的，消息的传输包含了消息完整性检查。SS1.协议实际上由西个协议构成，位于下面的一层为SS1.记录协议(SS1.RecordProtoco1.)

3、,其上为SS1.控制协议(SS1.COntrO1.Protoco1.s),SS1.记录费议用于封装上层发送和接收的所有数据，当然包括SS1.控制冰议的ftJ8,SS1.控制费双包含：SS1.握手快议(SS1.1.IandShakCProtoco1.)SS1.宝钢交换协议(SS1.ChangeCiphersSpecification)SS1.报警协议(SS1.A1.ertProtoco1.)SS1.的握手过程是M立SS1.的主要加密和平安参数的过程，它是SS1.的控制协议执行的控制功能.握手过程表达在浏览器使用HTTPS访问WEB效劳器时.包活以下步骤：1浏览器向平安WEB效劳器发出一个HTTp

4、S的请求，比方：.2该WEB效劳器将它的证书送交给浏览器的SS1.模块。3浏览器检受效劳器递交的证书的有效性，比方有效日期和证书的蛰名等.如果该证书不是楼一个浏览器巳投信任的发证结为(CA)笫发的证书,浏览器将洋出一个对话框来提示用户是否信任该WEB站点证书.如果用户选择不信任该注书.谢究器会选择囱动中止该连接。I浏览6将把从WEB站点证书里取得的咕点名将和浏览错的UR1.里的域名相对照，如果相符，浏览器将认为站点为真正的站点。5浏览器将自己支杆的一系列算法发送给效劳器.6如果效劳母希夏客户端递交证书，浏览港将把自己的证书发送给效劳器，效劳器检查送交的迂书，并且检杳该证书是否为自己巴是信任的发

5、证机构(CA)发放的江书。如果不是.效劳器符自动中止该次埃接。7效劳器帮选择自己和客户端共同支持的加密算法，然后发送给客户转.8 浏览器产生一个会话击钥.然后把该第钥通过效劳器的公钥加密后传给效劳器。9 效劳器接收到该加过密的会话宝钢后用自己的私钥解密,得到会话冬制的明文。IO客户端和效劳器使用刚刚办薪的会话帝制对应用层的翁:据进行加解密，对传输的数抠进行平安保护.典量的SS1.应用部署如下:呻JtMrT1.W刚加*阳1.2 B1.GIPSS1.加速在SS1.处理过程中，所有的传输内容均采用加密算法处理.其中最重要的两个局部为SS1.握手时交换秘斩的非对称加密和数据传输时的对称.加雷。在现有的

6、系统中.通常非对成加密采用1024位的密钥进行加解密,因此对效劳器的CPU占用率非常高。在一台最新型号的双Xeon效劳器上，大约每秒钟400次非对称加解密就能导致CPU占用率100%.同时对称加密通常采用128位,殿高256位加密的加解密也会导致效劳赛CPU占用率居高不下，同样的效劳帮SS1.jft量大为能到达150Mbpso因此当我们在部署SS1.应用时,必须考虑到以下参数：TPS：TransectionPerSecond,也就是每秒钟完成的手对称加解密次数Bu1.k：SS1.对称加解密的吞吐能力,逋常以MhPS未迸行衡量，当SS1.的客户朗压力超it40OTPS时，单台效劳器就很难处理请求

7、了.因比，必须采用SS1.扣i设备来进行处理.B1GIP-1.TM/ACC系列可从录低2000TPS到61000TPS实现全硬件处理SS1.非对称加密和对称加密流量,其实现的结构如下:HTTPS作废证书验证CR1.DPServerHTTPBIGIP服务翳群组OCSPServerJJ证书发放，更新作改证书列表CAServer所有的SS1.流均在B1.GIP上终结,B1.GIP与效劳器之间可采用HrrP或者翦加落的SS1.进行逋讯.这样,就极大的减小了效劳罂埼对HTTPS处理的压力，可将效劳器的处理能力释放出来，更加专注的处理业务建辑.在B1.G1.P可处理单向SS1.连接,双向SS1.i1.接。

8、并且可同时处理多种类型和多个应用的SS1.加解密处理.采用B1.GIP实现SS1.加速的性能如下表:version9.0.4orgreaterBIG-IP1500v9BIG-IP3400v9BIGMP6400v9BIGMP6800v91.ayer4RequestsZSec60.000110.000220.000220.0001.ayer7RequestsZSec22.00050.00075.000110.000MaxThroughput500Mbs1Gbs1.7Gbs3.5GbsMaxCone.Connections4Mi1.1.ion4Mi1.1.ion8Mi1.1.ion8Mi1.1.io

9、nMaxSS1.TPS2.1005.10015.10020.100MaxSS1.Bu1.k500Mbs1Gbs2Gbs2GbsMaxSS1.CC100,000200,000500.000500.000MaxCompression100Mbs500Mbs2Gbs2Gbs在B1.GIP新的硬件平台B1.GIP8400和880Q上,SS1.加速的处理能力正会有成倍的提高.由于采用了独立的平安NP硬件加速SS1.流量，根本上对于SS1.的流量可实现零CPU占用率.因此，当采用内置模式时，SS1.加解髻动作根本不会影晌到负莫均南的处理能力.1.3 B1.G1.PSS1.加速产品系列产品型号配置功能BIG

10、IP3,100-ACC8个10/100/1000M电口，2个可选光纤接口自带500OTPSSS1.加速1.icense,带宽控制，50OMbPSHrrp压缩，内存CaCheB1.GIP1500-1.7M4个10/100/100OM电口,2个可选光纤接口臼等100TPSSS1.加速1.iCCnSC.效劳器负践均衙,最大支持2000TPS,500MbpsSS1.Bu1kBIGIP3100-1.118个10/100/100OM电口.2个可选光纤接口百号100TPSSS1.加速1.icense,效劳器负我均街，最大支持5000TPS,IGbpsSS1.Bu1.kBIGIP6400-1.TM16个10/

11、100/】OoOV电口.4个可选光纤接口g100TPSSS1.1.icense.效劳器负投均街.最大支持15OOOTPS,2GbpsSS1.Bu1.kB1.GIP6800-1.n1.6个10/100/10OOi(电口.4个可选光纤接口自带100TPSSS1.加速1.iCCnSc,效劳器负载均衡,最大支抖20I(KnPS,2GbpsSS1.Bu1.kB1.GIP8400-1JM12个10/100/100OM光/电口，2个可选IOG光纤接口自带100TPSSS1.1.icense,效劳器鱼能均衡，最大支持22000TpS,2.5GbpsSSI.Bu1.k除B1.G1.P3400-ACC之外，其他的

12、产品系列均可根据客户需求增加SS1.处理能力和选配其他功能模块，包括HrrP压境.内存CaChc.带宽控制、IPV6等.2主要实现功能2.1核心功能客户机到BIG1.P珀到珀加密通道B1.GIP采用标准的SS1.加密通道侍议.可以和标准的浏览器配合，支持SS1./T1.S各版本的济议标准,在客户埠和B1.G1.P之间建立平安的SS1.Zr1.S加密通道。保证在通道内传检的HTTP请求的平安性,实现时应用平安的完整保护.证书认证劝健在B1.G1.p中可导入X5O9证书,可实现单向认证、双向认证.BIGIp可以提供应客户珀囱身的证书以供客户潴认证.也可以要求客户埼提交证书进行险证.琰保SS1.交易

13、的完整性和不可蚊棱性.效劳器SS1.传输通常情况下，客户端与B1.G1.P采用SS1.芝接.B1.GIP与后台效劳器采用HnPiI按。在某些平安要求较诲的场合下，需要BKnP与后台效劳法也采用HTTPS加密传输，以保证数据传输的全路径平安加密传输。B1.G1.P可支持与后台效劳器多种加密算诙的连接方式。资源访问控制在InGIP中可对客户期可访问资深和不可访何资源进行灵活的定义访问权限控制.可通过案户端是否有证书.COOkie,访问的UR1.答迸行判断,然后盾定用户是否有对谈,源的访问权展。将不平安和越权访问直接进行控制.证书信息遗传由于信息平安的完整性要求，当效劳器端在收到用户请求时,需要对客

14、户端迸行再次确认。以瑜认用户是通过平安网关访问。B1.GIP可以将客户婚迁书进行解析,将效劳器所需要的所有信息以HTTPUR1.叁数或者HTTPHeadcr等方式传盘蛤后台效劳器，以提供效劳器二次认证的信息。多应用系统支持在B1.G1.P可以支朴不杀数量的应用系统，并且可以同时支持域向、双向认证方式.便于SS1.加解密的集中控制.同时，B1.G1.P还可以同时支拎指UTTPS应用如HTTP、SMTP.POP3.DNS等应用的集葬方式.提供用户最大的灵活性和平安性。完善的日志籍出在B1.G1.P上可提供多种类型的日志输出：用户访问日志：可以记录用户的所有访问HTTP请求,并将其存放在BIGIP或

15、者远端SySIog效劳界上.错误信息日志：用户未援交证书、提交证书过期或巴嫩消等,均将被BIGIP记录在日志中.以提供审计查询。管理员操作日志：将管理员的所有操作均记荥下来，以提供审计查询或系统配置回溯。系统日志：B1.GIP自身的系统运行状态,后潴效劳器的DoWMUP状态等.平安加密毁别控制BIG1.P可支挥以下加密协议：SS12T1.Sv1.SGCZftfRFC2246中描述的所有标准侍议扩彘和密码AES（在RFC3268中进行了指逑）从现有的128位加密方式一直到RES256位的扣定算法.BIGIP均可提供全硬件加速支持用户自定义功能BIGIP内置有iRu1.es可编程控制语言.具有50多个事件、200多个西数,允许用户就流量进行任慝受理。典型的诂如客户满三.次握手完戌、SS1.握手、客户端证书提交、SS1.握手克成等BIG1.P均有对应的事件处理.并且丰富的函数和垃程也可以对数抠迸行灵活处理，比方查找.比对、修改等.然后可以根据查找比对的结果作出相应的处理。2.2 附加功能效劳器负我均衡和健康检查考虑到后台效劳器所承受的压力和冗余性.B