对于平安产品的部署在业界始终有几种不同的声音,有一种认知是认为平安次要就是为了合规的,在合规的前提下,其余的都不太重要。但对于用户的理论价值来说,攻防能力的体现可能显得更为重要,因为平安攻打自身是一个动静的变动过程,这要求平安防护也可能适应变动,能随着攻打伎俩的变动而调整,满足不同场景下的防护要求,这实际上就是攻防能力的最高体现。
F5 的 DDoS 防护体系是一个平面的多层次防护体系,目标是在构建合规体系的同时,给用户提供强有力的攻防伎俩,真正可能帮忙用户的业务抵挡层出不穷的各种平安威逼。平安既要合规,更要攻防!
从理论教训来看,Bot 防备是 Web 进攻的重中之重,应用层 DDoS 进攻是 WAF 的职责所在,到场服务和应急响应是胜利阻截攻打的先决条件。实际上,F5 的 DDoS 防护体系是一个平面的多层次防护体系,除了 Advanced WAF(API 平安 - 新一代 WAF),还包含了云端的 DDoS 荡涤,网络层面的 DDoS 防护,以及 Advanced WAF(API 平安 - 新一代 WAF)所善于的应用层 DDoS 防护,通过平面防护架构的建设,在面对混合式攻打时可能无效地别离有效应对。
F5 7 层 DDoS 进攻计划一览:
针对于 DDoS 的不同场景,F5 Advanced WAF(API 平安 - 新一代 WAF) 筹备了相应的组合策略的进攻计划,来应答不同的 DDoS 场景。包含:
通过这些组合策略的进攻计划,能够针对不同的 DDoS 场景来实现动静的防护策略部署,从而实现全方位的 7 层 DDoS 进攻。同时,F5 借助于 BIG-IP AFM,BIG-IP LTM,BIG-IP DNS 和 BIG-IP ASM 的不同功能模块,能够实现在 OSI 不同层面的 DDoS 危险的全面进攻,为利用的可用性保驾护航。
通过近期屡次安全事件的理论测验,F5 能够总结出以下几点:
1. 防护架构的重要性:攻防和合规是平安的两个方面,平安产品不能只看产品参数和性能点,更重要的是如何能交融到用户现有部署架构中,依据用户的现网理论状况,可能平滑地切入起到平安防护成果,而不能让用户的现网环境做大量调整来适应平安产品。
2. 防护体系层级明显:需具备分层级的平安防护体系,防备不同层面的平安问题,针对应用层 DDoS 攻打来说,应别离构建基于云端、基于网络层面和基于利用层面的平面防护体系;(具体可参考后附的通用版的 F5 分级 DDoS 防护参考架构)。
3. 通明模式的有余:通明模式在理论安全事件中可能并不是一个好抉择,处于通明模式的平安网关,在真正面对攻打的时候往往都是间接 bypass 流量,并不能无效抵挡平安攻打。
4. 平安服务的必要性:平安有一半以上的价值都应该是服务,好的服务是可能真正帮忙用户的。这也是 F5 建设 SIRT(Security Incident Response Team)队伍的初衷,SIRT 能够疾速响应各种安全事件,和以后的 F5 技术体系相互配合补充,在安全事件中为客户提供贴心欠缺的平安服务。
通用版的 F5 分级 DDoS 防护参考架构