客户简介
某银行始建于1908年(光绪三十四年),是中国早期四大银行之一,也是中国早期的发钞行之一。
1958年,除香港分行仍继续营业外,某银行国内业务分别并入当地中国人民银行和在XX银行基础上组建起来的中国人民建设银行。
为适应中国经济体制改革和发展,1986年7月24日,作为金融改革的试点,国务院批准重新组建XX银行。
1987年4月1日,重新组建后的某银行正式对外营业,成为中国第一家全国性的国有股份制商业银行,总行设在上海。
业务问题与障碍
某银行内部portal系统是银行内部的OA核心系统,各个分行均会连接到内部portal系统。由于该业务是交行的核心系统,且涉及到所有的分行,用户希望能够提供一个安全、可靠、持续稳定运行的门户。
同时,由于用户发生过分行设备故障导致发送大量half-sync连接到portal 服务器,导致核心的portal服务器故障。所以用户要求提供抵御核心系统防御half-sync的DDOS功能,以及阻止单一IP发起超过规定连接数的访问请求。
技术要求
由于客户内部portal采用两台IBM主机构成服务器组,用户需要对在两台IBM主机上的3-4个业务同时实现负载均衡,并且要求系统能够实现无缝切换、在线维护。
缩短访问时间
有效管理信息流量
增加设备利用率
F5 BIG IP独特的客户价值
BIG-IP是一台对流量和内容进行管理分配的设备,结合BIG-IP能够充分利用所有的服务器资源,将所有流量均衡的分配到各个服务器。它提供12种灵活的算法将数据流有效地转发到它所连接的服务器群。而面对用户,只是一台虚拟服务器。用户此时只须记住一台服务器,即虚拟服务器。但他们的数据流却被BIG-IP灵活地均衡到所有的服务器。
解决方案简介及示意拓扑
本方案采用F5公司提供最新版本V9软件的应用流量管理器BIG-IP 6800,该设备不但可以实现两台服务器的负载均衡,而且在系统级别实现了动态攻击抵御。
由于系统采用了独特的ATMOS系统,从内核就自动可以防范通常的DoS/DDos攻击建立half-Sync的请求。同时,由于采用系统内部提供的TCL脚本,我们轻松的实现了阻止同一IP客户建立超过规定的连接而不影响其已经建立的连接。
客户得到的益处和典范效应
某银行测试了多家安全厂商的产品,最终发现F5的BIG-IP 6800是最能够满足其需求的产品,其主要特点如下:
1>可以支持所有基于TCP/IP的应用;
2>可以自动抵御大量DoS/DDoS攻击,使后台的服务器不遭到任何攻击。
3>并且在大量攻击情况下,正常的用户访问仍然能够被转发到服务器采用sync-cookie技术可以轻易的区分出攻击请求和正常访问请求。
采用内嵌的TCL脚本,我们可以阻止用户建立100个连接以上的请求。并且,系统在阻止第101个请求时,并不会影响现有的100个连接。尤其重要的是,这种设置是基于每一个对外服务单独设置的,带来了极大的系统灵活性。
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073