搜索
对每个环境进行扩展和保护有助于保护您的业务免受站点中断的影响,同时提高了DNS和应用的性能。通过保护DNS基础架构免受最新DDoS攻击的影响和保护DNS查询响应免受高速缓存中毒的影响,我们能确保您的业务长时间在线并正常运转。然而,为了彻底实现这些目标,企业需要采用高效的方法来监控DNS基础架构和应用健康度,通过按需扩展准确地满足需求。F5®BIG-IP®广域流量管理器™(GTM)可根据业务策略、数据中心运行状态、云服务运行状态、用户位置和应用程序的性能来分配DNS和最终用户的应用请求。BIG-IPGTM可以交付具备可视性、报告和分析功能的F5高性能DNS服务;可以通过扩展和按地域保护DNS响应免受DDoS攻击;可以交付一个完整的实时DNSSEC解决方案;同时可以确保在所有混合环境中全局应用具备高可用性。主要优势通过一个满载机箱将DNS最高扩展到2000万RPSBIG-IPGTM可以大幅扩展权威DNS,使其最高达到2000万每秒查询响应次数(RPS),同时控制DNS流量。它确保用户能够连接至最好的站点,并为DNS和全局应用交付按需扩展。防御DNS攻击并确保可用性在DNSDDoS攻击或突增流量期间为DNS和应用提供保护和确保其可用性。另外,通过阻止访问恶意的IP域,可缓解DNS威胁。提升全局应用性能根据应用、地理定位、业务和网络状况将用户发送至具备最佳应用性能的站点。灵活部署,随增长扩展,并高效管理网络BIG-IPGTM可在虚拟和云环境中交付灵活的全局应用管理。借助集中式菜单、先进的日志、统计和报告功能以及一个为您的DNS和全局应用交付要求设计的单点控制,基于web的UI可提供简单的DNS配置。扩展和保护DNS基础架构并对全局应用交付进行优化BIG-IP广域流量管理器产品资料目录2无与伦比的DNS性能2DNS高速缓存与解析3安全的应用6全局可用的应用8简易管理10网络集成11架构12BIG-IP平台12虚拟平台13DNS按需扩展13具备GSLB评估和测试的简易DNS13DNS查询RPS最大性能14简化的许可14F5全球服务14DevCentral15更多信息产品资料BIG-IP广域流量管理器2无与伦比的DNS性能BIG-IPGTM交付的DNS性能甚至可以应对最繁忙的站点。当站点因为合法请求或分布式拒绝服务(DDoS)攻击而出现DNS查询突然激增时,BIG-IPGTM可以通过多内核处理和F5DNSExpress™对请求进行管理,将权威DNS性能大幅增加至最高2000万RPS,进而可以对所有查询做出快速响应。这有助于您的企业为您的用户提供最佳的服务质量(QoS),同时保证了应用的性能。通过以一个权威DNS服务器的方式卸载DNS响应,DNSExpress可以改进标准DNS服务器的功能。BIG-IPGTM接受来自主DNS服务器的DNS记录区传送,并以权威应答返回DNS查询。多内核处理以及DNSExpress的优势和功能包括:•通过内存处理DNS请求,以实现高速响应和DDoS攻击保护•通过在多个BIG-IP或DNS服务部署中复制权威DNS,实现更快速的响应•在虚拟云中的权威DNS和DNSSEC有助于实现灾难恢复和快速、安全的响应•可扩展的DNS性能有助于提高应用质量和服务体验•能够整合加强DNS服务器并提升ROI在发生巨量的应用和服务请求或发生DNSDDoS攻击时,BIG-IPGTM可进行超大规模扩展,在快速响应模式下最高能够以正常限制的200%对查询进行处理和响应,从而能够增强可用性,实现无与伦比的性能。DNS高速缓存与解析通过在BIG-IPGTM上启用DNS高速缓存,使它对客户端请求即时响应,大幅降低DNS延迟。BIG-IPGTM可以整合高速缓存和提高高速缓存的命中率。采用这种方法后,DNS延迟降低了多达80%,同时DNS高速缓存还为同一个站点降低了DNS查询的数量。除了高速缓存外,BIG-IPGTM还支持设备在不使用一个上游DNS解析器的情况下就能自行实现DNS解析。可为多个高速缓存选择的可用缓存配置文件包括:•透明高速缓存•在客户端和DNS内部/外部之间的BIG-IPGTM站点•热高速缓存•高速缓存解析器•由于不存在高速缓存响应,因此在BIG-IPGTM发出请求后即刻就能返回响应,方便进行解析和高速缓存•验证高速缓存解析器BIG-IPGTM支持所有常用的DNS部署,无论是权威的还是本地DNS解析服务器。未缓存的特定区域请求被转发给域名服务器进行更快的DNS解析,方便用户接收快速的响应。产品资料BIG-IP广域流量管理器3Private/PublicCloudBIG-IPPlatformGTMInternalClientsDataCenter1DataCenter2根据不同的工作负载,BIG-IPGTM可将移动设备和台式设备的平均DNS响应时间和延迟从过去的分别为300毫秒(ms)和100ms降低至15ms。安全的应用DNS拒绝服务攻击、高速缓存中毒和DNS劫持将会威胁应用可用性和安全性。BIG-IPGTM可防御DNS攻击,并支持您通过制定策略为您的应用和数据提供一个额外的保护层。DNS攻击保护功能包括:•加固设备—BIG-IPGTM通过了ICSA实验室网络防火墙认证,可以防御常见的teardrop、ICMP或daemon攻击。•DNS攻击保护—内建的协议验证可以自动丢弃非法的UDP、DNS查询,减少NXDOMAIN洪水攻击和畸形数据包。•DNS负载均衡—BIG-IPGTM可用于前端静态DNS服务器。如果DNS请求是针对一个被BIG-IPGTM控制的名称作出的,那么BIG-IPGTM将对该请求进行回复。•安全控制—F5DNSiRules®可以帮助你制定策略,阻挡来自流氓站点的请求。•数据包过滤—BIG-IPGTM可基于源地址、目的地址或端口,使用数据包过滤功能限制或拒绝网站的访问。DNS防火墙DNSDDoS、LDNS的高速缓存中毒和其他异常的DNS攻击和突增流量可能会造成DNS中断和效率降低。这些攻击和突增流量会导致数量的大幅增加和降低DNS服务器的性能。具备安全、扩展、性能和控制功能的BIG-IPGTM可提供DNS防火墙优势。它可以保护DNS免受攻击(如反射或放大DDoS攻击)、避开其他不必要的DNS查询以及响应,以免降低DNS性能。另外,借助响应策略区域,您可以阻止访问恶意的IP域,从而规避复杂的DNS安全威胁。借助BIG-IPGTM,您可以安装第三方域过滤服务(如SURBL或Spamhaus),防止客户端感染,或拦截对已知恶意软件和病毒源的响应,以免受到感染。F5DNS防火墙服务可降低解决感染问题的成本,提高用户的工作效率。产品资料BIG-IP广域流量管理器4UsersBIG-IPPlatformGTMImportedDatabaseServiceServiceBServiceAResponsePolicyZoneDomainReputationLiveUpdates借助SURBL或Spamhaus等域声誉服务,阻止访问恶意的IP域,以降低您面临恶意软件和病毒通信的风险,规避DNS威胁。F5DNS防火墙服务包括:•协议检查和验证•DNS记录类型ACL*•高性能权威DNS可以对响应进行指数级扩展•权威DNS可超过规模扩展至200%,高效处理DDoS攻击•可降低延迟的DNS高速缓存•DNS负载均衡•状态检测(从不接受未经请求的响应)•ICSA实验室认证(可在DMZ中部署)•能够使用IPAnycast在所有设备中进行扩展•安全响应(DNSSEC)•DNSSEC响应速度限制•使用DNSiRules的完整DNS控制•DDoS阈值告警*•通过阻止访问恶意的IP域进行威胁规避•DNS日志和报告•加固的F5DNS代码(非BIND协议)*需要配置BIG-IP®高级防火墙管理器™以访问功能。产品资料BIG-IP广域流量管理器5BIG-IPPlatformGTMBIG-IPPlatformGTMBIG-IPGTM保证了DNS的可用性,使用防火墙设备保护DNS基础架构避开巨量攻击和畸形数据包。完整的DNSSEC签名借助BIG-IPGTMDNSSEC的支持,您可以通过数字的方式对您的DNS查询响应进行签名和加密。这有助于解析器确定出响应的真实性,防止出现DNS劫持和高速缓存中毒。此外,它在实现了全局服务器负载均衡的所有优势的同时还保护了您的DNS查询响应。或者,如果一个区域已经被签名,BIG-IPGTM则可以通过管理静态DNSSEC响应实现更高的性能。集中式DNSSEC密匙管理许多IT企业需要在支持FIPS的设备和安全的DNSSEC密匙上实现统一的标准。你可以使用配备FIPS卡的BIG-IPGTM,这种卡可以为保护您的密匙提供140-2支持。此外,BIG-IPGTM集成和使用了Thales提供的硬件安全模块(HSM),实现了集中式管理和安全处理DNSSEC密匙,降低了运营开支的同时确保了整合和FIPS合规性。实现了对DNSSEC的顶级域支持对那些想要委托给其他安全子网域的DNS管理员来说,BIG-IPGTM允许他们将DNSSEC作为一个顶级域进行轻松管理,从而成为一个父系区域。LDNSDNSFirewallinBIG-IPPlatformGTMServersWebApplicationsInternetDataCenterClientsDMZ产品资料BIG-IP广域流量管理器6DNSSEC验证在大多数网络中,DNS解析器可以卸载DNSSEC记录请求和加密计算,进而验证正在接收的DNS响应是否经过了正确签名。传入网络中的DNSSEC响应要求在DNS解析服务器上应有较高的CPU负载。借助BIG-IPGTMDNSSEC验证功能,管理员可以使用BIG-IPGTM轻松地卸载和验证客户端上的DNSSEC用于解析。这不仅实现了出众的DNS性能,还显著加快了站点对用户的响应速度。全局可用的应用BIG-IPGTM提供了全局应用可用性和支持各种应用类型的复杂健康监控功能,确保企业灵活而快速地适应新情况和保持竞争优势。这些全局可用性和健康监控功能包括:•全局负载均衡—BIG-IPGTM为混合环境提供了全面的高性能应用管理。•动态比率负载均衡—BIG-IPGTM根据站点和网络指标(例如,基于客户端和本地DNS间的hop数量)将用户定位到最佳的资源。•广域保持—为了确保用户连接继续留存在所有的应用和数据中心中,BIG-IPGTM同步了数据、传播本地DNS并维持会话的完整性。•地域负载均衡—BIG-IPGTM包含一个可以识别各大洲、国家、州/省位置的IP数据库,方便将用户连接至最近的应用或服务,进而实现了最佳性能。•定制拓扑—借助BIG-IPGTM,企业可以构建定制拓扑。通过定义和保存定制区域分组,您可以根据符合您内部基础架构的内联网应用流量策略对拓扑进行配置。•基础架构监控—BIG-IPGTM可以检查整个基础架构的健康情况,消除单点故障,将应用流量从性能低下的站点转移开。高级全局负载均衡BIG-IPGTM包含了当前行业中最先进的流量分配功能,可满足任何企业或全局部署应用的需求。·轮询·全局可用性·LDNS保持·应用可用性·地域·虚拟服务器容量·最少的连接·每秒封包数·往返时间·跃点·封包完成率·用户定义的QoS·动态比率·LDNS·比率·每秒KB数产品资料BIG-IP广域流量管理器741CorporateServersRouterBIG-IPPlatformGTMBIG-IPPlatformLTMSite3–MilanCorporateServersRouterBIG-IPPlatformGTMBIG-IPPlatformLTMSite2–NewYorkUser–SeattleCorporateServersRouterBIG-IPPlatformGTMBIG-IPPlatformLTMSite1–SanFrancisco32BIG-IPGTM确保用户始终能连接到最佳的站点上。(1)用户通过查询本地DNS解析域,而本地DNS则查询BIG-IPGTM。(2)BIG