共计 4278 个字符,预计需要花费 11 分钟才能阅读完成。
现如今传统防火墙已无奈满足企业平安需要,网络攻击大多产生在应用层和网络层故障,且呈上升趋势,传统的防火墙存在着很大的不足之处,包含无奈检测加密的 Web 流量;一般应用程序加密后,也能轻易躲过防火墙的检测;对于 Web 应用程序防备能力有余;利用防护个性只实用于简略状况;无奈扩大深度检测性能, 仅部署传统的防火墙服务曾经无奈无效地检测攻打并避免业务中断,可见防火墙故障更加令人担忧,想要确保网络环境平安,就须要针对防火墙进行根本性的改革。
F5 新型数据中心防火墙解决方案:
针对目前数据中心的平安需要,确保数据中心网络边界平安,F5 公司推出了新型数据中心防火墙解决方案。以 F5 BIG-IP LTM 本地流量管理器所提供的防火墙服务为根底的全新的数据中心架构,既可能无效地抵挡古代频繁和多样化的网络攻击,又能够节俭企业分散式购买安全设备带来的老本。
F5 新型数据中心防火墙解决方案是通过一种全面的集成式平台来应答上述每个因素。流量治理和网络防火墙服务由 BIG-IP LTM 进行治理。通过部署 BIG-IP GTM 能够执行 DNSSEC 和 DNS Express,从而爱护要害的 DNS 服务免受 DDoS 和劫持攻打;通过部署 BIG-IP ASM 能够提供面向 10 大 OWASP 攻打的 Web 利用防火墙服务;最初,通过部署 BIG-IP APM 来提供平安的 Web 拜访治理和面向利用的 SSO,以确保解决方案的残缺。因而,BIG-IP LTM 是一个可能为网络堆栈提供全方位爱护的古代威逼缓解平台。
理解防火墙的限度:
在传统意义上,抉择数据中心防火墙时需思考的因素包含认证、开销和性能。认证规范可能须要部署特定的防火墙能力符合规定,这样就限度了设施的抉择范畴。在设施上,洽购人员会掂量其余的两个因素:价格与性能。然而,通过对这些参数进行新的剖析,咱们发现了一种新的模式。
防火墙依据数据吞吐量 (如 1Gbps 或 4Gbps) 进行划分,这样能够很轻松地确保洽购与入站管路大小的统一。但将较高的数据吞吐量作为衡量标准并不精确。在分布式拒绝服务 (DDoS) 攻打中,至关重要的不只是较高的数据吞吐量,还包含设施如何解决并发连贯以及每秒连接数。例如,一个价格为 50,000 美元的典型传统防火墙须要 10Gbps 的吞吐量,这应该足以应答中小型攻打。但这种类型的防火墙只能解决 100 万至 200 万条并发连贯。家喻户晓,维基解密(WikiLeaks) 在 2010 年受到了一次大规模攻打,攻击者只应用一个僵尸网络就轻松生成了超过 200 万条并发连贯,翻过了整个美国的防火墙。并发连贯性能较高 (每秒解决 400 万至 1000 万条连贯) 的传统防火墙的价格也更高,须要 100,000 美元至 150,000 美元。
每秒连接数也是这样。传统防火墙在进行状态查看时,会影响建设每个 TCP 会话的性能。这就限度了防火墙解决入站连贯的性能。价格为 50,000 美元的典型传统防火墙每秒可解决 50 至 100,000 条新连贯。
攻击者十分分明这些防火墙限度,古代攻打就是通过利用这些限度来进行的。可怜的是,行业分析家指出,由此导致的防火墙故障并不少见。事实上,这些故障很可能是 2011 年 9 月的平安考察中仅 8% 的受调查者示意防火墙等传统的安全措施不足以确保网络安全的起因。因而,越来越多的企业在卸载数据中心防火墙,而更多的企业抉择间接折旧,而不会进行更新。
传统防火墙部署架构的另一个限度在于它无奈应答范畴如此宽泛、波及整个网络和利用生态系统的威逼。过来,用于缓解这些威逼的解决方案始终是独自部署的,这些解决方案通过特定的技术来应答利用、网络和 DDoS 攻打等逻辑分组中的攻打。这些来自多家厂商、相互之间不足关联的解决方案会进步治理的整体复杂性,当然也会大幅减少资本与经营收入。
思考古代数据中心的边界时,客户往往对于传统防火墙是否值得购买存在疑难,因为传统防火墙所做的只不过是通过 80 端口传输流量,并会减少提早以及带来费用和危险。灵便的企业,特地是新成立的企业和那些没有 PCI 需要的企业,一段时间以来始终在未部署传统防火墙的状况下经营。
依赖于 Web2.0 和其它数据中心交易的企业正在从基于集成式安全设备的新型数据中心架构中取得越来越多的好处。
F5 Networks 解决防火墙问题的办法是将平安服务融入到位于数据中心边界的一套利用交付控制器 (ADC) 中。F5 BIG-IP 本地流量管理器 (LTM) 在 11.1 版本中提供了 ICSA 网络防火墙认证。这一要害认证的重要意义在于,BIG-IP LTM、BIG-IP GTM 广域网流量管理器和 BIG-IP ASM 利用平安管理器第一次失当地搁置在数据中心的边界,同时仍能维持整个企业的平安情况与合规性。
这一变动的重要性在出名的“防火墙三明治”架构的最新变动中非常不言而喻。旧的“三明治”架构须要装置传统防火墙,但因为传统防火墙的能力无限,因而必须与一套 BIG-IP LTM 设施并行部署,以便实现入站连贯的负载平衡。通过防火墙的流量将返回到雷同的 BIG-IP LTM 设施中 (或另一个设施中,即三明治的比喻),以便失当地进行利用交付管制。因为 BIG-IP LTM 自身具备 ICSA 认证,因而能够将并行防火墙(三明治中的肉) 折旧并淘汰掉,从而在维持雷同的整体能力、合规性和攻打防御能力的同时,大幅缩小设施的数量。
BIG-IP LTM 的本地防火墙服务可提供连贯能力远远高于传统防火墙的网络层爱护,因而使得这一架构成为可能。BIG-IP LTM 最多可解决 4800 万条连贯,在受到攻打时能够通过不同的超时行为、缓冲区大小和其它安全性相干选项对其进行治理。这一能力使得 BIG-IP LTM 能够在治理流量冲击量的同时,执行基于端口和 IP 的访问控制服务(通常由状态防火墙提供)。
1、本地利用协定的流畅性
此外,BIG-IP LTM 还能够帮忙阻止利用应用层协定与行为的各种攻打。因为可能在利用协定中晦涩运行,BIG-IP LTM 还能够监控和响应行为,而不只是标准和规范。BIG-IP LTM 能够对 Pv4、IPv6、TCP、HTTP、SIP、DNS、SMTP、FTP、Diameter 和 RADIUS 通信进行解码,反对基于协定和有效载荷进行更加简单的剖析。这能够让 BIG-IP LTM 检测到表明攻打正在进行的异样行为,并采取适当的口头。例如,BIG-IP LTM 能够检测出第 7 层每秒每个客户端的连接数,并履行在缓解第 7 层攻打方面卓有成效的各种限速计划。这种本地协定的流畅性还有助于确保协定的合规性,对于试图利用破绽 (因协定解释不谨严而导致) 的攻打,也有缓解作用。协定合规性与 F5 全代理架构的联合造就了一款举世无双的 DDoS 缓解解决方案。协定合规性的本地执行具备很重要的意义。F5 iRules 脚本语言的编程能力提供了一种在规范和新兴或定制协定上执行协定性能的灵便办法。通过应用 iRules,BIG-IP LTM 能够执行协定合规性、限速、响应注入(response injection)、流量定向以及相干口头。平安团队发现,iRules 的灵活性能够帮忙他们解决各种平安解决方案:
借助 iRules,BIG-IP LTM 能够通过含糊解决服务器和操作系统标头以及重写出站 HTTP 响应代码 (如 301、401 和 501 谬误) 来帮忙构建一个面向应用服务器的指纹隐形 (fingerprint-cloaking) 档案。
在传输层安全性方面,iRules 可能达到 SSL/TLS 协定堆栈,从而缓解各种协定攻打,如 2010 年的 SSL 从新协商破绽(只应用一部手持设施便可攻打一台平安的服务器)。
通过应用 iRules,企业能够疾速响应尚未公布补丁的各种利用破绽。用于缓解攻打的 iRules 既能够外部开发,也能够从 F5 的寰球 DevCentral 开发社区获取,甚至还能够从 F5 产品开发部公布。例如,Apache Killer3 破绽就是在 Apache Server Foundation 公布官网解决方案数周前通过 F5 平安团队所开发的 iRule 来解决的。
2、高级 DNS 爱护
因为 BIG-IP LTM 对 DNS 防护的局限性 BIG-IP GTM 增加了 iRules 反对,从而加强了 DNS 协定的本地流畅性与合规性爱护能力。BIG-IP GTM 是第一款用于反对域名系统安全扩大 (DNSSEC) 的商业广域网流量管理器,可能抵挡缓存投毒和中间人攻打。增加 BIG-IP GTM 的 DNS Express 性能能够爱护重要的 DNS 服务免受拒绝服务 (DoS) 攻打。
3、高级 Web 利用爱护
在高级 Web 利用平安方面,集成的 BIG-IP ASM 模块提供了 Web 利用防火墙 (WAF) 管制 OWASP10 大危险,如跨站脚本 (XSS)、跨站申请伪造(CSRF) 和 SQL 注入。BIG-IP ASM 是惟一一款带学习模式的 web 利用防火墙,该模式可能理解一款利用的失常输出参数,并回绝不合乎失常流量模式的攻打。BIG-IP ASM 还合乎 PCI 2.0 标准中重要的 WAF 要求。
4、Web 接入治理
BIG-IP 接入策略管理器 (APM) 是新型数据中心防火墙模式的最初一个组件。许多 Web 利用须要限度特定用户的拜访,而 BIG-IP APM 通过多因素认证、受权和单点登录 (SSO) 服务来反对这一需要。数据中心的动静访问控制是应用第 4 层和第 7 层的访问控制列表 (ACL)(来源于用户身份、端点检测后果、地理位置以及取自目录存储区的任何属性等环境信息) 来实现的。通过以高达 72 Gbps 的转发速度执行 ACL,每秒反对数千次登录以及在繁多平台上扩大到 100,000 个并发用户,BIG-IPAPM 可能极为杰出地执行各种工作。
5、累计收益
这些收益 (性能、协定合规性、全代理架构、访问控制和 iRules 灵活性) 的累积效应是整体攻击面的缩小。设施数量更少且容量更高意味着配置更少,最终在攻打中须要应答的问题也更少。IT 人员能够以繁多控制点集中进行进攻,而非随着平安堆栈中的各个设施产生故障而进行重启。现在的攻打不仅有传统的网络攻击,还有简单的 DDoS 攻打和第 7 层破绽攻打,这种缩小攻击面的办法就是为了放大威逼的范畴。应用 F5 产品的办法整合了多种平安服务,可能在一个全代理架构中杰出地抵挡所有这三种类型的攻打(网络、DDoS 和利用),任何传统状态防火墙都无奈做到这一点。
结束语
F5 新型数据中心防火墙平安解决方案反对企业施行一个全面且可扩大的平安策略,从而帮忙缓解现在最具挑战性的攻打,同时保持足够的灵活性,以应答将来定会呈现的那些攻打。
