لایسنس F5 BIG-IP

معرفی F5 Big-IP

همان‌طور که می دانید شرکت پر آوازه F5 محصولات مختلفی را در حوزه ADC ارائه داده است ازمعروف ترین محصولات سخت‌افزاری این شرکت F5 با نام BIG-IP می‌باشد، این تجهیز سخت‌افزاری از نظر معماری دارای ماژول‌های مختلف و با کارایی و عملکرد مختلف می‌باشند .به عنوان مثال می توان از این پلت فرم سخت افزاری برای توزیع درخواست به سمت سرورها به جهت Load Balancing ترافیک استفاده کرد که توسط ماژول نرم افزاری LTM این مهم صورت می‌گیرد و به عنوان یکی از مهم‌ترین و اساسی‌ترین ماژول‌های راه‌اندازی این تجهیزات معرفی می‌شود و همچنین پلتفرم‌های سخت‌افزاری این شرکت، در ۳ دسته‌بندی مختلف با نام‌های VIPRON Series ،iSeries و BIG-IP Series ارائه می‌شود .

Big ip چیست؟

ترافیک اینترنت همواره رو به افزایش است. این میزان افزایش ترافیک به حدی است که گزارش های ارائه شده در این زمینه نیز کاملا به آن اذعان دارند.شرکت سیسکو نیز درگزارش منتشر شده خود در سال ۲۰۱۸ میلادی افزایش سه برابری ترافیک اینترنت را تا سال ۲۰۲۲ پیش بینی کرده است. میزان قابل توجهی از این افزایش ترافیک بصورت ذاتی به سبب افزایش اتصال کاربران به اینترنت و بهبود کیفیت دسترسی به وب اتفاق می افتد. اما بخش اعظم این افزایش ترافیک به موجب تجهیزات متصل به اینترنت (IOT) یا همان اینترنت اشیاء ایجاد میشود. بنابر پیشبینی موسسه گارتنر بیش از ۲۵ بیلیون تجهیزات تا سال ۲۰۲۲ به اینترنت متصل خواهند شد. همگام با این افزایش تعداد تجهیزات متصل به اینترنت، زیرساخت های سرویس نیز باید پاسخگوی این حجم عظیم از درخواست باشند. با وجود اینکه به موجب بهره گیری از HTTP/2 هر کاربر تعداد کمتری Connection استفاده میکند، اما افزایش بسیار چشمگیر اتصالات Front End قطعیست. به منظور پاسخگویی به این حجم از درخواست، معماری اپلیکیشن ها نیز از حالت یکپارچه و واحد، به سوی مجموعه ای از چندین سرویس متصل، حرکت کرده است تا میزان بار ناشی از ترافیک کاربران بین چندین سرویس دهنده توزیع شده و ظرفیت های لازم ایجاد گردد.

بدین جهت مدیریت بر توزیع و همچنین برقراری امنیت ترافیک سرویس ها و Application ها دارای اهمیتی دو چندان است؛ که انجام این وظیفه بسیار مهم بر عهده تجهیزات Application Delivery Controller(ADC)، و یا در کلام کلی تر تکنولوژی ADC است.

امکانات F5 Big-IP

زمانیکه بطور مثال ما یک دیوایس F5 داریم به عنوان load balancer که به اسم Big-ip شناخته می‌شود قابلیت های بسیار زیادی به شما می دهد فرض کنید چندین سرور داخل شبکه خودتون دارید و از طرف کلاینت‌ها درخواست‌هایی برای شما ارسال خواهد شد با استفاده از F5 تمامی درخواست‌ها به آن ارسال خواهد شد و تصمیم گیری هم به عهده آن خواهد بود که درخواست‌ها را تقسیم بندی کند میان سرور های موجود در شبکه، در نتیجه بجای استفاده از یک سرور از چندین سرور استفاده خواهد شد و کارایی بالا خواهد رفت

یکی از کاربردهای مهم دیگر F5 میتوان از SSL Offloading نام برد به این صورت که زمانی که درخواست شما یک درخواست ssl باشد certificate بجای اینکه روی همه سرور ها پیکربندی بشه کافیست که روی لایسنس F5 اجرا بشه و درخواست های ssl رو پردازش کنه و به سرورها ارسال رو انجام بده.

سیستم F5 Big-IP دارای مولفه های متعددی میباشد که یکپارچگی این مولفه ها در قالب یک پلتفرم از مهمترین ویژگی های آن است. در شکل زیر معماری سیستمی F5 BIG-IP نمایش داده شده است.

مزایایی F5 Big-IP

پایین ترین میزان TCO

کاهش TCO و همچنین زیرساخت مورد نیاز از طریق تجمیع کردن سرویس های امنیتی و Application در قالب یک پلتفرم.

حفاظت از داده حساس

ارائه سطح بالای ظرفیت مورد نیاز SSL برای حفاظت از داده های حساس از طریق واگذاری پردازش elliptical curve cryptography (ECC) به سخت افزار مقیاس پذیر دارای قابلیت Forward Secrecy (FC)

ایمن سازیApplicationها

ارائه موثرترین راهکار حفاظتی شامل محافظت در برابر DDoS، حفاظت Full Stack (L3-L7) شامل Firewall تایید شده توسط ICSA

انعطاف بسیار بالا در پیاده سازی

قابلیت پیاده سازی در محیط های گوناگون از جمله Cloud و Container

بیشترین حفاظت از سرمایه گذاری

قابلیت ها software-defined سری محصولات iSeries شامل تکنولوژی منحصر به فرد F5 TurboFlex™ FPGA که ما را قادر میسازد بصورت on-demand عملکرد دستگاه را برای انجام کاری خاص نظیر مقابله با DDoS و پردازش ترافیک های UDP، بهینه کنیم. بهره گیری از چنین قابلیت های ارتقای نرم افزاری ما را بی نیاز از ارتقای سخت افزار و صرف هزینه های گزاف میکند.

بیشترین سطحUptime

تضمین پیاده سازی سرویس های شما بر بستر سخت افزاری کاملا قابل اطمینان و Carrier-grade که دارای اجزای Hot-swap می باشد.نسل جدید تجهیزاتF5 ، BIG-IP iSeries نام دارند.این رده از محصولات ماهیتی سخت افزاری ثابتی دارند و برخلاف F5 VIPRION نوع Chassis-based، ظرفیت سخت افزاری این محصولات F5 ثابت است. این رده از تجهیزات را میتوان جدید ترین تجهیزات F5 دانست زیرا از بالاترین سطح تکنولوژی برخوردارند. از جمله قابلیت های قابل ارائه بر روی iSeries عبارتند از:

پروفایل های عملکردی قابل برنامه ریزی

هنگامی که نرم افزار و CPU پاسخگوی نیاز های عملکردی نبودند، تکنولوژی استفاده از چیپ های خاص منظوره ASIC متداول شد. ASIC ها، قابلیتی خاص را با بالاترین سرعت ممکن بر روی سخت افزار ارائه میکنند. اما بزرگترین محدودیت ASIC ها این است که تنها برای انجام کاری خاص طراحی شده اند و چنانچه قابلیتی مورد نیاز باشد که بر روی ASIC از قبل طراحی نشده باشد، این چیپ ها با محدودیت مواجه میشوند. در این هنگام بار دیگر Application باید Taskها نرم افزاری خود را از طریق CPU به انجام رساند. اگر CPU را کم سرعت، منعطف و دارای قابلیت های متعدد در نظر بگیریم و ASIC را غیر منعطف اما بسیار سریع بدانیم، تکنولوژی سوم در میانه قرار میگیرد: Field-Programmable Gate Array(FPGA) یک FPGA کندتر از ASIC و بسیار سریعتر از CPU است و میتواند برای انجام Task های گوناگونی برنامه ریزی شود.

در محصولات BIG-IP iSeries تکنولوژی FPGA در قلب مسیر هدایت و پردازش ترافیک قرار گرفته و تصمیمات بسیار مهم مدیریت بر ترافیک را اتخاذ نموده و Offload نمودن پردازش های امنیتی و پروتکل ها را بر عهده دارد. در شکل زیر جایگاه تکنولوژی FPGA در معماری سیستمی F5 BIG-IP Series نمایش داده شده است.

F5 TurboFlex

استفاده از تکنولوژی FPGA در نسل قبلی ADCها بکار گرفته شده است اما در BIG-IP iSeries هم از لحاظ تعداد و هم نوع بهینه سازی عملکرد و همچنین به لطف F5 TurboFlex™ چگونگی اعمال پروفایل های بهینه سازی عملکرد بهبود یافته است.

قابلیت هایSSL سخت افزاری جدید

هرچه حملات بر روی SSL/TLS پیشرفته تر شوند میزان طول کلید ها نیز باید افزایش یابد. کلید های طولانی تر توان پردازش به مراتب بیشتری را طلب میکنند که قطعا CPU به تنهایی پاسخگوی این توان پردازشی نیست. از سوی دیگر پشتیبانی سخت افزاری از elliptical curve cryptography (ECC) موجب آن میشود که همچون SSL های سخت افزاری قدیمی CPU و نرم افزار درگیر پردازش SSL نشود.

– میزان حافظه بالا و پشتیبانی از تعداد اتصالات بسیار بالا

تجهیزات BIG-IP iSeries از تعداد اتصال بسیار بالاتری نسبت به نسل قبلی خود، پشتیبانی میکنند. همچنین مدیریت بر اتصالات نیز به نحو چشمگیری بهبود یافته است.

راهکار ارزان قیمت برای تامین لایسنس تجهیزات F5

بدلیل مشکلات متعدد تهیه Service Contract و خرید لایسنس اروجینال و همچنین با توجه به قیمت های سرسام آوری که بسیاری از مشتریان با آن مواجه بوده و هستند (که در صورت اعمال جریمه هزینه ها بیشتر هم خواهد شد)، شرکت افزار پرداز هوشمند سورنا اقدام به ارائه یک راهکار جایگزین با هزینه بسیار پایین تر جهت فعالسازی تمامی تجهیزات شرکت F5 اعم BIG-IP و BIG-IQ نموده است. این راهکار بدین شرح است که Firmware موجود روی دستگاه با یک نسخه اصلاح شده تعویض گردیده و پس از آن شرکت سورنا قادر خواهد بود نسبت به فعالسازی لایسنس دستگاه به صورت فول ماژول با مدت زمانی دلخواه اقدام نماید. لیست ماژولهای فعال شده به شرح ذیل است:

Local Traffic Manager (LTM)

Global Traffic (DNS)

Access Policy Manager (APM)

Advanced Firewall Manager (AFM)

Application Security Manager (ASM)

Carrier-Grade NAT (CGNAT)

Policy Enforcement Manager (PEM)

Fraud Protection Service (FPS)

Application Visibility and Reporting (AVR)

Application Acceleration Manager (AAM)

Secure Web Gateway (SWG)

SSL Orchestrator (SSLO)

Link Control (LC)

Max Compression

Routing Bundle
Crypto Offload

DNSSEC

Software Development Kit (SDK)

در این مدل از لایسنس مشتری قادر است تمامی آپدیتهای ارائه شده توسط شرکت F5 را به صورت آفلاین و هفتگی نصب و بروزرسانی نماید، همچنین آپگرید نسخه جدید Firmware تجهیز مورد نظر هم طی مدت گارانتی بر روی تجهیز نصب و فایل ISO اصلاح شده به کارفرما تحویل داده خواهد شد.

در صورت صلاحدید کارفرما مراحل نصب و تحویل آپدیت ها بصورت آفلاین و حضوری توسط کارشناس شرکت سورنا انجام خواهد پذیرفت ، بنحوی که کارشناس در مکان مشتری که تجهیزات قرار داد حضور به هم میرساند و بصورت کاملا محدود و خصوصی شاسی Standby را از HA خارج کرده و آپدیت ها را نصب میکند، شاسی را HA کرده بعد از آن شاسی Standby را Active میکند و شاسی دو هم به ترتیب قبل از HA خارج میکند و آپدیت ها را نصب خواهد و دوباره به HA برمیگرداند. این پروسه حدود 1 تا 2 ساعت برای یک جفت تجهیز زمان میبرد. همچنین پشتیبانی و نگهداری شامل پاسخگویی و رفع ایراد 7*24 در صورت بروز اختلال در عملکرد کلی و یا بخشی از تجهیزات که به دلیل بروز رسانی نرم افزار رخ داده باشد صورت می پذیرد.

مشاوره و نصب و راه اندازی کامل (در صورت نیاز کارفرما)

مشاوره و راه اندازی تجهیزات و راهکارهای شرکت F5 یکی از برجسته ترین خدمات تیم ما می باشد و در این زمینه قادر به ارائه خدمات فنی و تخصصی کاملی هستیم. از جمله این خدمات می توان به موارد زیر اشاره کرد:

شناخت نیازمندی ها ، شناخت و کشف وضعیت موجود
بررسی سناریوهای مختلف جهت برآورده شدن نیازمندی ها و شرایط موجود
طراحی اولیه بصورت HLD

تهیه و آماده سازی مستند LOM بر اساس طراحی اولیه
تهیه مستند RFP جهت برگزاری استعلام
نظارت بر فرآیند های تامین تجهیزات
نظارت بر فرآیند نصب و راه اندازی و تحویل تجهیزات
طراحی اولیه و طراحی با جزییات
نصب و راه اندازی اولیه تجهیزات موجود
تنظیمات تکمیلی تجهیزات بر اساس نیاز کارفرما و طراحی با جزییات
تهیه مستندات مربوط به تجهیزات و تنظیمات آنها
تنظیمات پیشرفته بعد از گذشت چندین روز از پایان تنظیمات تکمیلی (Tuning)
سرویس های نگهداری از جمله آپدیت ماژول های F5 ، آپگرید Image تجهیزات و همچنین بازدید دوره ای و رفع مشکلات موجود بر اساس قرارداد SLA فی مابین

خدمات فنی و پشتیبانی پیشرفته (در صورت نیاز کارفرما)

این خدمات شامل انجام تنظیمات پیشرفته و بهینه سازی (Tuning) ماژول های تجهیزات مانند: ASM , APM, LTM, AFM و … میباشد که بصورت حضوری و غیر حضوری ارائه می شود . (این خدمات بصورت آپشنال بوده و در صورت نیاز با بررسی دامنه کار، برآورد قیمت خواهد شد.)

در ماژول های مختلف بهینه سازی و تنظیمات پیشرفته با توجه به الزامات مشتری و منابع تجهیزات انجام خواهد شد، تنظیمات پیشرفته براساس موارد مذکور به 3 دسته 1-تمام اتوماتیک (با کمترین دخل و تصرف نیروی انسانی متخصص) 2- نیم اتوماتیک (نیروی انسانی متخصص دخیل در پروسه های اتوماتیک) 3- غیر اتوماتیک و دستی(نیرو های انسانی متخصص برای انجام تنظیمات و پایش لحظه ای) ؛ تقسیم خواهد شد. در موارد 1 و 2 هوش مصنوعی و یادگیری ماشین به شما کمک خواهد کرد تا با خطای کمتر و صرف وقت کمتر به نهایی سازی و مستحکم شدن Policy های ساخته شده برسید. در پایان پروسه بهینه سازی یا Tuning ما Policy های موجود را مستحکم و غیر قابل نفوذ خواهیم کرد.

آموزش (در صورت نیاز کارفرما)

توسعه دانش و مهارت، کلید اصلی پیاده سازی موفق راهکار های امنیتی می باشد. به همین منظور تیم ما، دوره های آموزشی ذیل را برای آشنایی با راهبری تجهیزات F5 BIG-IP برگزار می نماید.
این دوره، توسط مدرسان با تجربه و حرفه ای تدریس میگردد:

Administering BIG-IP: (2 Days)

Getting started with the BIG-IP system
Traffic processing with BIG-IP Local Traffic Manager (LTM)
Using TMSH (TMOS Shell) command line interface
Using NATs and SNATs
Monitoring application health and managing object status
Modifying traffic behavior with profiles, including SSL offload and re-encryption
Modifying traffic behavior with persistence, including source address affinity and cookie persistence
Troubleshooting the BIG-IP system, including logging (local, high-speed, and legacy remote logging), and using TCPDUMP
User roles and administrative partitions
vCMP concepts
Configuring high availability (including active/standby and connection and persistence mirroring)

Troubleshooting BIG-IP: (2 Days)

Configuration Project
Troubleshooting Methodology
F5 Support
Troubleshooting – Bottom to Top
Troubleshooting Tools
Using System Logs

Configuring BIG-IP LTM: (3 Days)

BIG-IP initial setup (licensing, provisioning, and network configuration)
A review of BIG-IP local traffic configuration objects
Using dynamic load balancing methods
Modifying traffic behavior with persistence (including SSL, SIP, universal, and destination address affinity persistence)
Monitoring application health with Layer 3, Layer 4, and Layer 7 monitors (including transparent, scripted, and external monitors)
Processing traffic with virtual servers (including network, forwarding, and reject virtual servers)
Processing traffic with SNATs (including SNAT pools and SNATs as listeners)
Modifying traffic behavior with profiles (including TCP profiles, advanced HTTP profile options, caching, compression, and OneConnect profiles)
Advanced BIG-IP LTM configuration options (including VLAN tagging and trunking, SNMP features, packet filters, and route domains)
Customizing application delivery with iRules and local traffic policies
Securing application delivery using BIG-IP LTM

Configuring BIG-IP DNS: (2 Days)

Overview of the Domain Name System and DNS resolution flow through BIG-IP DNS
Configuring DNS listeners
Accelerating DNS resolution with DNS Express, DNS cache, and DNS server load balancing
Intelligent DNS resolution with wide IPs and wide IP pools
Using probes and metrics to assist the intelligent DNS resolution process
Intelligent DNS load balancing methods
Monitoring intelligent DNS resources
Logging GSLB load balancing decisions
Using DNSSEC
Integrating iRules in the DNS resolution process
Managing BIG-IP DNS sync groups

Configuring BIG-IP ASM (AWAF): (4 Days)

Resource provisioning for F5 Advanced Web Application Firewall
Traffic processing with BIG-IP Local Traffic Manager (LTM)
Web application concepts
Mitigating the OWASP Top 10 and other vulnerabilities
Security policy deployment
Security policy tuning
Deploying Attack Signatures and Threat Campaigns
Positive security building
Securing cookies and other headers
Reporting and logging
Advanced parameter handling
Using Automatic Policy Builder
Integrating with web vulnerability scanners
Login enforcement for flow control
Brute force and credential stuffing mitigation
Session tracking for client reconnaissance
Using Parent and Child policies
Layer 7 DoS protection
- Transaction Per Second-based DoS protection
- Layer 7 Behavioral DoS Protection
Configuring Advanced Bot Defense
- Web Scraping and other Microservice Protection
- Working with Bot Signatures
Using DataSafe to Secure the client side of the Document Object Model

Configuring BIG-IP AFM: (2 Days)

Configuration and management of the BIG-IP AFM system
AFM Network Firewall concepts
Network firewall options and modes
Network firewall rules, policies, address/port lists, rule lists and schedules
IP Intelligence facilities of dynamic black and white lists, IP reputation database and dynamic IP shunning.
Detection and mitigation of DoS attacks
Event logging of firewall rules and DoS attacks
Reporting and notification facilities
DoS Whitelists
DoS Sweep/Flood
DNS Firewall and DNS DoS
SIP DoS
Port Misuse
Network Firewall iRules
Various AFM component troubleshooting commands

Configuring BIG-IP APM: (3 Days)

APM Traffic Processing and APM Configuration Wizards
APM Access Policies, Access Profiles
Visual Policy Editor, Branches and Endings
APM Portal Access and Rewrite Profiles
Single Sign-On and Credential Caching
APM Network Access and BIG-IP Edge Client
Layer 4 and Layer 7 Access Control Lists
APM Application Access and WebTop Types
Remote Desktop, Optimized Tunnels and WebTop Links
LTM Concepts including Virtual Servers, Pools, Monitors and SNAT’ing
APM + LTM Use Case for Web Applications
Visual Policy Editor Macros and Endpoint Security
AAA Servers and Authentication and Authorization with Active Directory and RADIUS
iRules, Customization and SAML

چرا ما؟

در حال اجرای پروژه های مختلفی با بانک ‌ها ، شرکت ‌های (PSP)، شرکت ‌های (ISP) ، و شرکت های خصوصی بزرگ و…
تنها شرکت ارائه دهنده راهکار جایگزین برای لایسنس گران قیمت تجهیزات F5
آشنایی کامل با الزامات و دغدغه های تجاری و فنی حوزه بانکی و پرداخت
پیاده سازی موفق راهکارهای امنیتی در حوزه بانکی، شبکه پرداخت و مخابراتی
مشاوره تأمین تجهیزات و لایسنس های اصل از کمپانی سازنده به همراه ساپورت و گارانتی
برخورداری از امکان تمدید قرارداد پشتیبانی با کمپانی
برخورداری از اکانت در پرتال رسمی کمپانی جهت دسترسی به:
- مستندات نصب، راه اندازی و راهبری
- دریافت فایل های بروزرسانی و ارتقا به نسخ جدید
برخورداری از تیم فنی متخصص و دارنده گواهینامه های رسمی شرکت های معتبر
برخورداری از توانمندی و سوابق مشاوره، پیاده سازی ها و نگهداری های موفق
برخورداری از امکان برگزاری دوره های آموزشی F5