[产品及应用下载][f5][白皮书]v9white_pape

《[产品及应用下载][f5][白皮书]v9white_pape》由会员分享，可在线阅读，更多相关《[产品及应用下载][f5][白皮书]v9white_pape（9页珍藏版）》请在金锄头文库上搜索。

1、白皮书白皮书保护企业网络周边安全保护企业网络周边安全部署部署 F5 的的 BIG-IP 系统，确保为企业提系统，确保为企业提 供广泛的应用及网络安全供广泛的应用及网络安全 综述综述如今，随着互联网的复杂性日益增加，企业的漏洞也面临越来越多 的恶意攻击。企业组织也不得不寻找各种方法保护他们的基础架构 与应用层免受攻击。每年，由于网络安全漏洞使公司遭受上百万的 美元的收入、生产力及声誉损失。过去，企业一直习惯于利用防火墙来提高企业网络安全。但是，这 已经不能再满足当今网络的需要了。虽然防火墙可以阻止对企业网 络的攻击，但却不能阻止对企业应用层的攻击。因此，企业开始寻 找更可靠、且可扩展的解决方案来

2、保护他们的网络安全，并提高保 护级别。作为应用流量管理解决方案，F5 公司的 BIG-IP系统可为 企业提供最佳的解决方案，使企业网络具备网络及应用层的双重安 全。本白皮书旨在说明 BIG-IP 系统是如何为企业提供全面及完整的 网络及应用安全解决方案，防止潜在的应用及网络层威胁与攻击， 增强企业网络的全面安全。 应用挑战应用挑战现在，应用系统已经成为企业商业活动的核心。鉴于其对企业收入 的直接影响性，除防止一些低级网络攻击外，保护企业应用系统漏 洞及关键信息免受恶意攻击是至关重要的。目前，企业若想获得真 正的网络及应用安全，面临着众多的挑战，这是因为： 应用系统漏洞日益增多：应用系统漏洞日益

3、增多：现今的安全系统与防火墙已不能够检 测出、也无法抵挡各种新型应用层攻击了。这些安全设备都忽视了 应用层安全，而仅仅实现对某一地址、端口或资源的锁定或解锁。 他们无法对数据包进行深层检查，且无法保持会话状态信息以检测 并保护应用系统免受攻击。应用层攻击通常表现为注入及执行受限 命令、cookie 篡改、或非法获取敏感文件或用户信息。这些攻击将 导致企业收入及生产力的巨大损失，给企业的声誉带来极大的负面 影响。日益增多的网络漏洞日益增多的网络漏洞网络攻击日趋普遍、日渐复杂。恶意攻击 的方法也不断翻新，他们穿过网站的防御系统，盗取有价值的信息、 甚至击溃整个网站。诸如拒绝服务（DoS）、分布式拒

4、绝服务 （DDoS）、无序包泛滥（out of order packet floods）及 TCP 窗口尺 寸干预（TCP window size tampering）等复杂的攻击对企业的安全系 统构成极大的压力，他们必需保护企业应用免受海量攻击而导致的 网络瘫痪。黑客与恶意攻击者通常在开始攻击前，首先扫描网站 （即：攻击信息归档profiling），从看似无害的资源中获取系统或 应用信息，如服务器错误代码及源代码注释等。内部安全漏洞与信息漏洞内部安全漏洞与信息漏洞目前，企业面临的最大威胁之一就是 来自企业内部的安全攻击。由于内部用户是受信任域的一部分，因 此很难被检测并防止此类攻击。现在的安

5、全系统都无法为企业提供 灵活的安全策略部署，在允许其它无需加密的非关键流量通过的同 时，对企业内部的某些商业关键流量进行加密。因此，企业用户一 直在寻找一种有效又统一的安全策略，可利用现有的解决方案，使 企业网络的安全性达到诸如：Sarbanes-Oxley, HIPAA and FIPS 等国 际安全标准。 解决方案解决方案BIG-IP 系统为企业用户提供多种安全服务，在增强企业网络的安全 性中起到至关重要的作用。将 BIG-IP 系统部署在通往企业重要资源 （支持公司业务运行的应用及网络）的关键网关处，即可为企业网 络增加强大的网络级安全策略，同时过滤最复杂的应用攻击。作为 集成的 SSL

6、 加密及一系列应运而生的应用安全技术领域的领导者， BIG-IP 系统可加固企业网络安全，抵挡各种类型的攻击。强大的应用安全强大的应用安全 BIG-IP 解决方案可对整个应用系统的有效载荷进行深层数据包检查， 从而大大增强了企业应用层的安全性。利用其灵活性与无可比拟的 能力，为网络管理员提供管理与控制应用流量的强大工具。全面认 证、授权、审计及有效载荷的解析功能，使企业在允许某个会话前， 在其网络边缘处执行安全策略。性能如下： 通用检查引擎与通用检查引擎与iRules 企业用户可利用 BIG-IP 系统来设置与执行普通的应用层安全策略。 利用 BIG-IP 的新型及增强的通用检查引擎（UIE）

7、与 TCL 规则 （iRules）能力，企业用户可过滤及阻止应用层攻击与威胁。新型通 用检查引擎使 BIG-IP 系统在连续应用流的基础上对全部应用有效载 荷进行检查，为决策（如：交换、持续或拒绝）提供更多的灵活性。 企业用户可以使用标准编程接口，如 TCL 语言，来建立 iRules，创 建与企业安全方针一致的安全策略，从中体验它的灵活性和强大的 功能。设定安全策略后，就可以把它分配给某一个简档(一个图形用 户界面（GUI）的新功能，可以简化部署并且能够重复利用)。二者 共同使用即可为企业的应用流量提供无可比拟的控制与保护。认证与授权认证与授权 BIG-IP 系统可利用网络边缘的认证功能，将

8、网络周边的安全提高一 个级别，从而增强了企业应用的安全性。高级客户机认证高级客户机认证(ACA)模块 为各种类型的 IP 流量提供一个认证代理，起到网站岗哨的作用。 与（可提供认证机制库的）可插入认证模块可插入认证模块(PAM)引擎联合使用， ACA 模块可卸载服务器的关键认证处理，以降低消耗服务器资源的 认证管理。ACA 模块兼容各种授权机制，如 LDAP, RADIUS 及 TACACS+。在递交客户证书时，BIG-IP 系统可在接收证书并将数据转向一个目 标服务器前，利用证书撤消清单(CRL)或在线证书验证状态协议 (OCSP)，对该证书的撤消状态进行评估。BIG-IP 设备还可担当凭证

9、 管理中心(CA)的角色。通过其密钥管理系统（KMS），BIG-IP 可为 企业用户提供一个集中且简单的方法来生成管理与执行客户机/服务 器的密钥与证书。在网络层巩固与执行认证可降低应用与服务器的 负荷，并可使企业无需再逐个为成百上千的应用部署认证系统，且 省时省力。应用与内容过滤应用与内容过滤 BIG-IP 系统，利用其强大的通用检查引擎及可自定义的基于策略的 iRules 引擎，为企业用户提供一种功能强大的执行安全策略的方法。 BIG-IP 解决方案中提供的应用与内容过滤应用与内容过滤功能使企业用户可通过定 义穿梭于其服务器的流量，执行积极的安全模块。利用此独特的功 能，对应用有效载荷内部

10、的数据包及会话流进行深层检查，因此， BIG-IP 系统可在保护企业重要资产的同时，不仅可阻止对记录/目录、 受限命令的非法访问，还可阻止对应用服务器中敏感文件的非法访 问。同时，BIG-IP 系统还可根据受限或黑名单中的网站列表对内容 进行过滤，并协助企业用户执行安全策略。Cookie 加密与认证加密与认证 此强大的功能使企业用户可以对应用流量中的 cookies 进行加密及认 证，如此可阻止黑客获取 cookies 来发动应用攻击。激活 cookies 加 密与认证，黑客就无法通过读取 cookies 而获取 JSessionIDs 及用户 身份信息，并随后更改 cookies 以建立非法

11、会话。BIG-IP 系统为企业 的有状态应用系统提供出色的保护，使其免受会话劫持、及 cookies 篡改等利用 cookies 内容重写对关键应用漏洞发起的攻击。SSL 加速与加密加速与加密 繁重的 SSL 流量会导致处理瓶颈，即使是功能最强大的设备也会因 此而瘫痪，从而导致服务或应用的整个安全性能遭受巨大的影响。 另外，若无法保护应用在 SSL 协议中的私人密钥，就会导致将用户 与服务安全置于危险境地。BIG-IP 系统中使用的集成的 SSL 加速模块，不仅可增强 SSL 计算资 源，还可集中密钥管理。BIG-IP 设备拥有市场上最快最安全的加密 运算法则。BIG-IP 系统向企业用户提供

12、高级加密标准（AES）及一 种 128、192 或 256 位（可选的）区块加密的对称加密法，以此来进 一步提高企业网络安全保护级别，并使其获得符合企业需要的真正 的安全性。通过 AES 及 SSL 处理，BIG-IP 系统在无需额外增加成本 的基础上，为用户提供目前市场上最安全的 SSL 加密运算法则。日益增强的网络及基础架构安全日益增强的网络及基础架构安全 BIG-IP 系统为企业用户提供强大的网络层安全，进一步提高其安全 性，保护其免受最严重的网络攻击。BIG-IP 设备拥有独特的 UIE 及 可编程的 iRules 语言，为企业用户提供针对网络有效载荷的完整可视性，以便使用户更为简便的

13、管理及执行其安全策略。除对普通网 络攻击、DoS、DDoS 攻击、及协议篡改攻击的防御外，再加上 BIG- IP 系统的数据包过滤功能，为企业用户提供无与伦比的安全性，从 而在促进企业生产力与收入提高的同时，又降低了拥有成本。BIG- IP 系统依靠下列特性提高了网络及基础架构的安全性：缺省的拒绝访问缺省的拒绝访问 BIG-IP 系统是一种缺省的拒绝访问设备，如非管理员指定类型的流 量，BIG-IP 系统将拒绝其通过。如此可极大的增加网络的安全性， 而只有符合管理员指定类型的流量可通过 BIG-IP 系统。自动防御自动防御 BIG-IP 的软件拥有无数的内置程序，可保护企业网络免受普通攻击。

14、它可忽视直接子网广播，且不响应常用于 Smurf 及 Fraggle 攻击的广 播 ICMP 请求。BIG-IP 设备的连接表与现有连接保持一致，如此， 诸如 LAN 攻击等中的虚假连接就无法传递给服务器。BIG-IP 系统可 查验帧定位的正确性，以防止普通片段储存攻击（Teardrop, Boink, Bonk 及 Nestea）。此外，通过端口的缺省封锁即可阻止其它攻击 （WinNuke, Sub7, 与 Back Orifice usage）。由于 BIG-IP 可重新组合 TCP 重叠片段及 IP 碎片，企业网络可阻止日趋普遍的新型未知攻击。SYN CHECK SYN flood 是拒

15、绝服务攻击中的一种，此类型的攻击旨在耗尽系统资 源，使其无法建立合法连接。BIG-IP 系统的 SYN CHECK 的特性就 是代表服务器发送 cookies 至请求客户机、不记录连接的状态信息使 其无法完成初期的 TCP 交握，以此来减缓 SYN floods 攻击的影响。 此独特的性能确保服务器仅处理合法连接，且不消耗 BIG-IP 的 SYN 队列，如此，即可继续正常的 TCP 通讯了。SYN CHECK 的特性是 BIG-IP 系统 Dynamic Reaping 特性的补充，在 Dynamic Reaping 处理 已经建立的连接的泛滥时，SYN CHECK 处理新建连接的泛滥，以

16、防止 SYN 队列被耗尽。SYN CHECK 与高性能的 syn-cache 一起使 用，企业用户即可在不损失 TCP 选项的情况下使用 syncookies。DoS 与与 Dynamic Reaping BIG-IP 软件中有两个全局设置，提供了在特定情况下清除相应连接 的功能。为防止拒绝服务（DoS）攻击，企业用户可以指定一个低临 界值与一个高临界值。一旦到达低临界值，系统开始清除接近超时 时间的连接。到达高临界值，系统不在接受新建连接请求，只允许 已经建立的连接通过 BIG-IP 系统。这个临界值为内存的利用率，一 旦内存利用率达到此临界值，就不再接受连接请求了，直到内存利 用率降到低临界值以下。虚拟服务器上的连接限制虚拟服务器上的连接限制BIG-IP 系统允许网络管理员限制虚拟服务器上最大并发连接数。这 样另一防御层即可抵御诸如拒绝服务（DoS）等攻击。协议无害处理协议无害处理 此功能使企业用户得以保护他们的网络免受利用 IP 协议篡改发起的 攻击，以防止服务器资源耗尽及网站瘫痪。BIG-IP 系统作为安全防 御的第一线，可阻止包括