登录

F5新型数据中心防火墙解决方案——一键解决企业网络安全问题

zo33n5 技术论坛

  现如今传统防火墙已无法满足企业安全需求,网络攻击大多发生在应用层和网络层故障,且呈上升趋势,传统的防火墙存在着很大的不足之处,包括无法检测加密的Web流量;普通应用程序加密后,也能轻易躲过防火墙的检测;对于Web应用程序防范能力不足;应用防护特性只适用于简单情况;无法扩展深度检测功能, 仅部署传统的防火墙服务已经无法有效地检测攻击并防止业务中断,可见防火墙故障更加令人担忧,想要确保网络环境安全,就需要针对防火墙进行根本性的变革。


  F5新型数据中心防火墙解决方案:


  针对目前数据中心的安全需求,确保数据中心网络边界安全,F5公司推出了新型数据中心防火墙解决方案。以F5 BIG-IP LTM本地流量管理器所提供的防火墙服务为基础的全新的数据中心架构,既能够有效地抵御现代频繁和多样化的网络攻击,又可以节省企业分散式购买安全设备带来的成本。


  F5新型数据中心防火墙解决方案是通过一种全面的集成式平台来应对上述每个因素。流量管理和网络防火墙服务由BIG-IP LTM进行管理。通过部署BIG-IP GTM可以执行DNSSEC和DNS Express,从而保护关键的DNS服务免受DDoS和劫持攻击;通过部署BIG-IP ASM可以提供面向10大OWASP攻击的Web应用防火墙服务;最后,通过部署BIG-IP APM来提供安全的Web访问管理和面向应用的SSO,以确保解决方案的完整。因此,BIG-IP LTM是一个能够为网络堆栈提供全方位保护的现代威胁缓解平台。


  了解防火墙的限制:


  在传统意义上,选择数据中心防火墙时需考虑的因素包括认证、开支和性能。认证标准可能需要部署特定的防火墙才能符合规定,这样就限制了设备的选择范围。在设备上,采购人员会衡量其余的两个因素:价格与性能。然而,通过对这些参数进行新的分析,我们发现了一种新的模式。


  防火墙根据数据吞吐量(如1Gbps或4Gbps)进行划分,这样可以很轻松地确保采购与入站管路大小的一致。但将较高的数据吞吐量作为衡量标准并不准确。在分布式拒绝服务(DDoS) 攻击中,至关重要的不只是较高的数据吞吐量,还包括设备如何处理并发连接以及每秒连接数。例如,一个价格为50,000美元的典型传统防火墙需要10Gbps的吞吐量,这应该足以应对中小型攻击。但这种类型的防火墙只能处理100万至200万条并发连接。众所周知,维基解密(WikiLeaks)在2010年受到了一次大规模攻击,攻击者只使用一个僵尸网络就轻松生成了超过200万条并发连接,翻过了整个美国的防火墙。并发连接性能较高(每秒处理400万至1000万条连接)的传统防火墙的价格也更高,需要100,000美元至150,000美元。


  每秒连接数也是这样。传统防火墙在进行状态检查时,会影响建立每个TCP会话的性能。这就限制了防火墙处理入站连接的性能。价格为50,000美元的典型传统防火墙每秒可处理50至100,000条新连接。


  攻击者非常清楚这些防火墙限制,现代攻击就是通过利用这些限制来进行的。不幸的是,行业分析家指出,由此导致的防火墙故障并不少见。事实上,这些故障很可能是2011年9月的安全调查中仅8%的受调查者表示防火墙等传统的安全措施不足以确保网络安全的原因。因此,越来越多的企业在卸载数据中心防火墙,而更多的企业选择直接折旧,而不会进行更新。

  


  传统防火墙部署架构的另一个限制在于它无法应对范围如此广泛、涉及整个网络和应用生态系统的威胁。过去,用于缓解这些威胁的解决方案一直是单独部署的,这些解决方案通过特定的技术来应对应用、网络和DDoS攻击等逻辑分组中的攻击。这些来自多家厂商、相互之间缺乏关联的解决方案会提高管理的整体复杂性,当然也会大幅增加资本与运营支出。


  考虑现代数据中心的边界时,客户往往对于传统防火墙是否值得购买存在疑问,因为传统防火墙所做的只不过是通过80端口传输流量,并会增加延迟以及带来费用和风险。灵活的企业,特别是新成立的企业和那些没有PCI需求的企业,一段时间以来一直在未部署传统防火墙的情况下运营。


  依赖于Web2.0和其它数据中心交易的企业正在从基于集成式安全设备的新型数据中心架构中获得越来越多的益处。

  


  F5 Networks处理防火墙问题的方法是将安全服务融入到位于数据中心边界的一套应用交付控制器(ADC)中。F5 BIG-IP本地流量管理器(LTM)在11.1版本中提供了ICSA网络防火墙认证。这一关键认证的重要意义在于,BIG-IP LTM、BIG-IP GTM广域网流量管理器和BIG-IP ASM应用安全管理器第一次恰当地放置在数据中心的边界,同时仍能维持整个企业的安全状况与合规性。


  这一变化的重要性在知名的“防火墙三明治”架构的最新变化中十分显而易见。旧的“三明治”架构需要安装传统防火墙,但由于传统防火墙的能力有限,因此必须与一套BIG-IP LTM设备并行部署,以便实现入站连接的负载平衡。通过防火墙的流量将返回到相同的BIG-IP LTM设备中(或另一个设备中,即三明治的比喻),以便恰当地进行应用交付控制。由于BIG-IP LTM本身具有ICSA认证,因此可以将并行防火墙(三明治中的肉)折旧并淘汰掉,从而在维持相同的整体能力、合规性和攻击防御能力的同时,大幅减少设备的数量。


  BIG-IP LTM的本地防火墙服务可提供连接能力远远高于传统防火墙的网络层保护,因此使得这一架构成为可能。BIG-IP LTM最多可处理4800万条连接,在受到攻击时可以通过不同的超时行为、缓冲区大小和其它安全性相关选项对其进行管理。这一能力使得BIG-IP LTM可以在管理流量冲击量的同时,执行基于端口和IP的访问控制服务(通常由状态防火墙提供)。

  


  1、本地应用协议的流畅性


  此外,BIG-IP LTM还可以帮助阻止利用应用层协议与行为的各种攻击。由于能够在应用协议中流畅运行,BIG-IP LTM还可以监控和响应行为,而不只是规范和标准。BIG-IP LTM可以对Pv4、IPv6、TCP、HTTP、SIP、DNS、SMTP、FTP、Diameter和RADIUS通信进行解码,支持基于协议和有效载荷进行更加复杂的分析。这可以让BIG-IP LTM检测到表明攻击正在进行的异常行为,并采取适当的行动。例如,BIG-IP LTM可以检测出第7层每秒每个客户端的连接数,并实行在缓解第7层攻击方面行之有效的各种限速方案。这种本地协议的流畅性还有助于确保协议的合规性,对于试图利用漏洞(因协议解释不严谨而导致)的攻击,也有缓解作用。协议合规性与F5全代理架构的结合造就了一款独一无二的DDoS缓解解决方案。协议合规性的本地执行具有很重要的意义。F5 iRules脚本语言的编程能力提供了一种在标准和新兴或定制协议上执行协议功能的灵活方法。通过使用iRules,BIG-IP LTM可以执行协议合规性、限速、响应注入(response injection)、流量定向以及相关行动。安全团队发现,iRules的灵活性可以帮助他们解决各种安全解决方案:


  借助iRules,BIG-IP LTM可以通过模糊处理服务器和操作系统标头以及重写出站HTTP响应代码(如301、401和501错误)来帮助构建一个面向应用服务器的指纹隐形(fingerprint-cloaking)档案。


  在传输层安全性方面,iRules能够到达SSL/TLS协议堆栈,从而缓解各种协议攻击,如2010年的SSL重新协商漏洞(只使用一部手持设备便可攻击一台安全的服务器)。


  通过使用iRules,企业可以快速响应尚未发布补丁的各种应用漏洞。用于缓解攻击的iRules既可以内部开发,也可以从F5的全球DevCentral开发社区获取,甚至还可以从F5产品开发部发布。例如,Apache Killer3漏洞就是在Apache Server Foundation发布官方解决方案数周前通过F5安全团队所开发的iRule来解决的。


  2、高级DNS保护


  由于BIG-IP LTM对DNS防护的局限性BIG-IP GTM添加了iRules支持,从而增强了DNS协议的本地流畅性与合规性保护能力。BIG-IP GTM是第一款用于支持域名系统安全扩展(DNSSEC)的商业广域网流量管理器,能够抵御缓存投毒和中间人攻击。添加BIG-IP GTM的DNS Express功能可以保护重要的DNS服务免受拒绝服务(DoS)攻击。


  3、高级Web应用保护


  在高级Web应用安全方面,集成的BIG-IP ASM模块提供了Web应用防火墙(WAF)控制OWASP10大风险,如跨站脚本(XSS)、跨站请求伪造(CSRF)和SQL注入。BIG-IP ASM是唯一一款带学习模式的web应用防火墙,该模式能够了解一款应用的正常输入参数,并拒绝不符合正常流量模式的攻击。BIG-IP ASM还符合PCI 2.0规范中重要的WAF要求。


  4、Web接入管理


  BIG-IP接入策略管理器(APM)是新型数据中心防火墙模式的最后一个组件。许多Web应用需要限制特定用户的访问,而BIG-IP APM通过多因素认证、授权和单点登录(SSO)服务来支持这一需求。数据中心的动态访问控制是使用第4层和第7层的访问控制列表(ACL)(来源于用户身份、端点检测结果、地理位置以及取自目录存储区的任何属性等环境信息)来完成的。通过以高达72 Gbps的转发速度执行ACL,每秒支持数千次登录以及在单一平台上扩展到100,000个并发用户,BIG-IPAPM能够极为出色地执行各种任务。


  5、累计收益 


  这些收益(性能、协议合规性、全代理架构、访问控制和iRules灵活性)的累积效应是整体攻击面的减少。设备数量更少且容量更高意味着配置更少,最终在攻击中需要应对的问题也更少。IT人员可以以单一控制点集中进行防御,而非随着安全堆栈中的各个设备发生故障而进行重启。如今的攻击不仅有传统的网络攻击,还有复杂的DDoS攻击和第7层漏洞攻击,这种减少攻击面的方法就是为了缩小威胁的范围。使用F5产品的方法整合了多种安全服务,能够在一个全代理架构中出色地抵御所有这三种类型的攻击(网络、DDoS和应用),任何传统状态防火墙都无法做到这一点。


  结束语


  F5新型数据中心防火墙安全解决方案支持企业实施一个全面且可扩展的安全战略,从而帮助缓解如今最具挑战性的攻击,同时保持足够的灵活性,以应对未来定会出现的那些攻击。

  


展开全文
打开APP,一键看同内容文章>
爱普生CB-U42仅售3999元(包邮) 航嘉WD600K仅售389元(包邮) 西部数据蓝盘 1TB 7200转 64MB SATA3仅售359元(包邮)

网友评论

加载更多

相关推荐

最新问答

查看更多问答
反馈