[产品及应用下载][F5][白皮书]V9White_Pape

《[产品及应用下载][F5][白皮书]V9White_Pape》由会员分享，可在线阅读，更多相关《[产品及应用下载][F5][白皮书]V9White_Pape（10页珍藏版）》请在装配图网上搜索。

1、编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第10页 共10页白皮书保护企业网络周边安全部署F5的BIG-IP系统，确保为企业提供广泛的应用及网络安全综述如今，随着互联网的复杂性日益增加，企业的漏洞也面临越来越多的恶意攻击。企业组织也不得不寻找各种方法保护他们的基础架构与应用层免受攻击。每年，由于网络安全漏洞使公司遭受上百万的美元的收入、生产力及声誉损失。过去，企业一直习惯于利用防火墙来提高企业网络安全。但是，这已经不能再满足当今网络的需要了。虽然防火墙可以阻止对企业网络的攻击，但却不能阻止对企业应用层的攻击。因此，企业开始寻找更可靠、且可扩展的解决方案来保护他们的网络安

2、全，并提高保护级别。作为应用流量管理解决方案，F5公司的BIG-IP系统可为企业提供最佳的解决方案，使企业网络具备网络及应用层的双重安全。本白皮书旨在说明BIG-IP系统是如何为企业提供全面及完整的网络及应用安全解决方案，防止潜在的应用及网络层威胁与攻击，增强企业网络的全面安全。应用挑战现在，应用系统已经成为企业商业活动的核心。鉴于其对企业收入的直接影响性，除防止一些低级网络攻击外，保护企业应用系统漏洞及关键信息免受恶意攻击是至关重要的。目前，企业若想获得真正的网络及应用安全，面临着众多的挑战，这是因为：应用系统漏洞日益增多：现今的安全系统与防火墙已不能够检测出、也无法抵挡各种新型应用层攻击了

3、。这些安全设备都忽视了应用层安全，而仅仅实现对某一地址、端口或资源的锁定或解锁。他们无法对数据包进行深层检查，且无法保持会话状态信息以检测并保护应用系统免受攻击。应用层攻击通常表现为注入及执行受限命令、cookie篡改、或非法获取敏感文件或用户信息。这些攻击将导致企业收入及生产力的巨大损失，给企业的声誉带来极大的负面影响。日益增多的网络漏洞网络攻击日趋普遍、日渐复杂。恶意攻击的方法也不断翻新，他们穿过网站的防御系统，盗取有价值的信息、甚至击溃整个网站。诸如拒绝服务（DoS）、分布式拒绝服务（DDoS）、无序包泛滥（out of order packet floods）及 TCP 窗口尺寸干预（

4、TCP window size tampering）等复杂的攻击对企业的安全系统构成极大的压力，他们必需保护企业应用免受海量攻击而导致的网络瘫痪。黑客与恶意攻击者通常在开始攻击前，首先扫描网站（即：攻击信息归档profiling），从看似无害的资源中获取系统或应用信息，如服务器错误代码及源代码注释等。内部安全漏洞与信息漏洞目前，企业面临的最大威胁之一就是来自企业内部的安全攻击。由于内部用户是受信任域的一部分，因此很难被检测并防止此类攻击。现在的安全系统都无法为企业提供灵活的安全策略部署，在允许其它无需加密的非关键流量通过的同时，对企业内部的某些商业关键流量进行加密。因此，企业用户一直在寻找一种

5、有效又统一的安全策略，可利用现有的解决方案，使企业网络的安全性达到诸如：Sarbanes-Oxley, HIPAA and FIPS等国际安全标准。解决方案BIG-IP系统为企业用户提供多种安全服务，在增强企业网络的安全性中起到至关重要的作用。将BIG-IP系统部署在通往企业重要资源（支持公司业务运行的应用及网络）的关键网关处，即可为企业网络增加强大的网络级安全策略，同时过滤最复杂的应用攻击。作为集成的SSL加密及一系列应运而生的应用安全技术领域的领导者，BIG-IP系统可加固企业网络安全，抵挡各种类型的攻击。强大的应用安全BIG-IP解决方案可对整个应用系统的有效载荷进行深层数据包检查，从而

6、大大增强了企业应用层的安全性。利用其灵活性与无可比拟的能力，为网络管理员提供管理与控制应用流量的强大工具。全面认证、授权、审计及有效载荷的解析功能，使企业在允许某个会话前，在其网络边缘处执行安全策略。性能如下：通用检查引擎与iRules企业用户可利用 BIG-IP系统来设置与执行普通的应用层安全策略。利用BIG-IP的新型及增强的通用检查引擎（UIE）与TCL规则（iRules）能力，企业用户可过滤及阻止应用层攻击与威胁。新型通用检查引擎使BIG-IP系统在连续应用流的基础上对全部应用有效载荷进行检查，为决策（如：交换、持续或拒绝）提供更多的灵活性。企业用户可以使用标准编程接口，如TCL语言，

7、来建立iRules，创建与企业安全方针一致的安全策略，从中体验它的灵活性和强大的功能。设定安全策略后，就可以把它分配给某一个简档(一个图形用户界面（GUI）的新功能，可以简化部署并且能够重复利用)。二者共同使用即可为企业的应用流量提供无可比拟的控制与保护。认证与授权BIG-IP系统可利用网络边缘的认证功能，将网络周边的安全提高一个级别，从而增强了企业应用的安全性。高级客户机认证(ACA)模块为各种类型的IP流量提供一个认证代理，起到网站岗哨的作用。与（可提供认证机制库的）可插入认证模块(PAM)引擎联合使用，ACA模块可卸载服务器的关键认证处理，以降低消耗服务器资源的认证管理。ACA模块兼容各

8、种授权机制，如LDAP, RADIUS 及 TACACS+。在递交客户证书时，BIG-IP系统可在接收证书并将数据转向一个目标服务器前，利用证书撤消清单(CRL)或在线证书验证状态协议 (OCSP)，对该证书的撤消状态进行评估。BIG-IP设备还可担当凭证管理中心(CA)的角色。通过其密钥管理系统（KMS），BIG-IP可为企业用户提供一个集中且简单的方法来生成管理与执行客户机/服务器的密钥与证书。在网络层巩固与执行认证可降低应用与服务器的负荷，并可使企业无需再逐个为成百上千的应用部署认证系统，且省时省力。应用与内容过滤BIG-IP系统，利用其强大的通用检查引擎及可自定义的基于策略的iRule

9、s引擎，为企业用户提供一种功能强大的执行安全策略的方法。BIG-IP解决方案中提供的应用与内容过滤功能使企业用户可通过定义穿梭于其服务器的流量，执行积极的安全模块。利用此独特的功能，对应用有效载荷内部的数据包及会话流进行深层检查，因此，BIG-IP系统可在保护企业重要资产的同时，不仅可阻止对记录/目录、受限命令的非法访问，还可阻止对应用服务器中敏感文件的非法访问。同时，BIG-IP系统还可根据受限或黑名单中的网站列表对内容进行过滤，并协助企业用户执行安全策略。Cookie加密与认证此强大的功能使企业用户可以对应用流量中的cookies进行加密及认证，如此可阻止黑客获取cookies来发动应用攻

10、击。激活cookies加密与认证，黑客就无法通过读取cookies而获取JSessionIDs及用户身份信息，并随后更改cookies以建立非法会话。BIG-IP系统为企业的有状态应用系统提供出色的保护，使其免受会话劫持、及cookies篡改等利用cookies内容重写对关键应用漏洞发起的攻击。SSL加速与加密繁重的SSL流量会导致处理瓶颈，即使是功能最强大的设备也会因此而瘫痪，从而导致服务或应用的整个安全性能遭受巨大的影响。另外，若无法保护应用在SSL协议中的私人密钥，就会导致将用户与服务安全置于危险境地。BIG-IP系统中使用的集成的SSL加速模块，不仅可增强SSL计算资源，还可集中密钥管

11、理。BIG-IP设备拥有市场上最快最安全的加密运算法则。BIG-IP系统向企业用户提供高级加密标准（AES）及一种128、192或256位（可选的）区块加密的对称加密法，以此来进一步提高企业网络安全保护级别，并使其获得符合企业需要的真正的安全性。通过AES及SSL处理，BIG-IP系统在无需额外增加成本的基础上，为用户提供目前市场上最安全的SSL加密运算法则。日益增强的网络及基础架构安全BIG-IP系统为企业用户提供强大的网络层安全，进一步提高其安全性，保护其免受最严重的网络攻击。BIG-IP设备拥有独特的UIE及可编程的iRules语言，为企业用户提供针对网络有效载荷的完整可视性，以便使用户

12、更为简便的管理及执行其安全策略。除对普通网络攻击、DoS、DDoS攻击、及协议篡改攻击的防御外，再加上BIG-IP系统的数据包过滤功能，为企业用户提供无与伦比的安全性，从而在促进企业生产力与收入提高的同时，又降低了拥有成本。BIG-IP系统依靠下列特性提高了网络及基础架构的安全性：缺省的拒绝访问BIG-IP系统是一种缺省的拒绝访问设备，如非管理员指定类型的流量，BIG-IP系统将拒绝其通过。如此可极大的增加网络的安全性，而只有符合管理员指定类型的流量可通过BIG-IP系统。自动防御BIG-IP的软件拥有无数的内置程序，可保护企业网络免受普通攻击。它可忽视直接子网广播，且不响应常用于Smurf

13、及Fraggle攻击的广播ICMP请求。BIG-IP设备的连接表与现有连接保持一致，如此，诸如LAN攻击等中的虚假连接就无法传递给服务器。BIG-IP系统可查验帧定位的正确性，以防止普通片段储存攻击（Teardrop, Boink, Bonk 及Nestea）。此外，通过端口的缺省封锁即可阻止其它攻击（WinNuke, Sub7, 与Back Orifice usage）。由于BIG-IP可重新组合TCP重叠片段及IP碎片，企业网络可阻止日趋普遍的新型未知攻击。SYN CHECKSYN flood是拒绝服务攻击中的一种，此类型的攻击旨在耗尽系统资源，使其无法建立合法连接。BIG-IP系统的SY

14、N CHECK的特性就是代表服务器发送cookies至请求客户机、不记录连接的状态信息使其无法完成初期的TCP交握，以此来减缓SYN floods攻击的影响。此独特的性能确保服务器仅处理合法连接，且不消耗BIG-IP的SYN队列，如此，即可继续正常的TCP通讯了。SYN CHECK的特性是BIG-IP系统Dynamic Reaping特性的补充，在Dynamic Reaping处理已经建立的连接的泛滥时，SYN CHECK处理新建连接的泛滥，以防止SYN队列被耗尽。SYN CHECK与高性能的syn-cache一起使用，企业用户即可在不损失TCP选项的情况下使用syncookies。DoS 与

15、Dynamic ReapingBIG-IP软件中有两个全局设置，提供了在特定情况下清除相应连接的功能。为防止拒绝服务（DoS）攻击，企业用户可以指定一个低临界值与一个高临界值。一旦到达低临界值，系统开始清除接近超时时间的连接。到达高临界值，系统不在接受新建连接请求，只允许已经建立的连接通过BIG-IP系统。这个临界值为内存的利用率，一旦内存利用率达到此临界值，就不再接受连接请求了，直到内存利用率降到低临界值以下。虚拟服务器上的连接限制BIG-IP系统允许网络管理员限制虚拟服务器上最大并发连接数。这样另一防御层即可抵御诸如拒绝服务（DoS）等攻击。协议无害处理此功能使企业用户得以保护他们的网络免

16、受利用IP协议篡改发起的攻击，以防止服务器资源耗尽及网站瘫痪。BIG-IP系统作为安全防御的第一线，可阻止包括无序包泛滥、MSS tiny packet floods、TCP窗口尺寸干预等攻击，切断客户机与服务器间的TCP连接。BIG-IP设备可过滤客户机与服务器间的通讯，查找入侵攻击样式及异常，并对服务器与应用的流量进行过滤。数据包过滤BIG-IP系统的增强数据包过滤引擎可对数据包进行深层检查，并在高级数据包过滤器规则基础上，使网络管理员可以接入、丢弃或拒绝（将“管理员禁止”的各种代码退还给发送源）流量。数据包过滤器规则可执行第四层过滤，根据安全策略允许受信任流量通过，及处理其它特定的流量类

17、型。现在，企业用户可使用兼容IPV4或IPV6的数据包过滤器，不仅能提供基本的防火墙功能，还进一步提高周边安全。根据数据包的源或目的IP地址、源或目的端口号（支持端口的协议）、及数据包类型（UDP、TCP或ICMP）对数据包进行过滤。数据包过滤可保护企业网络免受IP欺骗（IP Spoofing）、伪造TCP标记攻击等入侵攻击。审计与日志BIG-IP系统强大的日志功能可记录由于意外环境或无效参数（如：陆地攻击（Land attack）、Smurf 攻击、bad checksums、未经处理的IP协议数或版本等）而导致的数据丢弃的相关事件。BIG-IP设备的安全报告中可识别出任何服务或端口所收到的

18、未授权访问企图的源IP地址、所使用的端口以及频次。该信息有助于识别网络安全的漏洞，并确定攻击来源。除为通用内容转换设计的新规则功能及变量外，还进一步拓展了规则的语法，包括两个新的规则语句：log 和 accumulate。通过利用这些功能，企业用户可利用iRules调用日志记录或系统日志信息，使网络管理员对攻击保持实时警惕。流量控制流量控制这一新特性为企业用户提供了功能强大且灵活的方法来抵御带宽滥用攻击。利用速率级别与速率过滤器，企业用户可保护自己的网络免受流量峰值、非法滥用或网络攻击而导致的网络资源耗尽。企业用户可定义流量及应用限制，并控制那些资源允许的流量峰值速率，从而识别并阻止企图耗尽企

19、业网络资源的普通安全攻击。防止信息泄露BIG-IP系统保护企业用户网络，防止黑客利用安全漏洞盗取有价值的信息。黑客经常利用扫描网站或网站攻击信息归档来获取企业基础架构信息，他们分析流量样式并检查漏洞的错误代码，以便他们攻击企业网络。 企业的内部安全漏洞是企业面临的共同问题，因此，黑客经常试图在网络内部非法获取敏感信息。BIG-IP系统为企业提供了可阻止非法访问敏感及关键信息的工具，并可在需要时，有选择的对流量进行加密。BIG-IP产品通过下列特性阻止敏感信息的泄露：资源隐藏BIG-IP系统使企业用户得以阻止黑客通过扫描其网站及应用系统来获取用户的安全漏洞。BIG-IP设备利用资源隐藏这一特性，

20、将包含在网页、服务器报头中关于服务器及应用系统的错误代码、以及源代码注释内的服务器敏感信息全部虚拟化并隐藏。利用通用检查引擎及iRules的灵活性，BIG-IP系统可阻止/过滤关于网站的一任敏感信息，为企业提供无可比拟的安全保护。安全网络地址转换（NAT）与端口映射BIG-IP系统可将其所使用的地址及端口转换至向外界公布的地址与端口，这样网络管理员就不用担心会暴露BIG-IP设备资源，从而降低了服务器遭受攻击的危险。BIG-IP系统中被称为智能安全网络地址转换（智能SNAT）的特性与NAT类似，为私网IP地址的服务器提供一个公网IP地址，以确保其安全地连接到互联网。但智能SNAT又不同于NAT

21、，智能SNAT允许网络管理员将一组节点、整个子网或VLAN映射成一个IP地址。除此之外，智能SNAT还可基于IP数据包数据中的任意一部分映射成一个IP地址。企业用户可利用BIG-IP系统的UIE，用更智能的方法基于IP数据包数据的任意一部分映射成一个IP地址。在默认情况下，SNAT地址仅可用于发起外部连接请求。BIG-IP系统的默认设置为禁止向SNAT地址直接发出内部连接请求。有选择性的内容加密BIG-IP解决方案为用户提供了基于其应用安全策略及标准需求的有选择性的数据加密功能。现在，企业用户可在某一中心位置构建统一的安全策略、却对不同的客户实施不同的策略。企业用户可利用精细控制来管理非关键流

22、量，并对敏感信息进行有选择性的加密，如帐号、密码等，以使企业网络安全符合国际安全标准：Sarbanes-Oxley, HIPAA 及 FIPS。扩展现有安全解决方案防火墙、入侵检测系统（IDS）及VPN设备构成了企业网络内外的第一道安全防御系统。鉴于这些设备在网络安全中的重要性，要求他们在任何时候都必需保证其可用性、功能的适用性及迅速反应。将BIG-IP设备添加到企业的安全基础架构中，可扩展企业现有的解决方案，大大增加其可扩展性及可用性。可能过BIG-IP系统的某些高级特性达到提高扩展性及可用性的目的，这些特性就是为了支持企业安全基础架构的需求而开发的，以实现与企业基础架构可靠、无缝的兼容。这

23、些特性如下：高级负载均衡运算法则：BIG-IP软件中包含有各种负载均衡运算法则可供网络管理员选择，某些是专门适用于负载均衡安全设备的，如防火墙、VPN或入侵检测系统（IDS）。BIG-IP系统的高级运算法则（如预测模式、观察模式、及动态性能模式等）将一个或多个动态性能因素（如：当前连接数）考虑在内。负载均衡根据设备的区别，其处理速度、内容及连接类型都各不相同，这些运算法则可更好的将资源统一利用起来，以将投资收益最大化，并提高安全设备的性能与网络保护能力。高级透明健康状态检查BIG-IP系统的透明健康状态检查能力可通过一个透明节点对另命名的目的地址进行检查。在透明状态下，健康检查会透过一个节点(

24、使用这种健康检查的节点，通常是防火墙)到达一个目的节点。换言之，如果负载均衡池中有两个防火墙，可将源服务器或内部两台BIG-IP作为透过指定防火墙目的节点。如果从目的节点处未获得响应，则该防火墙（而非源服务器）则将被标记为无效，并将流量重新导至一个正常资源处。高级应用状态检查BIG-IP系统的扩展应用验证（EAV）性能可用于提高透明健康检查的精确性。扩展应用验证利用远程运行应用来验证某一节点上应用的状态。如果应用未在预期设定的时间内做出反应，则BIG-IP系统会直接将请求引导至其它正常的设备中去。优秀的持续性当通过一系列的安全设备对客户连接进行负载均衡时，最重要的是要将其拥有相同会话ID的数据

25、包直接送至相同的设备。BIG-IP解决方案为网络管理员提供了多种持续性模式，使其在保持负载均衡的同时，确保拥有相同的会话ID所有的连接持续流向同一节点。BIG-IP的通用持续性为企业应用提供了高灵活性，以保持在应用有效载荷的任一点上的持续性。Any-IPAny-IP流量允许BIG-IP系统对除TCP及UDP以外的协议进行负载均衡。例如，网络管理员可利用此性能，对IPSEC流量进行负载均衡(将一组VPN设备分配给一个虚拟服务器)。重新绑定动态连接BIG-IP设备还为安全设备提供了重新绑定动态连接的功能，该安全设备与集群中的其它设备共用相同的会话表。如果集群中的一个节点不可用，重新绑定动态连接功能

26、会立即将此节点上的所有连接转至同一池中的另一正常节点上去。由于其它节点与原节点共用相同的会话表，因此新节点可在不间断或干涉用户使用的情况下，对既存连接进行认证。Last hop pools在对安全设备进行负载均衡的同时，利用last hop pools，可确保连接响应的路径（从服务器至客户机）与初次请求之路径（从客户机至服务器）相同。BIG-IP允许网络管理员手动指定last hop pools组，或允许系统利用自动last hop pools功能自动确认last hop。VLAN镜像BIG-IP系统的增强VLAN镜像功能可复制VLAN处接收到的数据包，并将其发送到另一个VLAN或VLAN组处

27、。与数据包中的目的MAC地址无关，此过程适用于所有从VLAN镜像配置中源VLAN接收到的流量。VLAN镜像不包括BIG-IP系统从非指定VLAN发出的数据包。在此情况下，BIG-IP的作用就像是这些VLAN的一个网络中心。此功能的设计旨在对入侵检测系统进行带外的负载均衡。BIG-IP系统中增强的VLAN镜像拥有优秀的性能，为企业用户提供了可扩展性及冗余机制。克隆池BIG-IP系统增强的克隆池功能可将一个池中的全部流量复制到另一个克隆池中，该池中包括有一个IDS或探测设备。用户可根据任何标准的负载均衡池配置一个克隆池。当一个标准的负载均衡池接收到一个连接时，它就会在标准池中为标准连接寻找一个节点

28、，然后在克隆池中时，就会为其寻找一个克隆节点。此时，克隆池会将标准池中的全部流量复制到克隆池中。BIG-IP系统中增强的克隆池功能可优化使用IDS设备的企业网络性能并提供可扩展性。客户端SSL代理客户端SSL代理功能可终止SSL连接、解密请求并以纯文本形式将请求发送至终点目的地。在终止一个SSL连接的过程中，代理可正常执行由目标web服务器处理的证书验证、与加密解密功能。如与克隆池或VLAN镜像一起使用时，企业可利用此功能扩展无法处理加密数据的IDS设备的有效性。集成控制BIG-IP系统通过F5的iControl API（开放的应用编程接口）成为一个统一的防御点。利用iControl，其它安全

29、设备可通过创建、删除或编辑iRules将其信息注入到BIG-IP系统中，随后通用检查引擎会执行这些命令。iControl可瞬间应用这些更改，系统也因此而实现快速保护措施。此功能可用于保护web服务、移动应用、及基于任何IP的应用。优势增强的应用安全企业用户可通过BIG-IP设备执行、增强、加快及保证他们应用及web服务的安全性。利用BIG-IP的高级客户机认证、Cookie加密、应用及内容过滤及强大的加密功能，企业用户可部署全面的应用安全，从而构成一道协调、统一的防线、降低拥有总成本并提高投资回报。强大的网络安全性企业用户可通过BIG-IP系统为其网络基础架构执行、增强并部署安全策略。利用BI

30、G-IP系统的DoS及SYN攻击保护、数据包过滤及协议无公害处理功能，企业用户可保护其网络免受最严重的攻击，并控制进出其网站的信息。提高投资回报（ROI）BIG-IP解决方案最大限度地提高了应用可用性，允许无故障维护，从而显著降低管理成本。通过卸载SSL及关键安全功能（处理器及服务器密集型运行），客户无需再购买昂贵的硬件即可支持其应用。如此，不但增强了客户的应用性能，又可为用户节省30%的硬件成本。流量控制功能使客户可以根据业务政策分配带宽、以此来为客户节省成本并提高投资回报。高可用性使用高级状态检查特性，BIG-IP系统可检测出不可用或性能不佳的资源，并将流量导向其它资源。BIG-IP产品可

31、使用户的所有应用均到达关键任务可用性标准（正常工作时间高达99.999%），同时显著降低了运营复杂性和成本。广泛集成iControl 是业界第一个支持全套应用流量管理产品的开放应用编程接口（API）。IControl体系结构方案以软件开发工具包（SDK）的形式免费提供，解决了当前最大的集成挑战，可轻而易举地通过F5产品在第三方应用和网络之间实现互通。F5 公司背景F5可为企业成功地提供关键业务应用和最出色的灵活性来充分满足其业务需求。作为应用流量管理的先行者和全球领先厂商，F5将致力于不断为网络添加更多智能特性来提供先进的应用灵活性，使企业保持领先地位。F5产品可确保随时随地为任何用户提供安全和优化的应用。借助其灵活、坚固的体系结构，F5通过显著改善企业服务其员工、客户和合作伙伴的方式来提供卓越的价值，同时显著降低运营成本。目前全球有6,000多家企业和服务提供商选择F5的解决方案来支持其业务运营。F5 Networks总部位于华盛顿州西雅图市，在全球各地均设有办事处。访问F5网站，获得更多信息：。第 10 页 共 10 页