产品管理产品及应用下载F白皮书VWP.docx
《产品管理产品及应用下载F白皮书VWP.docx》由会员分享,可在线阅读,更多相关《产品管理产品及应用下载F白皮书VWP.docx(20页珍藏版)》请在冰点文库上搜索。
产品管理产品及应用下载F白皮书VWP
(产品管理)产品及应用下载F白皮书VW_P
白皮书
保护企业网络周边安全——部署F5的BIG-IP系统,确保为企业提供广泛的应用及网络安全
综述
如今,随着互联网的复杂性日益增加,企业的漏洞也面临越来越多的恶意攻击。
企业组织也不得不寻找各种方法保护他们的基础架构和应用层免受攻击。
每年,由于网络安全漏洞使公司遭受上百万的美元的收入、生产力及声誉损失。
过去,企业壹直习惯于利用防火墙来提高企业网络安全。
可是,这已经不能再满足当今网络的需要了。
虽然防火墙能够阻止对企业网络的攻击,但却不能阻止对企业应用层的攻击。
因此,企业开始寻找更可靠、且可扩展的解决方案来保护他们的网络安全,且提高保护级别。
作为应用流量管理解决方案,F5公司的BIG-IP®系统可为企业提供最佳的解决方案,使企业网络具备网络及应用层的双重安全。
本《白皮书》旨于说明BIG-IP系统是如何为企业提供全面及完整的网络及应用安全解决方案,防止潜于的应用及网络层威胁和攻击,增强企业网络的全面安全。
应用挑战
于当下,应用系统已经成为企业商业活动的核心。
鉴于其对企业收入的直接影响性,除防止壹些低级网络攻击外,保护企业应用系统漏洞及关键信息免受恶意攻击是至关重要的。
目前,企业若想获得真正的网络及应用安全,面临着众多的挑战,这是因为:
应用系统漏洞日益增多:
——现今的安全系统和防火墙已不能够检测出、也无法抵挡各种新型应用层攻击了。
这些安全设备均忽视了应用层安全,而仅仅实现对某壹地址、端口或资源的锁定或解锁。
他们无法对数据包进行深层检查,且无法保持会话状态信息以检测且保护应用系统免受攻击。
应用层攻击通常表现为注入及执行受限命令、cookie篡改、或非法获取敏感文件或用户信息。
这些攻击将导致企业收入及生产力的巨大损失,给企业的声誉带来极大的负面影响。
日益增多的网络漏洞——网络攻击日趋普遍、日渐复杂。
恶意攻击的方法也不断翻新,他们穿过网站的防御系统,盗取有价值的信息、甚至击溃整个网站。
诸如拒绝服务(DoS)、分布式拒绝服务(DDoS)、无序包泛滥(outoforderpacketfloods)及TCP窗口尺寸干预(TCPwindowsizetampering)等复杂的攻击对企业的安全系统构成极大的压力,他们必需保护企业应用免受海量攻击而导致的网络瘫痪。
黑客和恶意攻击者通常于开始攻击前,首先扫描网站(即:
攻击信息归档[profiling]),从见似无害的资源中获取系统或应用信息,如服务器错误代码及源代码注释等。
内部安全漏洞和信息漏洞——目前,企业面临的最大威胁之壹就是来自企业内部的安全攻击。
由于内部用户是受信任域的壹部分,因此很难被检测且防止此类攻击。
于当下的安全系统均无法为企业提供灵活的安全策略部署,于允许其它无需加密的非关键流量通过的同时,对企业内部的某些商业关键流量进行加密。
因此,企业用户壹直于寻找壹种有效又统壹的安全策略,可利用现有的解决方案,使企业网络的安全性达到诸如:
Sarbanes-Oxley,HIPAAandFIPS等国际安全标准。
解决方案
BIG-IP系统为企业用户提供多种安全服务,于增强企业网络的安全性中起到至关重要的作用。
将BIG-IP系统部署于通往企业重要资源(支持公司业务运行的应用及网络)的关键网关处,即可为企业网络增加强大的网络级安全策略,同时过滤最复杂的应用攻击。
作为集成的SSL加密及壹系列应运而生的应用安全技术领域的领导者,BIG-IP系统可加固企业网络安全,抵挡各种类型的攻击。
强大的应用安全
BIG-IP解决方案可对整个应用系统的有效载荷进行深层数据包检查,从而大大增强了企业应用层的安全性。
利用其灵活性和无可比拟的能力,为网络管理员提供管理和控制应用流量的强大工具。
全面认证、授权、审计及有效载荷的解析功能,使企业于允许某个会话前,于其网络边缘处执行安全策略。
性能如下:
通用检查引擎和iRules™
企业用户可利用BIG-IP系统来设置和执行普通的应用层安全策略。
利用BIG-IP的新型及增强的通用检查引擎(UIE)和TCL规则(iRules)能力,企业用户可过滤及阻止应用层攻击和威胁。
新型通用检查引擎使BIG-IP系统于连续应用流的基础上对全部应用有效载荷进行检查,为决策(如:
交换、持续或拒绝)提供更多的灵活性。
企业用户能够使用标准编程接口,如TCL语言,来建立iRules,创建和企业安全方针壹致的安全策略,从中体验它的灵活性和强大的功能。
设定安全策略后,就能够把它分配给某壹个简档(壹个图形用户界面(GUI)的新功能,能够简化部署且且能够重复利用)。
二者共同使用即可为企业的应用流量提供无可比拟的控制和保护。
认证和授权
BIG-IP系统可利用网络边缘的认证功能,将网络周边的安全提高壹个级别,从而增强了企业应用的安全性。
高级客户机认证(ACA)模块为各种类型的IP流量提供壹个认证代理,起到网站岗哨的作用。
和(可提供认证机制库的)可插入认证模块(PAM)引擎联合使用,ACA模块可卸载服务器的关键认证处理,以降低消耗服务器资源的认证管理。
ACA模块兼容各种授权机制,如LDAP,RADIUS及TACACS+。
于递交客户证书时,BIG-IP系统可于接收证书且将数据转向壹个目标服务器前,利用证书撤消清单(CRL)或于线证书验证状态协议(OCSP),对该证书的撤消状态进行评估。
BIG-IP设备仍可担当凭证管理中心(CA)的角色。
通过其密钥管理系统(KMS),BIG-IP可为企业用户提供壹个集中且简单的方法来生成管理和执行客户机/服务器的密钥和证书。
于网络层巩固和执行认证可降低应用和服务器的负荷,且可使企业无需再逐个为成百上千的应用部署认证系统,且省时省力。
应用和内容过滤
BIG-IP系统,利用其强大的通用检查引擎及可自定义的基于策略的iRules引擎,为企业用户提供壹种功能强大的执行安全策略的方法。
BIG-IP解决方案中提供的应用和内容过滤功能使企业用户可通过定义穿梭于其服务器的流量,执行积极的安全模块。
利用此独特的功能,对应用有效载荷内部的数据包及会话流进行深层检查,因此,BIG-IP系统可于保护企业重要资产的同时,不仅可阻止对记录/目录、受限命令的非法访问,仍可阻止对应用服务器中敏感文件的非法访问。
同时,BIG-IP系统仍可根据受限或黑名单中的网站列表对内容进行过滤,且协助企业用户执行安全策略。
Cookie加密和认证
此强大的功能使企业用户能够对应用流量中的cookies进行加密及认证,如此可阻止黑客获取cookies来发动应用攻击。
激活cookies加密和认证,黑客就无法通过读取cookies而获取JSessionIDs及用户身份信息,且随后更改cookies以建立非法会话。
BIG-IP系统为企业的有状态应用系统提供出色的保护,使其免受会话劫持、及cookies篡改等利用cookies内容重写对关键应用漏洞发起的攻击。
SSL加速和加密
繁重的SSL流量会导致处理瓶颈,即使是功能最强大的设备也会因此而瘫痪,从而导致服务或应用的整个安全性能遭受巨大的影响。
另外,若无法保护应用于SSL协议中的私人密钥,就会导致将用户和服务安全置于危险境地。
BIG-IP系统中使用的集成的SSL加速模块,不仅可增强SSL计算资源,仍可集中密钥管理。
BIG-IP设备拥有市场上最快最安全的加密运算法则。
BIG-IP系统向企业用户提供高级加密标准(AES)及壹种128、192或256位(可选的)区块加密的对称加密法,以此来进壹步提高企业网络安全保护级别,且使其获得符合企业需要的真正的安全性。
通过AES及SSL处理,BIG-IP系统于无需额外增加成本的基础上,为用户提供目前市场上最安全的SSL加密运算法则。
日益增强的网络及基础架构安全
BIG-IP系统为企业用户提供强大的网络层安全,进壹步提高其安全性,保护其免受最严重的网络攻击。
BIG-IP设备拥有独特的UIE及可编程的iRules语言,为企业用户提供针对网络有效载荷的完整可视性,以便使用户更为简便的管理及执行其安全策略。
除对普通网络攻击、DoS、DDoS攻击、及协议篡改攻击的防御外,再加上BIG-IP系统的数据包过滤功能,为企业用户提供无和伦比的安全性,从而于促进企业生产力和收入提高的同时,又降低了拥有成本。
BIG-IP系统依靠下列特性提高了网络及基础架构的安全性:
缺省的拒绝访问
BIG-IP系统是壹种缺省的拒绝访问设备,如非管理员指定类型的流量,BIG-IP系统将拒绝其通过。
如此可极大的增加网络的安全性,而只有符合管理员指定类型的流量可通过BIG-IP系统。
自动防御
BIG-IP的软件拥有无数的内置程序,可保护企业网络免受普通攻击。
它可忽视直接子网广播,且不响应常用于Smurf及Fraggle攻击的广播ICMP请求。
BIG-IP设备的连接表和现有连接保持壹致,如此,诸如LAN攻击等中的虚假连接就无法传递给服务器。
BIG-IP系统可查验帧定位的正确性,以防止普通片段储存攻击(Teardrop,Boink,Bonk及Nestea)。
此外,通过端口的缺省封锁即可阻止其它攻击(WinNuke,Sub7,和BackOrificeusage)。
由于BIG-IP可重新组合TCP重叠片段及IP碎片,企业网络可阻止日趋普遍的新型未知攻击。
SYNCHECK™
SYNflood是拒绝服务攻击中的壹种,此类型的攻击旨于耗尽系统资源,使其无法建立合法连接。
BIG-IP系统的SYNCHECK的特性就是代表服务器发送cookies至请求客户机、不记录连接的状态信息使其无法完成初期的TCP交握,以此来减缓SYNfloods攻击的影响。
此独特的性能确保服务器仅处理合法连接,且不消耗BIG-IP的SYN队列,如此,即可继续正常的TCP通讯了。
SYNCHECK的特性是BIG-IP系统DynamicReaping特性的补充,于DynamicReaping处理已经建立的连接的泛滥时,SYNCHECK处理新建连接的泛滥,以防止SYN队列被耗尽。
SYNCHECK和高性能的syn-cache壹起使用,企业用户即可于不损失TCP选项的情况下使用syncookies。
DoS和DynamicReaping
BIG-IP软件中有俩个全局设置,提供了于特定情况下清除相应连接的功能。
为防止拒绝服务(DoS)攻击,企业用户能够指定壹个低临界值和壹个高临界值。
壹旦到达低临界值,系统开始清除接近超时时间的连接。
到达高临界值,系统不于接受新建连接请求,只允许已经建立的连接通过BIG-IP系统。
这个临界值为内存的利用率,壹旦内存利用率达到此临界值,就不再接受连接请求了,直到内存利用率降到低临界值以下。
虚拟服务器上的连接限制
BIG-IP系统允许网络管理员限制虚拟服务器上最大且发连接数。
这样另壹防御层即可抵御诸如拒绝服务(DoS)等攻击。
协议无害处理
此功能使企业用户得以保护他们的网络免受利用IP协议篡改发起的攻击,以防止服务器资源耗尽及网站瘫痪。
BIG-IP系统作为安全防御的第壹线,可阻止包括无序包泛滥、MSStinypacketfloods、TCP窗口尺寸干预等攻击,切断客户机和服务器间的TCP连接。
BIG-IP设备可过滤客户机和服务器间的通讯,查找入侵攻击样式及异常,且对服务器和应用的流量进行过滤。
数据包过滤
BIG-IP系统的增强数据包过滤引擎可对数据包进行深层检查,且于高级数据包过滤器规则基础上,使网络管理员能够接入、丢弃或拒绝(将“管理员禁止”的各种代码退仍给发送源)流量。
数据包过滤器规则可执行第四层过滤,根据安全策略允许受信任流量通过,及处理其它特定的流量类型。
于当下,企业用户可使用兼容IPV4或IPV6的数据包过滤器,不仅能提供基本的防火墙功能,仍进壹步提高周边安全。
根据数据包的源或目的IP地址、源或目的端口号(支持端口的协议)、及数据包类型(UDP、TCP或ICMP)对数据包进行过滤。
数据包过滤可保护企业网络免受IP欺骗(IPSpoofing)、伪造TCP标记攻击等入侵攻击。
审计和日志
BIG-IP系统强大的日志功能可记录由于意外环境或无效参数(如:
陆地攻击(Landattack)、Smurf攻击、badchecksums、未经处理的IP协议数或版本等)而导致的数据丢弃的关联事件。
BIG-IP设备的安全方案中可识别出任何服务或端口所收到的未授权访问企图的源IP地址、所使用的端口以及频次。
该信息有助于识别网络安全的漏洞,且确定攻击来源。
除为通用内容转换设计的新规则功能及变量外,仍进壹步拓展了规则的语法,包括俩个新的规则语句:
log和accumulate。
通过利用这些功能,企业用户可利用iRules调用日志记录或系统日志信息,使网络管理员对攻击保持实时警惕。
流量控制
流量控制这壹新特性为企业用户提供了功能强大且灵活的方法来抵御带宽滥用攻击。
利用速率级别和速率过滤器,企业用户可保护自己的网络免受流量峰值、非法滥用或网络攻击而导致的网络资源耗尽。
企业用户可定义流量及应用限制,且控制那些资源允许的流量峰值速率,从而识别且阻止企图耗尽企业网络资源的普通安全攻击。
防止信息泄露
BIG-IP系统保护企业用户网络,防止黑客利用安全漏洞盗取有价值的信息。
黑客经常利用扫描网站或网站攻击信息归档来获取企业基础架构信息,他们分析流量样式且检查漏洞的错误代码,以便他们攻击企业网络。
企业的内部安全漏洞是企业面临的共同问题,因此,黑客经常试图于网络内部非法获取敏感信息。
BIG-IP系统为企业提供了可阻止非法访问敏感及关键信息的工具,且可于需要时,有选择的对流量进行加密。
BIG-IP产品通过下列特性阻止敏感信息的泄露:
资源隐藏
BIG-IP系统使企业用户得以阻止黑客通过扫描其网站及应用系统来获取用户的安全漏洞。
BIG-IP设备利用资源隐藏这壹特性,将包含于网页、服务器报头中关于服务器及应用系统的错误代码、以及源代码注释内的服务器敏感信息全部虚拟化且隐藏。
利用通用检查引擎及iRules的灵活性,BIG-IP系统可阻止/过滤关于网站的壹任敏感信息,为企业提供无可比拟的安全保护。
安全网络地址转换(NAT)和端口映射
BIG-IP系统可将其所使用的地址及端口转换至向外界公布的地址和端口,这样网络管理员就不用担心会暴露BIG-IP设备资源,从而降低了服务器遭受攻击的危险。
BIG-IP系统中被称为智能安全网络地址转换(智能SNAT)的特性和NAT类似,为私网IP地址的服务器提供壹个公网IP地址,以确保其安全地连接到互联网。
但智能SNAT又不同于NAT,智能SNAT允许网络管理员将壹组节点、整个子网或VLAN映射成壹个IP地址。
除此之外,智能SNAT仍可基于IP数据包数据中的任意壹部分映射成壹个IP地址。
企业用户可利用BIG-IP系统的UIE,用更智能的方法基于IP数据包数据的任意壹部分映射成壹个IP地址。
于默认情况下,SNAT地址仅可用于发起外部连接请求。
BIG-IP系统的默认设置为禁止向SNAT地址直接发出内部连接请求。
有选择性的内容加密
BIG-IP解决方案为用户提供了基于其应用安全策略及标准需求的有选择性的数据加密功能。
于当下,企业用户可于某壹中心位置构建统壹的安全策略、却对不同的客户实施不同的策略。
企业用户可利用精细控制来管理非关键流量,且对敏感信息进行有选择性的加密,如帐号、密码等,以使企业网络安全符合国际安全标准:
Sarbanes-Oxley,HIPAA及FIPS。
扩展现有安全解决方案
防火墙、入侵检测系统(IDS)及VPN设备构成了企业网络内外的第壹道安全防御系统。
鉴于这些设备于网络安全中的重要性,要求他们于任何时候均必需保证其可用性、功能的适用性及迅速反应。
将BIG-IP设备添加到企业的安全基础架构中,可扩展企业现有的解决方案,大大增加其可扩展性及可用性。
可能过BIG-IP系统的某些高级特性达到提高扩展性及可用性的目的,这些特性就是为了支持企业安全基础架构的需求而开发的,以实现和企业基础架构可靠、无缝的兼容。
这些特性如下:
高级负载均衡运算法则:
BIG-IP软件中包含有各种负载均衡运算法则可供网络管理员选择,某些是专门适用于负载均衡安全设备的,如防火墙、VPN或入侵检测系统(IDS)。
BIG-IP系统的高级运算法则(如预测模式、观察模式、及动态性能模式等)将壹个或多个动态性能因素(如:
当前连接数)考虑于内。
负载均衡根据设备的区别,其处理速度、内容及连接类型均各不相同,这些运算法则可更好的将资源统壹利用起来,以将投资收益最大化,且提高安全设备的性能和网络保护能力。
高级透明健康状态检查
BIG-IP系统的透明健康状态检查能力可通过壹个透明节点对另命名的目的地址进行检查。
于透明状态下,健康检查会透过壹个节点(使用这种健康检查的节点,通常是防火墙)到达壹个目的节点。
换言之,如果负载均衡池中有俩个防火墙,可将源服务器或内部俩台BIG-IP作为透过指定防火墙目的节点。
如果从目的节点处未获得响应,则该防火墙(而非源服务器)则将被标记为无效,且将流量重新导至壹个正常资源处。
高级应用状态检查
BIG-IP系统的扩展应用验证(EAV)性能可用于提高透明健康检查的精确性。
扩展应用验证利用远程运行应用来验证某壹节点上应用的状态。
如果应用未于预期设定的时间内做出反应,则BIG-IP系统会直接将请求引导至其它正常的设备中去。
优秀的持续性
当通过壹系列的安全设备对客户连接进行负载均衡时,最重要的是要将其拥有相同会话ID的数据包直接送至相同的设备。
BIG-IP解决方案为网络管理员提供了多种持续性模式,使其于保持负载均衡的同时,确保拥有相同的会话ID所有的连接持续流向同壹节点。
BIG-IP的通用持续性为企业应用提供了高灵活性,以保持于应用有效载荷的任壹点上的持续性。
Any-IP
Any-IP流量允许BIG-IP系统对除TCP及UDP以外的协议进行负载均衡。
例如,网络管理员可利用此性能,对IPSEC流量进行负载均衡(将壹组VPN设备分配给壹个虚拟服务器)。
重新绑定动态连接
BIG-IP设备仍为安全设备提供了重新绑定动态连接的功能,该安全设备和集群中的其它设备共用相同的会话表。
如果集群中的壹个节点不可用,重新绑定动态连接功能会立即将此节点上的所有连接转至同壹池中的另壹正常节点上去。
由于其它节点和原节点共用相同的会话表,因此新节点可于不间断或干涉用户使用的情况下,对既存连接进行认证。
Lasthoppools
于对安全设备进行负载均衡的同时,利用lasthoppools,可确保连接响应的路径(从服务器至客户机)和初次请求之路径(从客户机至服务器)相同。
BIG-IP允许网络管理员手动指定lasthoppools组,或允许系统利用自动lasthoppools功能自动确认lasthop。
VLAN镜像
BIG-IP系统的增强VLAN镜像功能可复制VLAN处接收到的数据包,且将其发送到另壹个VLAN或VLAN组处。
和数据包中的目的MAC地址无关,此过程适用于所有从VLAN镜像配置中源VLAN接收到的流量。
VLAN镜像不包括BIG-IP系统从非指定VLAN发出的数据包。
于此情况下,BIG-IP的作用就像是这些VLAN的壹个网络中心。
此功能的设计旨于对入侵检测系统进行带外的负载均衡。
BIG-IP系统中增强的VLAN镜像拥有优秀的性能,为企业用户提供了可扩展性及冗余机制。
克隆池
BIG-IP系统增强的克隆池功能可将壹个池中的全部流量复制到另壹个克隆池中,该池中包括有壹个IDS或探测设备。
用户可根据任何标准的负载均衡池配置壹个克隆池。
当壹个标准的负载均衡池接收到壹个连接时,它就会于标准池中为标准连接寻找壹个节点,然后于克隆池中时,就会为其寻找壹个克隆节点。
此时,克隆池会将标准池中的全部流量复制到克隆池中。
BIG-IP系统中增强的克隆池功能可优化使用IDS设备的企业网络性能且提供可扩展性。
客户端SSL代理
客户端SSL代理功能可终止SSL连接、解密请求且以纯文本形式将请求发送至终点目的地。
于终止壹个SSL连接的过程中,代理可正常执行由目标web服务器处理的证书验证、和加密解密功能。
如和克隆池或VLAN镜像壹起使用时,企业可利用此功能扩展无法处理加密数据的IDS设备的有效性。
集成控制
BIG-IP系统通过F5的iControl™API(开放的应用编程接口)成为壹个统壹的防御点。
利用iControl,其它安全设备可通过创建、删除或编辑iRules将其信息注入到BIG-IP系统中,随后通用检查引擎会执行这些命令。
iControl可瞬间应用这些更改,系统也因此而实现快速保护措施。
此功能可用于保护web服务、移动应用、及基于任何IP的应用。
优势
增强的应用安全——企业用户可通过BIG-IP设备执行、增强、加快及保证他们应用及web服务的安全性。
利用BIG-IP的高级客户机认证、Cookie加密、应用及内容过滤及强大的加密功能,企业用户可部署全面的应用安全,从而构成壹道协调、统壹的防线、降低拥有总成本且提高投资回报。
强大的网络安全性——企业用户可通过BIG-IP系统为其网络基础架构执行、增强且部署安全策略。
利用BIG-IP系统的DoS及SYN攻击保护、数据包过滤及协议无公害处理功能,企业用户可保护其网络免受最严重的攻击,且控制进出其网站的信息。
提高投资回报(ROI)——BIG-IP解决方案最大限度地提高了应用可用性,允许无故障维护,从而显著降低管理成本。
通过卸载SSL及关键安全功能(处理器及服务器密集型运行),客户无需再购买昂贵的硬件即可支持其应用。
如此,不但增强了客户的应用性能,又可为用户节省30%的硬件成本。
流量控制功能使客户能够根据业务政策分配带宽、以此来为客户节省成本且提高投资回报。
高可用性——使用高级状态检查特性,BIG-IP系统可检测出不可用或性能不佳的资源,且将流量导向其它资源。
BIG-IP产品可使用户的所有应用均到达关键任务可用性标准(正常工作时间高达99.999%),同时显著降低了运营复杂性和成本。
广泛集成——iControl是业界第壹个支持全套应用流量管理产品的开放应用编程接口(API)。
IControl体系结构方案以软件开发工具包(SDK)的形式免费提供,解决了当前最大的集成挑战,可轻而易举地通过F5产品于第三方应用和网络之间实现互通。
F5公司背景
F5可为企业成功地提供关键业务应用和最出色的灵活性来充分满足其业务需求。
作为应用流量管理的先行者和全球领先厂商,F5将致力于不断为网络添加更多智能特性来提供先进的应用灵活性,使企业保持领先地位。
F5产品可确保随时随地为任何用户提供安全和优化的应用。
借助其灵活、坚固的体系结构,F5通过显著改善企业服务其员工、客户和合作伙伴的方式来提供卓越的价值,同时显著降低运营成本。
目前全球有6,000多家企业和服务提供商选择F5的解决方案来支持其业务运营。
F5Networks总部位于华盛顿州西雅图市,于全球各地均设有办事处。
访问F5网站,获得更多信息:
。
升级会员 