概述
互聯(lián)網(wǎng)已變得日益復(fù)雜,眾多企業(yè)面臨著惡意攻擊的威脅。各個(gè)企業(yè)面臨防御其基礎(chǔ)設(shè)施免受網(wǎng)絡(luò)安全攻擊,以及針對(duì)特定應(yīng)用層攻擊的挑戰(zhàn)。每年,企業(yè)的安全成本耗資達(dá)幾百萬(wàn)美元,其中包括:企業(yè)收入銳減、生產(chǎn)效率下降,以及信譽(yù)受損。
企業(yè)應(yīng)對(duì)這些威脅的傳統(tǒng)方式,是采用防火墻來(lái)增強(qiáng)網(wǎng)絡(luò)的安全性。然而經(jīng)證實(shí),這種覆蓋面相對(duì)較窄的方式不足以應(yīng)對(duì)需求。盡管傳統(tǒng)的防火墻可以保護(hù)企業(yè)免受網(wǎng)絡(luò)攻擊,但是,它們不足以防御新型應(yīng)用級(jí)攻擊。企業(yè)正在尋求更多可靠、可擴(kuò)展的解決方案,來(lái)擴(kuò)展其安全覆蓋范圍、提高保護(hù)的級(jí)別。借助應(yīng)用流量管理解決方案——F5 Networks BIG-IP 系統(tǒng),企業(yè)能夠獲得全面的安全性(無(wú)論是網(wǎng)絡(luò)級(jí)安全,還是應(yīng)用級(jí)安全)。
本白皮書(shū)旨在探討 BIG-IP 系統(tǒng)如何提供全面集成的方法,保護(hù)系統(tǒng)免受網(wǎng)絡(luò)級(jí)和應(yīng)用級(jí)的威脅和攻擊,從而增強(qiáng)用戶(hù)應(yīng)用的整體安全性。
挑戰(zhàn)
應(yīng)用已成為當(dāng)今企業(yè)經(jīng)營(yíng)過(guò)程的一項(xiàng)核心內(nèi)容。應(yīng)用對(duì)企業(yè)的收入有著直接的影響,因此,保護(hù)關(guān)鍵業(yè)務(wù)信息免受惡意攻擊至關(guān)重要,這些攻擊通常包括針對(duì)應(yīng)用漏洞的攻擊,以及低級(jí)網(wǎng)絡(luò)攻擊。企業(yè)在實(shí)現(xiàn)真正的網(wǎng)絡(luò)和應(yīng)用安全時(shí),面臨著諸多挑戰(zhàn),因?yàn)椋?BR> 應(yīng)用漏洞越來(lái)越多——當(dāng)今的安全系統(tǒng)和防火墻并非智能型系統(tǒng),不能檢測(cè)新型的應(yīng)用層攻擊,也不能單獨(dú)防御此類(lèi)攻擊。這些設(shè)備無(wú)法確認(rèn)應(yīng)用的類(lèi)型,它們僅是鎖定/解鎖某個(gè)地址、端口或資源。這些傳統(tǒng)設(shè)備不能對(duì)數(shù)據(jù)包進(jìn)行深度檢查,不能通過(guò)維持會(huì)話(huà)狀態(tài)信息來(lái)檢測(cè)攻擊,也不能防止應(yīng)用攻擊的發(fā)生。應(yīng)用攻擊通常包括:注入和執(zhí)行受到限制的命令,cookie 篡取、獲得非法訪問(wèn)敏感文檔和用戶(hù)信息的權(quán)限。這些攻擊會(huì)導(dǎo)致?lián)p失大量的收入,以及生產(chǎn)效率降低,上述結(jié)果反過(guò)來(lái)還會(huì)影響企業(yè)的信譽(yù)。
網(wǎng)絡(luò)漏洞越來(lái)越多—— 網(wǎng)絡(luò)攻擊變得越來(lái)越復(fù)雜和廣泛。惡意用戶(hù)正在尋找新的突破網(wǎng)站防線、竊取有價(jià)值信息、甚至使整個(gè)站點(diǎn)停機(jī)的方法。諸如拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、無(wú)序包泛濫、TCP 窗口大小篡改等復(fù)雜攻擊,正給安全系統(tǒng)抵御大量攻擊帶來(lái)巨大的壓力。在發(fā)起攻擊之前,黑客和惡意用戶(hù)還啟用了站點(diǎn)掃描技術(shù)(一種被稱(chēng)之為 profiling(特性描述)的技術(shù)),從似乎無(wú)害的源碼(如服務(wù)器錯(cuò)誤代碼、源代碼注釋?zhuān)┊?dāng)中檢索任意系統(tǒng)或應(yīng)用信息。
內(nèi)部安全危害與信息泄露——當(dāng)今企業(yè)所面臨的其中一個(gè)最大的威脅是來(lái)自企業(yè)內(nèi)部的攻擊。這些攻擊難以檢測(cè)和預(yù)防,因?yàn)槠髽I(yè)內(nèi)部的用戶(hù)是可信域中的一部分。當(dāng)今的安全系統(tǒng)不能靈活地部署安全策略,不能在對(duì)企業(yè)內(nèi)部某些關(guān)鍵業(yè)務(wù)流量進(jìn)行加密的同時(shí),允許其它未加密的非關(guān)鍵流量通過(guò)。企業(yè)正借助其現(xiàn)有解決方案努力部署高效統(tǒng)一的安全策略,使企業(yè)的組織機(jī)構(gòu)符合諸如薩班斯 奧克斯利法案、HIPAA 以及 FIPS 等安全監(jiān)管標(biāo)準(zhǔn)。
解決方案
BIG-IP 系統(tǒng)可提供范圍廣泛的各種安全服務(wù),在為企業(yè)安全提供支持方面發(fā)揮著至關(guān)重要的作用。BIG-IP 系統(tǒng)可在關(guān)鍵網(wǎng)關(guān)位置進(jìn)行部署,它既能添加功能強(qiáng)大的網(wǎng)絡(luò)級(jí)安全策略,又能過(guò)濾最復(fù)雜的應(yīng)用攻擊,從而可保護(hù)您最寶貴的資源——支持您的業(yè)務(wù)正常運(yùn)行的應(yīng)用與網(wǎng)絡(luò)。作為一款集成 SSL 加密和新興應(yīng)用安全技術(shù)領(lǐng)域的領(lǐng)先產(chǎn)品,BIG-IP 系統(tǒng)能夠使您的站點(diǎn)固若金湯,免受各類(lèi)攻擊。
功能強(qiáng)大的應(yīng)用安全性
BIG-IP 解決方案能夠?qū)φ麄€(gè)應(yīng)用的有效負(fù)載進(jìn)行深度數(shù)據(jù)包檢查,從而為企業(yè)提供了功能強(qiáng)大的應(yīng)用級(jí)安全性。憑借 BIG-IP 靈活的特性集及其無(wú)可比擬的強(qiáng)大功能,管理員能夠輕松管理并控制其應(yīng)用流量。憑借 BIG-IP 系統(tǒng)全方位的認(rèn)證、授權(quán)、審計(jì),以及有效負(fù)載解析特性,在允許進(jìn)行會(huì)話(huà)之前,企業(yè)就能在網(wǎng)絡(luò)邊緣執(zhí)行安全策略。這些特性包括:
通用檢查引擎和 iRule
借助BIG-IP 系統(tǒng),企業(yè)可設(shè)置并執(zhí)行通用應(yīng)用級(jí)安全策略。借助 BIG-IP 全新的增強(qiáng)性通用檢查引擎 (UIE) 和 TCL 規(guī)則 (iRule) 能力,企業(yè)能夠過(guò)濾并阻止應(yīng)用級(jí)攻擊與威脅。借助全新的 UIE 組件,BIG-IP 系統(tǒng)可檢查整個(gè)應(yīng)用的有效負(fù)載,同時(shí)也可根據(jù)連續(xù)流靈活地做出轉(zhuǎn)變、堅(jiān)持執(zhí)行、或拒絕執(zhí)行之決定。通過(guò)使用諸如 TCL 等標(biāo)準(zhǔn)編程接口創(chuàng)建 iRule,以及創(chuàng)建與本企業(yè)安全方針一致的策略,企業(yè)能夠充分利用 BIG-IP 靈活而功能強(qiáng)大的特性。一旦創(chuàng)建上述策略,即可將其分配給各文件,從而借助其全新的 GUI 特性就能實(shí)現(xiàn)輕松重復(fù)部署。通過(guò)整合這兩項(xiàng)特性,企業(yè)就具有了無(wú)可比擬的對(duì)其應(yīng)用流量進(jìn)行控制和保護(hù)的能力。
認(rèn)證和授權(quán)
通過(guò)在網(wǎng)絡(luò)邊緣提供認(rèn)證功能,以及針對(duì)網(wǎng)絡(luò)中的資源又增添一道安全防線,BIG-IP 系統(tǒng)能夠增強(qiáng)應(yīng)用的安全性。高級(jí)客戶(hù)認(rèn)證 (ACA) 模塊可視為站點(diǎn)的“哨所”,它能夠?yàn)楦鞣N類(lèi)型的 IP 流量提供認(rèn)證代理。高級(jí)客戶(hù)認(rèn)證模塊可與可插拔模塊 (PAM) 引擎協(xié)同工作,借助 RAM,用戶(hù)能夠從認(rèn)證機(jī)制庫(kù)中進(jìn)行選擇,ACA 可從服務(wù)器卸載關(guān)鍵認(rèn)證流程,并降低一些負(fù)載和管理任務(wù)(通常它們消耗大量的服務(wù)器資源)。ACA 模塊能夠與諸如 LDAP、RADIUS 以及 TACAS+ 等各種授權(quán)機(jī)制共同工作。
在客戶(hù)端對(duì)證書(shū)進(jìn)行處理時(shí),在接收證書(shū)并轉(zhuǎn)發(fā)數(shù)據(jù)包至目標(biāo)服務(wù)器之前,BIG-IP 系統(tǒng)可通過(guò)證書(shū)撤銷(xiāo)列表 (CRL) 或在線證書(shū)狀態(tài)協(xié)議 (OCSP),了解該證書(shū)的撤銷(xiāo)狀態(tài)。在網(wǎng)絡(luò)層強(qiáng)化進(jìn)行認(rèn)證能夠降低應(yīng)用和服務(wù)器的負(fù)載,使企業(yè)無(wú)須花費(fèi)大量的人力物力對(duì)成百上千個(gè)應(yīng)用認(rèn)證系統(tǒng)單獨(dú)進(jìn)行維護(hù)。
應(yīng)用和內(nèi)容過(guò)濾
借助 BIG-IP 系統(tǒng)功能強(qiáng)大的通用檢查引擎、以及其基于策略的 iRule 定制引擎,企業(yè)就能有效部署其安全策略。BIG-IP 解決方案具備應(yīng)用和內(nèi)容過(guò)濾功能,通過(guò)對(duì)流經(jīng)服務(wù)器的流量進(jìn)行定義,企業(yè)能部署一套積極的安全模型系統(tǒng)。由于具備獨(dú)特的對(duì)應(yīng)用中的有效負(fù)載進(jìn)行數(shù)據(jù)包檢查或會(huì)話(huà)流檢查的能力,BIG-IP 系統(tǒng)可阻止對(duì)記錄/目錄、限制性命令的非法訪問(wèn),并能阻止訪問(wèn)應(yīng)用服務(wù)器上的敏感文檔,同時(shí),還能保護(hù)企業(yè)的關(guān)鍵資產(chǎn)。BIG-IP 系統(tǒng)還能過(guò)濾受到限制或黑名單中的網(wǎng)站中的內(nèi)容,這有助于企業(yè)執(zhí)行其安全策略。
Cookie 加密和認(rèn)證
借助這一功能強(qiáng)大的特性,企業(yè)能夠?qū)?yīng)用流量中使用的 cookie 進(jìn)行加密和認(rèn)證,這就能阻止黑客利用 cookie 來(lái)發(fā)起應(yīng)用攻擊。由于支持 cookie 加密和認(rèn)證特性,因此,黑客將無(wú)法讀取 cookie ,從而無(wú)法訪問(wèn)諸如 JSessionID 和用戶(hù) ID 等信息;無(wú)法利用這些信息,黑客也將不能對(duì) cookie 進(jìn)行修改并創(chuàng)建非法會(huì)話(huà)。通過(guò)阻止會(huì)話(huà)劫持、Cookie 篡改等攻擊(通過(guò)改寫(xiě) cookie 內(nèi)容并利用關(guān)鍵應(yīng)用漏洞來(lái)實(shí)現(xiàn)),BIG-IP 系統(tǒng)能夠?yàn)槠髽I(yè)運(yùn)行的狀態(tài)應(yīng)用提供先進(jìn)的保護(hù)功能。
SSL 加速與加密
繁重的 SSL 流量會(huì)帶來(lái)處理瓶頸,累垮最為強(qiáng)大的設(shè)備,嚴(yán)重影響服務(wù)或應(yīng)用的總體安全性能。同時(shí),不能為 SSL 協(xié)議使用的專(zhuān)用密鑰提供保護(hù)會(huì)使用戶(hù)和服務(wù)存在安全風(fēng)險(xiǎn)。
BIG-IP 系統(tǒng)的集成 SSL 加速能力能夠強(qiáng)化 SSL 計(jì)算資源、使關(guān)鍵任務(wù)的管理更加集中。BIG-IP 設(shè)備可提供市場(chǎng)上最快、最安全的加密算法。通過(guò)為企業(yè)配備 AES (高級(jí)加密標(biāo)準(zhǔn),一種對(duì)稱(chēng)加密技術(shù),可選擇 128、192 或 256 位塊加密),BIG-IP 系統(tǒng)可提供更高級(jí)的保護(hù),它是企業(yè)真正的安全技術(shù)標(biāo)準(zhǔn)。結(jié)合使用 AES 和 SSL 處理,無(wú)須任何額外成本,BIG-IP 系統(tǒng)就能提供市場(chǎng)上最安全的 SSL 加密算法。
提高網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全性
通過(guò)提供功能強(qiáng)大的網(wǎng)絡(luò)層安全特性,BIG-IP 系統(tǒng)能夠保護(hù)企業(yè)資源免受大量攻擊,這將進(jìn)一步提升企業(yè)的安全性。借助 BIG-IP 設(shè)備、其獨(dú)特的通用檢查引擎,以及可編程 iRule 語(yǔ)言,用戶(hù)能夠?qū)W(wǎng)絡(luò)有效負(fù)載的狀況了然于胸,企業(yè)因此能夠智能地管理并部署其安全策略。上述組合能夠阻止一些通用網(wǎng)絡(luò)攻擊、Dos(拒絕服務(wù))攻擊、DDos(分布式拒絕服務(wù))攻擊,以及協(xié)議篡改攻擊,如果再結(jié)合使用 BIG-IP 系統(tǒng)的數(shù)據(jù)包過(guò)濾能力,企業(yè)的安全性將獲得前所未有的提升,從而生產(chǎn)效率和收入將提高、擁有成本將下降。BIG-IP 系統(tǒng)能夠提高網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的安全性,它具備如下特性:
缺省拒絕 (Deny-by-default)
BIG-IP 系統(tǒng)是一種缺省設(shè)置為拒絕的設(shè)備。缺省條件下,管理員未明確允許可通過(guò) BIG-IP 系統(tǒng)的流量類(lèi)型,均會(huì)拒絕通過(guò)。這樣,只有您指定的流量才能通過(guò) BIG-IP 系統(tǒng),從而可提供極高的安全保證。
自動(dòng)防護(hù)
BIG-IP 軟件內(nèi)置眾多流程,能夠保護(hù)您的網(wǎng)絡(luò)免受通用攻擊類(lèi)型的攻擊。它將忽略以子網(wǎng)為目的的廣播地址,并且不會(huì)對(duì) 廣播 ICMP echo 進(jìn)行應(yīng)答(這些廣播用于發(fā)起 Smurf 和 Fraggle 攻擊)。由于 BIG-IP 設(shè)備連接表與現(xiàn)有連接完全一致,因此,諸如局域網(wǎng)攻擊等欺騙連接將無(wú)法傳遞至服務(wù)器。BIG-IP 系統(tǒng)可不斷進(jìn)行檢查,實(shí)現(xiàn)適當(dāng)?shù)膸ㄎ唬瑥亩煞乐怪T如 Teardrop、Boink、Bonk、Nestea 等通用碎片攻擊。諸如 WinNuke、Sub7 以及 Back Orifice 遠(yuǎn)程控制工具等威脅,都將無(wú)法通過(guò)缺省的封鎖端口。由于 BiG-IP 能夠重組重疊的 TCP 報(bào)文段和 IP 碎片,因此,企業(yè)能夠避免近來(lái)日益猖獗的一些新型未知攻擊。
SYN CHECK
人們熟知的一種拒絕服務(wù)攻擊類(lèi)型為 SYN flood,發(fā)起該攻擊旨在耗盡系統(tǒng)資源、使其無(wú)法建立合法連接。通過(guò)發(fā)送 cookie 代表服務(wù)器對(duì)客戶(hù)發(fā)出請(qǐng)求,以及不再紀(jì)錄尚未完成初始 TCP 握手連接的狀態(tài)信息,BIG-IP 系統(tǒng)的 SYN CHECK 模塊能夠降低 SYN flood 帶來(lái)的危害。這一獨(dú)特特性確保了服務(wù)器只處理合法的連接,BIG-IP SYN 隊(duì)列資源將不會(huì)被耗盡,因此,正常的 TCP 通訊就能繼續(xù)進(jìn)行。SYN CHECK 模塊是 BIG-IP 系統(tǒng) Dynamic Reaping 模塊的完美補(bǔ)充;同時(shí),Dynamic Reaping 能夠處理已建立連接的 flooding,SYN CHECK 能夠查找處于早期階段的 flooding 連接,從而可防止 SYN 隊(duì)列被耗盡。由于 SYN CHECK 能夠與高性能 syn-cache 協(xié)同使用,因此企業(yè)能夠在不損耗 TCP 報(bào)文的情況下,使用 syncookies。
拒絕服務(wù)攻擊 (DoS) 和 Dynamic Reaping
BIG-IP 軟件含兩項(xiàng)全局設(shè)置,具有自適應(yīng)進(jìn)行 reap 連接的能力。為了防止拒絕服務(wù) (DOS) 攻擊,企業(yè)可分別標(biāo)出一個(gè)低水印閾值和高水印閾值進(jìn)行 reaping 連接。低水印閾值能夠測(cè)定在哪一點(diǎn)之上,reaping 連接(與已定義的時(shí)隙接近)中的自適應(yīng) reaping 會(huì)變得更加活躍。高水印閾值能夠測(cè)定何時(shí)不再允許通過(guò) BIG-IP 系統(tǒng)建立非連接 (non-established connection)。變量的值代表內(nèi)存利用率百分比。一旦內(nèi)存利用率達(dá)到此值,連接將不被允許,直到可用內(nèi)存已降低至低水印閾值范圍。
虛擬服務(wù)器上的連接限制
借助 BIG-IP 系統(tǒng),管理員能夠限制并發(fā)連接至一臺(tái)虛擬服務(wù)器的最大數(shù)量。這就設(shè)置了另一道針對(duì)拒絕服務(wù)攻擊等類(lèi)型攻擊的防護(hù)屏障。
協(xié)議無(wú)害處理
借助本特性,企業(yè)能夠保護(hù)自身免受黑客采用 IP 協(xié)議篡改發(fā)起的攻擊,這種攻擊能夠耗盡服務(wù)器的資源并使站點(diǎn)停機(jī)。通過(guò)在第一道屏障內(nèi)保護(hù)系統(tǒng)資源并終止所有客戶(hù)端與服務(wù)器間的 TCP 連接,BIG-IP 系統(tǒng)能夠阻止諸如無(wú)序包泛濫、MSS tiny packet floods、TCP 窗口篡改等攻擊。BIG-IP 設(shè)備能夠?qū)蛻?hù)端-服務(wù)器間的通訊進(jìn)行清除處理,查找具有攻擊特征的流量和異常情況,并清除服務(wù)器和應(yīng)用所用流量。
數(shù)據(jù)包過(guò)濾
BIG-IP 系統(tǒng)的增強(qiáng)數(shù)據(jù)包過(guò)濾引擎提供深層數(shù)據(jù)包檢查功能,管理員可根據(jù)高級(jí)數(shù)據(jù)包過(guò)濾規(guī)則接收、丟棄或拒收(使用諸如“administratively prohibited”等代碼發(fā)回)流量。數(shù)據(jù)包過(guò)濾規(guī)則具有對(duì)第四層進(jìn)行過(guò)濾的能力,允許可信流量通過(guò),并能根據(jù)安全策略處理其它特定流量類(lèi)型。企業(yè)現(xiàn)在能夠在 IPV4 或 IPV6 條件下使用數(shù)據(jù)包過(guò)濾功能來(lái)提供基本的防火墻保護(hù)能力,并能添加另一道安全屏障。這種過(guò)濾基于數(shù)據(jù)包的源或目標(biāo) IP 地址,源或目標(biāo)端口號(hào)(支持該端口的協(xié)議),以及諸如 UDP、TCP 或 ICMP 等數(shù)據(jù)包類(lèi)型。數(shù)據(jù)包過(guò)濾能夠保護(hù)系統(tǒng)免遭 IP 欺騙和 bogus TCP flag(偽裝 TCP 標(biāo)記)的攻擊。
審計(jì)和日志記錄
由于出現(xiàn)異常或參數(shù)無(wú)效(如 Land 攻擊,Smurf 攻擊、校驗(yàn)和出差、IP 協(xié)議號(hào)或版本未經(jīng)處理,等等),一些數(shù)據(jù)包可能會(huì)被丟棄,BIG-IP 系統(tǒng)功能強(qiáng)大的日志記錄功能能夠?qū)⑴c此有關(guān)的事件記錄下來(lái)。通過(guò)對(duì)嘗試發(fā)起攻擊的源 IP 地址,所用端口、以及嘗試攻擊的頻率進(jìn)行監(jiān)控,BIG-IP 設(shè)備的安全報(bào)告功能能夠標(biāo)識(shí)出任何收到的對(duì)服務(wù)和端口的訪問(wèn)企圖。在找出安全網(wǎng)絡(luò)中的漏洞方面,這一信息能夠起到非常重要的作用,能夠幫助確定攻擊的來(lái)源。除了添加了一些新的用于通用內(nèi)容交換的規(guī)則和變量以外,規(guī)則的語(yǔ)法也得到了進(jìn)一步的擴(kuò)充,其中包括兩個(gè)新的規(guī)則聲明:log 和 accumulate。借助上述功能,企業(yè)就能利用 iRule 來(lái)調(diào)用日志記錄或系統(tǒng)日志信息,并向管理員實(shí)時(shí)發(fā)出威脅告警。
帶寬調(diào)整
借助這一全新功能,企業(yè)能夠有效而靈活地保護(hù)系統(tǒng)免受帶寬濫用攻擊。結(jié)合使用帶寬類(lèi)型與帶寬過(guò)濾模塊,企業(yè)現(xiàn)在就能實(shí)現(xiàn)對(duì)自身的保護(hù),避免處于流量峰值狀態(tài),并免受定期濫用用戶(hù)型攻擊或可拖垮網(wǎng)絡(luò)資源的網(wǎng)絡(luò)攻擊。企業(yè)能夠設(shè)定流量和應(yīng)用的限定條件,控制這些資源以哪一個(gè)速率達(dá)到峰值狀態(tài),這樣就能識(shí)別并阻止試圖累垮網(wǎng)絡(luò)資源的通用安全攻擊。
避免信息泄露
采用 BIG-IP 系統(tǒng),那些可利用安全漏洞獲取的企業(yè)寶貴信息將得到保護(hù)。黑客以?huà)呙杌蚍治?Web 站點(diǎn)以獲得 IT 基礎(chǔ)設(shè)施線索而臭名昭著。此類(lèi)用戶(hù)通過(guò)分析流量特征、檢查錯(cuò)誤代碼來(lái)查找漏洞,通過(guò)充分利用這些漏洞,他們就能發(fā)起攻擊。違反安全規(guī)則的內(nèi)部用戶(hù)訪問(wèn)的行為也日益成為一個(gè)常見(jiàn)問(wèn)題,因?yàn)樵摼W(wǎng)絡(luò)內(nèi)部的惡意用戶(hù)嘗試非法獲取某些敏感數(shù)據(jù)。BIG-IP 系統(tǒng)為企業(yè)提供了一款不可或缺的工具,借助這一工具,就能阻止對(duì)敏感和關(guān)鍵信息的訪問(wèn),還能在需要時(shí)有所選擇地實(shí)施加密。BIG-IP 設(shè)備能夠使信息免于泄露,它具有如下特性:
資源隱藏
借助 BIG-IP 系統(tǒng),企業(yè)能夠保護(hù)其自身系統(tǒng)免受黑客進(jìn)行站點(diǎn)掃描或其它類(lèi)似應(yīng)用,或進(jìn)行有關(guān)查找漏洞線索的行為。通過(guò)對(duì)資源進(jìn)行隱藏,BIG-IP 設(shè)備能夠刪除敏感信息(這些信息通常與服務(wù)器有關(guān),包括如下內(nèi)容:網(wǎng)頁(yè)中的錯(cuò)誤代碼、源代碼注釋?zhuān)嚓P(guān)服務(wù)器和應(yīng)用重要信息的服務(wù)器標(biāo)頭等)。結(jié)合使用功能強(qiáng)大的通用檢查引擎以及靈活的 iRules ,BIG-IP 系統(tǒng)就能阻止/過(guò)濾任何與站點(diǎn)有關(guān)的敏感信息,并能保護(hù)企業(yè)免受惡意用戶(hù)的攻擊。
安全網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 和端口映射
BIG-IP 系統(tǒng)能夠?qū)υO(shè)備所用的地址和端口進(jìn)行轉(zhuǎn)換,并解析為可廣而告之給外部用戶(hù)的地址和端口。通過(guò)轉(zhuǎn)換這些地址,管理員就永遠(yuǎn)不會(huì)擔(dān)心其 BIG-IP 設(shè)備資源的泄露,這就降低了黑客獲得訪問(wèn)服務(wù)器權(quán)限的機(jī)會(huì)。BIG-IP 系統(tǒng)包含一個(gè)稱(chēng)為智能安全網(wǎng)絡(luò)地址轉(zhuǎn)換(智能 SNAT)的特性,該特性與 NAT 類(lèi)似,能夠使服務(wù)器同時(shí)具有一個(gè)不公開(kāi)的 IP 址和一個(gè)公開(kāi)的 IP 地址,這就能安全地與外部互聯(lián)網(wǎng)進(jìn)行連接。然而,智能 SNAT 與 NAT 不同,它允許管理員分配或映射一個(gè)單獨(dú)的 IP 地址至一組節(jié)點(diǎn),或整個(gè)子網(wǎng),或 VLAN。智能 SNAT 還能根據(jù) IP 數(shù)據(jù)包數(shù)據(jù)中的任何一個(gè)部分,映射至一個(gè) IP 地址。通過(guò) BIG-IP 的通用檢查引擎,企業(yè)現(xiàn)在就能根據(jù) IP 數(shù)據(jù)包數(shù)據(jù)中的任何一個(gè)部分,智能映射 IP 地址。缺省條件下,SNAT 地址只能用來(lái)啟動(dòng)出站連接。在缺省條件下,定向至 SNAT 地址的入站初始連接,將被 BIG-IP 系統(tǒng)阻止,這就提供了另一道安全屏障。
可選內(nèi)容加密
借助 BIG-IP 解決方案,企業(yè)能夠靈活地根據(jù)其應(yīng)用安全策略和標(biāo)準(zhǔn)需求,對(duì)所選的數(shù)據(jù)進(jìn)行加密,企業(yè)現(xiàn)在能夠?qū)ζ涿舾袘?yīng)用數(shù)據(jù)進(jìn)行保護(hù),能夠構(gòu)建一套通用的安全策略,能夠在一處中心位置在不同需求間謀求一套折衷策略。企業(yè)現(xiàn)在能夠在清晰可見(jiàn)的通道下傳遞非關(guān)鍵流量,并有所選擇地對(duì)敏感流量(如賬號(hào)和密碼)加密,這就使其能夠符合諸如薩班斯 奧克斯利法案、HIPAA 以及 FIPS 等安全監(jiān)管標(biāo)準(zhǔn)。
擴(kuò)充現(xiàn)有安全解決方案
防火墻、入侵檢測(cè)系統(tǒng) (IDS) 以及 VPN 設(shè)備是企業(yè)內(nèi)部以及外部保護(hù)系統(tǒng)免受安全威脅的第一道防線。這些設(shè)備在網(wǎng)絡(luò)安全中的重要作用決定了其必須符合如下特性:在所有時(shí)間均可用、功能合理、并能快速做出響應(yīng)。通過(guò)將 BIG-IP 設(shè)備添加至安全基礎(chǔ)設(shè)施,企業(yè)就能擴(kuò)展其現(xiàn)有解決方案,極大地提升其可擴(kuò)展性及可用性。上述目標(biāo)可通過(guò)采用一些 BIG-IP 系統(tǒng)的高級(jí)特性來(lái)實(shí)現(xiàn),這些高級(jí)特性能夠滿(mǎn)足企業(yè)安全基礎(chǔ)設(shè)施方面的需求,可實(shí)現(xiàn)可靠和無(wú)縫的集成。這些特性包括:
高級(jí)負(fù)載平衡算法——BIG-IP 軟件提供范圍廣泛的各種負(fù)載平衡算法供管理員選擇,其中一些算法對(duì)諸如防火墻、VPN 或 IDS 系統(tǒng)等設(shè)備尤其具有重要價(jià)值。BIG-IP 系統(tǒng)有幾種高級(jí)算法,如 Predictive、Observed、Dynamic Ratio,用戶(hù)在選用時(shí)需考慮一項(xiàng)或多項(xiàng)動(dòng)態(tài)因素(如:當(dāng)前連接數(shù))。為了在處理速度、內(nèi)存及連接類(lèi)型有顯著差異的設(shè)備間實(shí)現(xiàn)負(fù)載平衡,這些算法提供了一種更加出色、一致的利用資源的辦法,能夠?qū)崿F(xiàn)最大的投資回報(bào)、提升安全設(shè)備的性能,并提高用戶(hù)防護(hù)其網(wǎng)絡(luò)的能力。
高級(jí)透明狀態(tài)檢查能力
憑借 BIG-IP 系統(tǒng)透明狀態(tài)檢查能力,通過(guò)透明節(jié)點(diǎn)就能對(duì)擁有別名的目標(biāo)地址進(jìn)行檢查。在透明模式下,監(jiān)控人員可透過(guò)節(jié)點(diǎn)檢查關(guān)聯(lián)(通常為防火墻)至目標(biāo)節(jié)點(diǎn)的地址為哪一個(gè)地址。換言之,如果在負(fù)載平衡池中有兩個(gè)防火墻,最初的服務(wù)器或內(nèi)部 BIG-IP 對(duì)兒將用作通過(guò)專(zhuān)用防火墻的目標(biāo)節(jié)點(diǎn)。如果目標(biāo)節(jié)點(diǎn)未響應(yīng),防火墻(而非最初的服務(wù)器)將標(biāo)為停機(jī),業(yè)務(wù)將轉(zhuǎn)發(fā)至運(yùn)行狀態(tài)良好的資源節(jié)點(diǎn)。
高級(jí)應(yīng)用狀態(tài)檢查能力
BIG-IP 系統(tǒng)的擴(kuò)展應(yīng)用驗(yàn)證 (EAV) 特性,可用于提高透明狀態(tài)檢查的精度。EAV 用于進(jìn)行狀態(tài)檢查,通過(guò)遠(yuǎn)程運(yùn)行應(yīng)用,可驗(yàn)證節(jié)點(diǎn)中的某項(xiàng)應(yīng)用。如果應(yīng)用并非像預(yù)期那樣在預(yù)定時(shí)間做出響應(yīng),那么,BIG-IP 系統(tǒng)會(huì)將該請(qǐng)求轉(zhuǎn)發(fā)給運(yùn)行狀況良好的設(shè)備。
高級(jí)持續(xù)能力
當(dāng)負(fù)載平衡客戶(hù)端連接通過(guò)安全設(shè)備隊(duì)列時(shí),至關(guān)重要的一點(diǎn)是,具有相同會(huì)話(huà)標(biāo)識(shí)的所有數(shù)據(jù)包將被發(fā)送到同樣的設(shè)備上。借助 BIG-IP 解決方案,管理員將擁有眾多維持持續(xù)性的手段,可確保所有連接針對(duì)相同節(jié)點(diǎn)具有相同的會(huì)話(huà)標(biāo)識(shí),但這一能力并非平衡負(fù)載。BIG-IP 通用的持續(xù)性為用戶(hù)帶來(lái)了靈活性,用戶(hù)可持續(xù)保持其應(yīng)用有效負(fù)載的任意部分。
任意 IP
借助任意 IP 業(yè)務(wù)特性,BIG-IP 系統(tǒng)能夠負(fù)載平衡協(xié)議,而不僅僅是 TCP 和 UDP。例如,在定義與 VPN 設(shè)備池相關(guān)的虛擬服務(wù)器以支持 IPSEC 業(yè)務(wù)負(fù)載平衡時(shí),管理員可使用該特性。
動(dòng)態(tài)連接重新綁定
對(duì)于與集群中的其它設(shè)備共享會(huì)話(huà)表的安全設(shè)備而言,BIG-IP 設(shè)備可動(dòng)態(tài)連接重新綁定該設(shè)備。如果集群中的某個(gè)成員連接失敗,則動(dòng)態(tài)連接重新綁定便會(huì)將所有連接從失效節(jié)點(diǎn)立即轉(zhuǎn)移至同一個(gè)池中運(yùn)行狀態(tài)好的節(jié)點(diǎn)。因?yàn)槠渌?jié)點(diǎn)共享會(huì)話(huà)表,因此,新選定的節(jié)點(diǎn)能夠?qū)崿F(xiàn)對(duì)現(xiàn)有連接的認(rèn)證與許可,同時(shí)不會(huì)被用戶(hù)中斷或受到干擾。
上級(jí)節(jié)點(diǎn)域 (Last hop pool)
通過(guò)在負(fù)載平衡安全設(shè)備時(shí)采用上級(jí)節(jié)點(diǎn)域,可確保響應(yīng)連接的路徑(從資源節(jié)點(diǎn)到客戶(hù)端)與源請(qǐng)求路徑(從客戶(hù)端到資源節(jié)點(diǎn))相同。借助 BIG-IP 的這一特性,管理員可手工標(biāo)注上級(jí)節(jié)點(diǎn)域成員,或允許系統(tǒng)利用自動(dòng)上級(jí)節(jié)點(diǎn)域特性自動(dòng)確定上級(jí)節(jié)點(diǎn)。
VLAN 鏡像
BIG-IP 系統(tǒng)改進(jìn)的 VLAN 鏡像特性能夠?qū)?VLAN 收到的數(shù)據(jù)包復(fù)制,并將該副本發(fā)送至另一個(gè) VLAN 或 VLAN 集中。無(wú)論數(shù)據(jù)包中的目標(biāo) MAC 地址為何處,VLAN 鏡像配置條件下源 VLAN 收到的所有業(yè)務(wù),均會(huì)按這種方式處理。從 BIG-IP 系統(tǒng)發(fā)送至指定 VLAN 的數(shù)據(jù)包,不會(huì)被鏡像。在這種情況下,對(duì)于這些 VLAN 而言,BIG-IP 形如一臺(tái)網(wǎng)絡(luò)集線器。該特性適用于用來(lái)負(fù)載平衡入侵檢測(cè)系統(tǒng)的帶外配置。BIG-IP 系統(tǒng)經(jīng)過(guò)改進(jìn)的 VLAN 鏡像功能,可提供更出色的性能,使企業(yè)用戶(hù)為其 IDS 設(shè)備增添加擴(kuò)展性及冗余特性。
克隆池
BIG-IP 系統(tǒng)改進(jìn)的克隆池特性可復(fù)制由池進(jìn)行處理的所有業(yè)務(wù),復(fù)制目標(biāo)為裝有 IDS 或探測(cè)設(shè)備的克隆池。對(duì)于標(biāo)準(zhǔn)負(fù)載平衡池而言,用戶(hù)可對(duì)克隆池進(jìn)行配置。當(dāng)標(biāo)準(zhǔn)負(fù)載平衡池收到連接時(shí),它會(huì)通過(guò)選定普通池來(lái)選擇一個(gè)普通連接,然后從克隆池中也選擇一個(gè)克隆節(jié)點(diǎn)。克隆節(jié)點(diǎn)會(huì)收到一份通過(guò)該普通池的所有業(yè)務(wù)的副本。BIG-IP 系統(tǒng)中改進(jìn)的克隆池特性,可為采用 IDS 設(shè)備的企業(yè)提供更出色的性能和可擴(kuò)展性。
客戶(hù)端 SSL 代理
客戶(hù)端 SSL 代理特性可終止 SSL 連接、對(duì)請(qǐng)求加密、以明文發(fā)送請(qǐng)求至最終目標(biāo)。在終止 SSL 連接的過(guò)程中,代理可執(zhí)行所有的認(rèn)證驗(yàn)證功能,這些功能常由目標(biāo) Web 服務(wù)器來(lái)完成,此外,還包括加密與解密功能。當(dāng)該特性與克隆池或 VLAN 鏡像功能組合使用時(shí),企業(yè)就能提高其 IDS 設(shè)備的工作效率,但這會(huì)造成無(wú)法處理加密數(shù)據(jù)。
集成控制
借助 F5 的 iControl API(應(yīng)用編程接口),BIG-IP 系統(tǒng)正在整合所有防護(hù)相關(guān)應(yīng)用。借助 iControl,通過(guò)創(chuàng)建、編輯或刪除 iRule(通用檢查引擎要求使用 iRule),其它設(shè)備技術(shù)可納入到 BIG-IP 系統(tǒng)之中。借助 iControl,這些變化能夠立即反映出來(lái),從而更快地采用保護(hù)措施。這一功能可用于保護(hù) Web 服務(wù)、移動(dòng)應(yīng)用,以及幾乎任何基于 IP 的應(yīng)用。
