golicense

لایسنس F5 BIG-IP

لایسنس f5 Big-IP
لایسنس F5 BIG-IP

معرفی F5 Big-IP

همان‌طور که می دانید شرکت پر آوازه  F5  محصولات مختلفی را در حوزه ADC ارائه داده است ازمعروف ترین محصولات سخت‌افزاری این شرکت  F5 با نام BIG-IP می‌باشد، این تجهیز سخت‌افزاری از نظر معماری دارای ماژول‌های مختلف و با کارایی و عملکرد مختلف می‌باشند .به عنوان مثال می توان از این پلت فرم سخت افزاری برای توزیع درخواست به سمت سرورها به جهت Load Balancing ترافیک استفاده کرد که توسط ماژول نرم افزاری LTM  این مهم صورت می‌گیرد و به عنوان یکی از مهم‌ترین و اساسی‌ترین ماژول‌های راه‌اندازی این تجهیزات معرفی می‌شود و همچنین پلتفرم‌های سخت‌افزاری این شرکت، در ۳ دسته‌بندی مختلف با نام‌های VIPRON Series ،iSeries و BIG-IP  Series ارائه می‌شود .

Big ip چیست؟

ترافیک اینترنت همواره رو به افزایش است. این میزان افزایش ترافیک به حدی است که گزارش های ارائه شده در این زمینه نیز کاملا به آن اذعان دارند.شرکت سیسکو نیز درگزارش منتشر شده خود در سال ۲۰۱۸ میلادی افزایش سه برابری ترافیک اینترنت را تا سال ۲۰۲۲ پیش بینی کرده است. میزان قابل توجهی از این افزایش ترافیک بصورت ذاتی به سبب افزایش اتصال کاربران به اینترنت و بهبود کیفیت دسترسی به وب اتفاق می افتد. اما بخش اعظم این افزایش ترافیک به موجب تجهیزات متصل به اینترنت (IOT) یا همان اینترنت اشیاء ایجاد میشود. بنابر پیشبینی موسسه گارتنر بیش از ۲۵ بیلیون تجهیزات تا سال ۲۰۲۲ به اینترنت متصل خواهند شد. همگام با این افزایش تعداد تجهیزات متصل به اینترنت، زیرساخت های سرویس نیز باید پاسخگوی این حجم عظیم از درخواست باشند. با وجود اینکه به موجب بهره گیری از HTTP/2 هر کاربر تعداد کمتری Connection استفاده میکند، اما افزایش بسیار چشمگیر اتصالات Front End قطعیست. به منظور پاسخگویی به این حجم از درخواست، معماری اپلیکیشن ها نیز از حالت یکپارچه و واحد، به سوی مجموعه ای از چندین سرویس متصل، حرکت کرده است تا میزان بار ناشی از ترافیک کاربران بین چندین سرویس دهنده توزیع شده و ظرفیت های لازم ایجاد گردد.

بدین جهت مدیریت بر توزیع و همچنین برقراری امنیت ترافیک سرویس ها و Application ها دارای اهمیتی دو چندان است؛ که انجام این وظیفه بسیار مهم بر عهده تجهیزات Application Delivery Controller(ADC)، و یا در کلام کلی تر تکنولوژی ADC است.

F5 BIG-IP License
لایسنس F5 BIG-IP

 

امکانات  F5 Big-IP

زمانیکه بطور مثال ما یک دیوایس F5 داریم به عنوان load balancer که به اسم Big-ip شناخته می‌شود قابلیت های بسیار زیادی به شما می دهد فرض کنید چندین سرور داخل شبکه خودتون دارید و از طرف کلاینت‌ها درخواست‌هایی برای شما ارسال خواهد شد با استفاده از F5 تمامی درخواست‌ها به آن ارسال خواهد شد و تصمیم گیری هم به عهده آن خواهد بود که درخواست‌ها را تقسیم بندی کند میان سرور های موجود در شبکه، در نتیجه بجای استفاده از یک سرور از چندین سرور استفاده خواهد شد و کارایی بالا خواهد رفت

یکی از کاربردهای مهم دیگر F5 میتوان از SSL Offloading نام برد به این صورت که زمانی که درخواست شما یک درخواست ssl باشد certificate بجای اینکه روی همه سرور ها پیکربندی بشه کافیست که روی لایسنس F5 اجرا بشه و درخواست های ssl رو پردازش کنه و به سرورها ارسال رو انجام بده.

سیستم F5 Big-IP دارای مولفه های متعددی میباشد که یکپارچگی این مولفه ها در قالب یک پلتفرم از مهمترین ویژگی های آن است. در شکل زیر معماری سیستمی F5 BIG-IP نمایش داده شده است.

مزایایی F5 Big-IP

  • پایین ترین میزان TCO

کاهش TCO  و همچنین زیرساخت مورد نیاز از طریق تجمیع کردن سرویس های امنیتی و Application در قالب یک پلتفرم.

  • حفاظت از داده حساس

ارائه سطح بالای ظرفیت مورد نیاز SSL برای حفاظت از داده های حساس از طریق واگذاری پردازش elliptical curve cryptography (ECC) به سخت افزار مقیاس پذیر دارای قابلیت Forward Secrecy (FC)

  • ایمن سازیApplicationها

ارائه موثرترین راهکار حفاظتی شامل محافظت در برابر DDoS، حفاظت Full Stack (L3-L7) شامل Firewall تایید شده توسط ICSA

  • انعطاف بسیار بالا در پیاده سازی

قابلیت پیاده سازی در محیط­ های گوناگون از جمله Cloud و      Container

  • بیشترین حفاظت از سرمایه گذاری

قابلیت ها software-defined سری محصولات iSeries شامل تکنولوژی منحصر به فرد F5 TurboFlex™ FPGA که ما را قادر می­سازد بصورت on-demand عملکرد دستگاه را برای انجام کاری خاص نظیر مقابله با DDoS و پردازش ترافیک های UDP، بهینه کنیم. بهره گیری از چنین قابلیت های ارتقای نرم افزاری ما را بی نیاز از ارتقای سخت افزار و صرف هزینه های گزاف می­کند.

 

  • بیشترین سطحUptime

 

تضمین پیاده سازی سرویس های شما بر بستر سخت افزاری کاملا قابل اطمینان و Carrier-grade که دارای اجزای Hot-swap می باشد.نسل جدید تجهیزاتF5 ، BIG-IP iSeries نام دارند.این رده از محصولات ماهیتی سخت افزاری ثابتی دارند و برخلاف F5 VIPRION نوع  Chassis-based، ظرفیت سخت افزاری این محصولات F5 ثابت است. این رده از تجهیزات را میتوان جدید ترین تجهیزات F5 دانست زیرا از بالاترین سطح تکنولوژی برخوردارند. از جمله قابلیت های قابل ارائه بر روی iSeries عبارتند از:

 

  • پروفایل های عملکردی قابل برنامه ریزی

هنگامی که نرم افزار و CPU پاسخگوی نیاز های عملکردی نبودند، تکنولوژی استفاده از چیپ های خاص منظوره ASIC متداول شد. ASIC ها، قابلیتی خاص را با بالاترین سرعت ممکن بر روی سخت افزار ارائه می­کنند. اما بزرگترین محدودیت ASIC ها این است که تنها برای انجام کاری خاص طراحی شده اند و چنانچه قابلیتی مورد نیاز باشد که بر روی ASIC از قبل طراحی نشده باشد، این چیپ ها با محدودیت مواجه می­شوند. در این هنگام بار دیگر Application باید Taskها نرم افزاری خود را از طریق CPU به انجام رساند. اگر CPU را کم سرعت، منعطف و دارای قابلیت های متعدد در نظر بگیریم و ASIC را غیر منعطف اما بسیار سریع بدانیم، تکنولوژی سوم در میانه قرار میگیرد: Field-Programmable Gate Array(FPGA) یک FPGA کندتر از ASIC و بسیار سریعتر از CPU است و میتواند برای انجام Task های گوناگونی برنامه ریزی شود.

محصولات BIG-IP iSeries 
لایسنس F5 BIG-IP

 

در محصولات BIG-IP iSeries تکنولوژی FPGA در قلب مسیر هدایت و پردازش ترافیک قرار گرفته و تصمیمات بسیار مهم مدیریت بر ترافیک را اتخاذ نموده و Offload نمودن پردازش های امنیتی و پروتکل ها را بر عهده دارد. در شکل زیر جایگاه تکنولوژی FPGA در معماری سیستمی F5 BIG-IP Series نمایش داده شده است.

  • F5 TurboFlex

استفاده از تکنولوژی FPGA در نسل قبلی  ADCها بکار گرفته شده است اما در BIG-IP iSeries هم از لحاظ تعداد و هم نوع بهینه سازی عملکرد و همچنین به لطف F5 TurboFlex™ چگونگی اعمال پروفایل های بهینه سازی عملکرد بهبود یافته است.

  • قابلیت هایSSL سخت افزاری جدید

هرچه حملات بر روی SSL/TLS پیشرفته تر شوند میزان طول کلید ها  نیز باید افزایش یابد. کلید های طولانی تر توان پردازش به مراتب بیشتری را طلب می­کنند که قطعا CPU به تنهایی پاسخگوی این توان پردازشی نیست. از سوی دیگر پشتیبانی سخت افزاری از elliptical curve cryptography (ECC) موجب آن میشود که همچون SSL های سخت افزاری قدیمی CPU و نرم افزار درگیر پردازش SSL نشود.

– میزان حافظه بالا و پشتیبانی از تعداد اتصالات بسیار بالا

 تجهیزات BIG-IP iSeries از تعداد اتصال بسیار بالاتری نسبت به نسل قبلی خود، پشتیبانی می­کنند. همچنین مدیریت بر اتصالات نیز به نحو چشمگیری بهبود یافته است.

 

راهکار ارزان قیمت برای تامین لایسنس  تجهیزات F5

بدلیل مشکلات متعدد تهیه Service Contract و خرید لایسنس اروجینال و همچنین با توجه به قیمت های سرسام آوری که بسیاری از مشتریان با آن مواجه بوده و هستند (که در صورت اعمال جریمه هزینه ها بیشتر هم خواهد شد)، شرکت افزار پرداز هوشمند سورنا اقدام به ارائه یک راهکار جایگزین با هزینه بسیار پایین تر جهت فعالسازی تمامی تجهیزات شرکت F5 اعم BIG-IP و BIG-IQ نموده است. این راهکار بدین شرح است که Firmware موجود روی دستگاه با یک نسخه اصلاح شده تعویض گردیده و پس از آن شرکت سورنا قادر خواهد بود نسبت به فعالسازی لایسنس دستگاه به صورت فول ماژول با مدت زمانی دلخواه اقدام نماید. لیست ماژولهای فعال شده به شرح ذیل است:

Local Traffic Manager (LTM)

Global Traffic (DNS) 

Access Policy Manager (APM) 

Advanced Firewall Manager (AFM) 

Application Security Manager (ASM) 

Carrier-Grade NAT (CGNAT) 

Policy Enforcement Manager (PEM) 

Fraud Protection Service (FPS) 

Application Visibility and Reporting (AVR) 

Application Acceleration Manager (AAM) 

Secure Web Gateway (SWG) 

SSL Orchestrator (SSLO) 

Link Control (LC) 

Max Compression 

Routing Bundle 
Crypto Offload 

DNSSEC

Software Development Kit (SDK)

در این مدل از لایسنس مشتری قادر است تمامی آپدیتهای ارائه شده توسط شرکت F5 را به صورت آفلاین و هفتگی نصب و بروزرسانی نماید، همچنین آپگرید نسخه جدید Firmware تجهیز مورد نظر هم طی مدت گارانتی بر روی تجهیز نصب و فایل ISO اصلاح شده به کارفرما تحویل داده خواهد شد.

در صورت صلاحدید کارفرما مراحل نصب و تحویل آپدیت ها بصورت آفلاین و حضوری توسط کارشناس شرکت سورنا انجام خواهد پذیرفت ، بنحوی که کارشناس در مکان مشتری که تجهیزات قرار داد حضور به هم میرساند و بصورت کاملا محدود و خصوصی شاسی Standby را از HA خارج کرده و آپدیت ها را نصب میکند، شاسی را HA کرده بعد از آن شاسی Standby را Active میکند و شاسی دو هم به ترتیب قبل از HA خارج میکند و آپدیت ها را نصب خواهد  و دوباره به HA برمیگرداند. این پروسه حدود 1 تا 2 ساعت برای یک جفت تجهیز زمان میبرد. همچنین پشتیبانی و نگهداری شامل پاسخگویی و رفع ایراد 7*24 در صورت بروز اختلال در عملکرد کلی و یا بخشی از تجهیزات که به دلیل بروز رسانی نرم افزار رخ داده باشد صورت می پذیرد.

مشاوره و نصب و راه اندازی کامل (در صورت نیاز کارفرما)

مشاوره و راه اندازی تجهیزات و راهکارهای شرکت F5 یکی از برجسته ترین خدمات تیم ما می باشد و در این زمینه قادر به ارائه خدمات فنی و تخصصی کاملی هستیم. از جمله این خدمات می توان به موارد زیر اشاره کرد:

  • شناخت نیازمندی ها ، شناخت و کشف وضعیت موجود
  • بررسی سناریوهای مختلف جهت برآورده شدن نیازمندی ها و شرایط موجود
  • طراحی اولیه بصورت HLD
  • تهیه و آماده سازی مستند LOM بر اساس طراحی اولیه
  • تهیه مستند RFP جهت برگزاری استعلام
  • نظارت بر فرآیند های تامین تجهیزات
  • نظارت بر فرآیند نصب و راه اندازی و تحویل تجهیزات
  • طراحی اولیه و طراحی با جزییات
  • نصب و راه اندازی اولیه تجهیزات موجود
  • تنظیمات تکمیلی تجهیزات بر اساس نیاز کارفرما و طراحی با جزییات
  • تهیه مستندات مربوط به تجهیزات و تنظیمات آنها
  • تنظیمات پیشرفته بعد از گذشت چندین روز از پایان تنظیمات تکمیلی (Tuning)
  • سرویس های نگهداری از جمله آپدیت ماژول های F5 ، آپگرید Image تجهیزات و همچنین بازدید دوره ای و رفع مشکلات موجود بر اساس قرارداد SLA فی مابین

 

خدمات فنی و پشتیبانی پیشرفته (در صورت نیاز کارفرما)

این خدمات شامل انجام تنظیمات پیشرفته و بهینه سازی (Tuning) ماژول های تجهیزات مانند: ASM , APM, LTM, AFM و … میباشد که بصورت حضوری و غیر حضوری ارائه می شود . (این خدمات بصورت آپشنال بوده و در صورت نیاز با بررسی دامنه کار، برآورد قیمت خواهد شد.)

در ماژول های مختلف بهینه سازی و تنظیمات پیشرفته با توجه به الزامات مشتری و منابع تجهیزات انجام خواهد شد، تنظیمات پیشرفته براساس موارد مذکور به 3 دسته 1-تمام اتوماتیک (با کمترین دخل و تصرف نیروی انسانی متخصص) 2- نیم اتوماتیک (نیروی انسانی متخصص دخیل در پروسه های اتوماتیک) 3- غیر اتوماتیک و دستی(نیرو های انسانی متخصص برای انجام تنظیمات و پایش لحظه ای) ؛ تقسیم خواهد شد. در موارد 1 و 2 هوش مصنوعی و یادگیری ماشین به شما کمک خواهد کرد تا با خطای کمتر و صرف وقت کمتر به نهایی سازی و مستحکم شدن Policy های ساخته شده برسید. در پایان پروسه بهینه سازی یا Tuning ما Policy های موجود را مستحکم و غیر قابل نفوذ خواهیم کرد.

آموزش (در صورت نیاز کارفرما)

توسعه دانش و مهارت، کلید اصلی پیاده سازی موفق راهکار های امنیتی می باشد. به همین منظور تیم ما، دوره های آموزشی ذیل را برای آشنایی با راهبری تجهیزات F5 BIG-IP برگزار می نماید.
این دوره، توسط مدرسان با تجربه و حرفه ای تدریس میگردد:

 

Administering BIG-IP: (2 Days)

 

  • Getting started with the BIG-IP system
  • Traffic processing with BIG-IP Local Traffic Manager (LTM)
  • Using TMSH (TMOS Shell) command line interface
  • Using NATs and SNATs
  • Monitoring application health and managing object status
  • Modifying traffic behavior with profiles, including SSL offload and re-encryption
  • Modifying traffic behavior with persistence, including source address affinity and cookie persistence
  • Troubleshooting the BIG-IP system, including logging (local, high-speed, and legacy remote logging), and using TCPDUMP
  • User roles and administrative partitions
  • vCMP concepts
  • Configuring high availability (including active/standby and connection and persistence mirroring)

 

Troubleshooting BIG-IP: (2 Days)

 

  • Configuration Project
  • Troubleshooting Methodology
  • F5 Support
  • Troubleshooting – Bottom to Top
  • Troubleshooting Tools
  • Using System Logs

 

Configuring BIG-IP LTM: (3 Days)

 

  • BIG-IP initial setup (licensing, provisioning, and network configuration)
  • A review of BIG-IP local traffic configuration objects
  • Using dynamic load balancing methods
  • Modifying traffic behavior with persistence (including SSL, SIP, universal, and destination address affinity persistence)
  • Monitoring application health with Layer 3, Layer 4, and Layer 7 monitors (including transparent, scripted, and external monitors)
  • Processing traffic with virtual servers (including network, forwarding, and reject virtual servers)
  • Processing traffic with SNATs (including SNAT pools and SNATs as listeners)
  • Modifying traffic behavior with profiles (including TCP profiles, advanced HTTP profile options, caching, compression, and OneConnect profiles)
  • Advanced BIG-IP LTM configuration options (including VLAN tagging and trunking, SNMP features, packet filters, and route domains)
  • Customizing application delivery with iRules and local traffic policies
  • Securing application delivery using BIG-IP LTM

 

Configuring BIG-IP DNS: (2 Days)

 

  • Overview of the Domain Name System and DNS resolution flow through BIG-IP DNS
  • Configuring DNS listeners
  • Accelerating DNS resolution with DNS Express, DNS cache, and DNS server load balancing
  • Intelligent DNS resolution with wide IPs and wide IP pools
  • Using probes and metrics to assist the intelligent DNS resolution process
  • Intelligent DNS load balancing methods
  • Monitoring intelligent DNS resources
  • Logging GSLB load balancing decisions
  • Using DNSSEC
  • Integrating iRules in the DNS resolution process
  • Managing BIG-IP DNS sync groups

 

Configuring BIG-IP ASM (AWAF): (4 Days)

 

  • Resource provisioning for F5 Advanced Web Application Firewall
  • Traffic processing with BIG-IP Local Traffic Manager (LTM)
  • Web application concepts
  • Mitigating the OWASP Top 10 and other vulnerabilities
  • Security policy deployment
  • Security policy tuning
  • Deploying Attack Signatures and Threat Campaigns
  • Positive security building
  • Securing cookies and other headers
  • Reporting and logging
  • Advanced parameter handling
  • Using Automatic Policy Builder
  • Integrating with web vulnerability scanners
  • Login enforcement for flow control
  • Brute force and credential stuffing mitigation
  • Session tracking for client reconnaissance
  • Using Parent and Child policies
  • Layer 7 DoS protection
    • Transaction Per Second-based DoS protection
    • Layer 7 Behavioral DoS Protection
  • Configuring Advanced Bot Defense
    • Web Scraping and other Microservice Protection
    • Working with Bot Signatures
  • Using DataSafe to Secure the client side of the Document Object Model

 

Configuring BIG-IP AFM: (2 Days)

 

  • Configuration and management of the BIG-IP AFM system
  • AFM Network Firewall concepts
  • Network firewall options and modes
  • Network firewall rules, policies, address/port lists, rule lists and schedules
  • IP Intelligence facilities of dynamic black and white lists, IP reputation database and dynamic IP shunning.
  • Detection and mitigation of DoS attacks
  • Event logging of firewall rules and DoS attacks
  • Reporting and notification facilities
  • DoS Whitelists
  • DoS Sweep/Flood
  • DNS Firewall and DNS DoS
  • SIP DoS
  • Port Misuse
  • Network Firewall iRules
  • Various AFM component troubleshooting commands

 

Configuring BIG-IP APM: (3 Days)

 

  • APM Traffic Processing and APM Configuration Wizards
  • APM Access Policies, Access Profiles
  • Visual Policy Editor, Branches and Endings
  • APM Portal Access and Rewrite Profiles
  • Single Sign-On and Credential Caching
  • APM Network Access and BIG-IP Edge Client
  • Layer 4 and Layer 7 Access Control Lists
  • APM Application Access and WebTop Types
  • Remote Desktop, Optimized Tunnels and WebTop Links
  • LTM Concepts including Virtual Servers, Pools, Monitors and SNAT’ing
  • APM + LTM Use Case for Web Applications
  • Visual Policy Editor Macros and Endpoint Security
  • AAA Servers and Authentication and Authorization with Active Directory and RADIUS
  • iRules, Customization and SAML

 

چرا ما؟

  • در حال اجرای پروژه های مختلفی با بانک ‌ها ، شرکت ‌های (PSP)، شرکت ‌های (ISP) ، و شرکت های خصوصی بزرگ و…
  • تنها شرکت ارائه دهنده راهکار جایگزین برای لایسنس گران قیمت تجهیزات F5
  • آشنایی کامل با الزامات و دغدغه های تجاری و فنی حوزه بانکی و پرداخت
  • پیاده سازی موفق راهکارهای امنیتی در حوزه بانکی، شبکه پرداخت و مخابراتی
  • مشاوره تأمین تجهیزات و لایسنس های اصل از کمپانی سازنده به همراه ساپورت و گارانتی
  • برخورداری از امکان تمدید قرارداد پشتیبانی با کمپانی
  • برخورداری از اکانت در پرتال رسمی کمپانی جهت دسترسی به:
    • مستندات نصب، راه اندازی و راهبری
    • دریافت فایل های بروزرسانی و ارتقا به نسخ جدید
  • برخورداری از تیم فنی متخصص و دارنده گواهینامه های رسمی شرکت های معتبر
  • برخورداری از توانمندی و سوابق مشاوره، پیاده سازی ها و نگهداری های موفق
  • برخورداری از امکان برگزاری دوره های آموزشی F5

 

 

 

 

 

لایسنس نسخه مجازی f5 Big-IP

این مقاله برای شما مفید بود ؟

بر روی یک ستاره کلیک کنید تا به آن امتیاز دهید!

میانگین امتیاز 5 / 5. شمارش آرا: 2

تاکنون رأی ندارید! اولین نفری باشید که به این پست امتیاز می دهد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

کمک به موسسه خیریه