关于安全产品的部署在业界一直有几种不同的声音,有一种认知是认为安全主要就是为了合规的,在合规的前提下,其他的都不太重要。但对于用户的实际价值来说,攻防能力的体现可能显得更为重要,由于安全攻击本身是一个动态的变化过程,这要求安全防护也能够适应变化,能随着攻击手段的变化而调整,满足不同场景下的防护要求,这实际上就是攻防能力的最高体现。
F5的DDoS防护体系是一个立体的多层次防护体系,目的是在构建合规体系的同时,给用户提供强有力的攻防手段,真正能够帮助用户的业务抵御层出不穷的各种安全威胁。安全既要合规,更要攻防!
从实际经验来看, Bot防范是Web防御的重中之重,应用层DDoS防御是WAF的职责所在,到场服务和应急响应是成功阻截攻击的先决条件。实际上,F5的DDoS防护体系是一个立体的多层次防护体系,除了Advanced WAF(API安全-新一代WAF),还包括了云端的DDoS清洗,网络层面的DDoS防护,以及Advanced WAF(API安全-新一代WAF)所擅长的应用层DDoS防护,通过立体防护架构的建立,在面对混合式攻击时能够有效地分别有效应对。
F5 7层DDoS防御方案一览:
针对于DDoS的不同场景,F5 Advanced WAF(API安全-新一代WAF)准备了相应的组合策略的防御方案,来应对不同的DDoS场景。包括:
通过这些组合策略的防御方案,可以针对不同的DDoS场景来实现动态的防护策略部署,从而实现全方位的7层DDoS防御。同时,F5借助于BIG-IP AFM,BIG-IP LTM,BIG-IP DNS和BIG-IP ASM的不同功能模块,可以实现在OSI不同层面的DDoS风险的全面防御,为应用的可用性保驾护航。
通过近期多次安全事件的实际检验,F5可以总结出以下几点:
1. 防护架构的重要性:攻防和合规是安全的两个方面,安全产品不能只看产品参数和功能点,更重要的是如何能融合到用户现有部署架构中,根据用户的现网实际情况,能够平滑地切入起到安全防护效果,而不能让用户的现网环境做大量调整来适应安全产品。
2. 防护体系层级分明:需具备分层级的安全防护体系,防范不同层面的安全问题,针对应用层DDoS攻击来说,应分别构建基于云端、基于网络层面和基于应用层面的立体防护体系;(具体可参考后附的通用版的F5分级DDoS防护参考架构)。
3.透明模式的不足:透明模式在实际安全事件中可能并不是一个好选择,处于透明模式的安全网关,在真正面对攻击的时候往往都是直接bypass流量,并不能有效抵御安全攻击。
4. 安全服务的必要性:安全有一半以上的价值都应该是服务,好的服务是能够真正帮助用户的。这也是F5建立SIRT(Security Incident Response Team)队伍的初衷,SIRT可以快速响应各种安全事件,和当前的F5技术体系相互配合补充,在安全事件中为客户提供贴心完善的安全服务。
通用版的F5分级DDoS防护参考架构
