现如今传统防火墙已无奈满足企业平安需要,网络攻击大多产生在应用层和网络层故障,且呈上升趋势,传统的防火墙存在着很大的不足之处,包含无奈检测加密的Web流量;一般应用程序加密后,也能轻易躲过防火墙的检测;对于Web应用程序防备能力有余;利用防护个性只实用于简略状况;无奈扩大深度检测性能, 仅部署传统的防火墙服务曾经无奈无效地检测攻打并避免业务中断,可见防火墙故障更加令人担忧,想要确保网络环境平安,就须要针对防火墙进行根本性的改革。
F5新型数据中心防火墙解决方案:
针对目前数据中心的平安需要,确保数据中心网络边界平安,F5公司推出了新型数据中心防火墙解决方案。以F5 BIG-IP LTM本地流量管理器所提供的防火墙服务为根底的全新的数据中心架构,既可能无效地抵挡古代频繁和多样化的网络攻击,又能够节俭企业分散式购买安全设备带来的老本。
F5新型数据中心防火墙解决方案是通过一种全面的集成式平台来应答上述每个因素。流量治理和网络防火墙服务由BIG-IP LTM进行治理。通过部署BIG-IP GTM能够执行DNSSEC和DNS Express,从而爱护要害的DNS服务免受DDoS和劫持攻打;通过部署BIG-IP ASM能够提供面向10大OWASP攻打的Web利用防火墙服务;最初,通过部署BIG-IP APM来提供平安的Web拜访治理和面向利用的SSO,以确保解决方案的残缺。因而,BIG-IP LTM是一个可能为网络堆栈提供全方位爱护的古代威逼缓解平台。
理解防火墙的限度:
在传统意义上,抉择数据中心防火墙时需思考的因素包含认证、开销和性能。认证规范可能须要部署特定的防火墙能力符合规定,这样就限度了设施的抉择范畴。在设施上,洽购人员会掂量其余的两个因素:价格与性能。然而,通过对这些参数进行新的剖析,咱们发现了一种新的模式。
防火墙依据数据吞吐量(如1Gbps或4Gbps)进行划分,这样能够很轻松地确保洽购与入站管路大小的统一。但将较高的数据吞吐量作为衡量标准并不精确。在分布式拒绝服务(DDoS) 攻打中,至关重要的不只是较高的数据吞吐量,还包含设施如何解决并发连贯以及每秒连接数。例如,一个价格为50,000美元的典型传统防火墙须要10Gbps的吞吐量,这应该足以应答中小型攻打。但这种类型的防火墙只能解决100万至200万条并发连贯。家喻户晓,维基解密(WikiLeaks)在2010年受到了一次大规模攻打,攻击者只应用一个僵尸网络就轻松生成了超过200万条并发连贯,翻过了整个美国的防火墙。并发连贯性能较高(每秒解决400万至1000万条连贯)的传统防火墙的价格也更高,须要100,000美元至150,000美元。
每秒连接数也是这样。传统防火墙在进行状态查看时,会影响建设每个TCP会话的性能。这就限度了防火墙解决入站连贯的性能。价格为50,000美元的典型传统防火墙每秒可解决50至100,000条新连贯。
攻击者十分分明这些防火墙限度,古代攻打就是通过利用这些限度来进行的。可怜的是,行业分析家指出,由此导致的防火墙故障并不少见。事实上,这些故障很可能是2011年9月的平安考察中仅8%的受调查者示意防火墙等传统的安全措施不足以确保网络安全的起因。因而,越来越多的企业在卸载数据中心防火墙,而更多的企业抉择间接折旧,而不会进行更新。
传统防火墙部署架构的另一个限度在于它无奈应答范畴如此宽泛、波及整个网络和利用生态系统的威逼。过来,用于缓解这些威逼的解决方案始终是独自部署的,这些解决方案通过特定的技术来应答利用、网络和DDoS攻打等逻辑分组中的攻打。这些来自多家厂商、相互之间不足关联的解决方案会进步治理的整体复杂性,当然也会大幅减少资本与经营收入。
思考古代数据中心的边界时,客户往往对于传统防火墙是否值得购买存在疑难,因为传统防火墙所做的只不过是通过80端口传输流量,并会减少提早以及带来费用和危险。灵便的企业,特地是新成立的企业和那些没有PCI需要的企业,一段时间以来始终在未部署传统防火墙的状况下经营。
依赖于Web2.0和其它数据中心交易的企业正在从基于集成式安全设备的新型数据中心架构中取得越来越多的好处。
F5 Networks解决防火墙问题的办法是将平安服务融入到位于数据中心边界的一套利用交付控制器(ADC)中。F5 BIG-IP本地流量管理器(LTM)在11.1版本中提供了ICSA网络防火墙认证。这一要害认证的重要意义在于,BIG-IP LTM、BIG-IP GTM广域网流量管理器和BIG-IP ASM利用平安管理器第一次失当地搁置在数据中心的边界,同时仍能维持整个企业的平安情况与合规性。
这一变动的重要性在出名的“防火墙三明治”架构的最新变动中非常不言而喻。旧的“三明治”架构须要装置传统防火墙,但因为传统防火墙的能力无限,因而必须与一套BIG-IP LTM设施并行部署,以便实现入站连贯的负载平衡。通过防火墙的流量将返回到雷同的BIG-IP LTM设施中(或另一个设施中,即三明治的比喻),以便失当地进行利用交付管制。因为BIG-IP LTM自身具备ICSA认证,因而能够将并行防火墙(三明治中的肉)折旧并淘汰掉,从而在维持雷同的整体能力、合规性和攻打防御能力的同时,大幅缩小设施的数量。
BIG-IP LTM的本地防火墙服务可提供连贯能力远远高于传统防火墙的网络层爱护,因而使得这一架构成为可能。BIG-IP LTM最多可解决4800万条连贯,在受到攻打时能够通过不同的超时行为、缓冲区大小和其它安全性相干选项对其进行治理。这一能力使得BIG-IP LTM能够在治理流量冲击量的同时,执行基于端口和IP的访问控制服务(通常由状态防火墙提供)。
1、本地利用协定的流畅性
此外,BIG-IP LTM还能够帮忙阻止利用应用层协定与行为的各种攻打。因为可能在利用协定中晦涩运行,BIG-IP LTM还能够监控和响应行为,而不只是标准和规范。BIG-IP LTM能够对Pv4、IPv6、TCP、HTTP、SIP、DNS、SMTP、FTP、Diameter和RADIUS通信进行解码,反对基于协定和有效载荷进行更加简单的剖析。这能够让BIG-IP LTM检测到表明攻打正在进行的异样行为,并采取适当的口头。例如,BIG-IP LTM能够检测出第7层每秒每个客户端的连接数,并履行在缓解第7层攻打方面卓有成效的各种限速计划。这种本地协定的流畅性还有助于确保协定的合规性,对于试图利用破绽(因协定解释不谨严而导致)的攻打,也有缓解作用。协定合规性与F5全代理架构的联合造就了一款举世无双的DDoS缓解解决方案。协定合规性的本地执行具备很重要的意义。F5 iRules脚本语言的编程能力提供了一种在规范和新兴或定制协定上执行协定性能的灵便办法。通过应用iRules,BIG-IP LTM能够执行协定合规性、限速、响应注入(response injection)、流量定向以及相干口头。平安团队发现,iRules的灵活性能够帮忙他们解决各种平安解决方案:
借助iRules,BIG-IP LTM能够通过含糊解决服务器和操作系统标头以及重写出站HTTP响应代码(如301、401和501谬误)来帮忙构建一个面向应用服务器的指纹隐形(fingerprint-cloaking)档案。
在传输层安全性方面,iRules可能达到SSL/TLS协定堆栈,从而缓解各种协定攻打,如2010年的SSL从新协商破绽(只应用一部手持设施便可攻打一台平安的服务器)。
通过应用iRules,企业能够疾速响应尚未公布补丁的各种利用破绽。用于缓解攻打的iRules既能够外部开发,也能够从F5的寰球DevCentral开发社区获取,甚至还能够从F5产品开发部公布。例如,Apache Killer3破绽就是在Apache Server Foundation公布官网解决方案数周前通过F5平安团队所开发的iRule来解决的。
2、高级DNS爱护
因为BIG-IP LTM对DNS防护的局限性BIG-IP GTM增加了iRules反对,从而加强了DNS协定的本地流畅性与合规性爱护能力。BIG-IP GTM是第一款用于反对域名系统安全扩大(DNSSEC)的商业广域网流量管理器,可能抵挡缓存投毒和中间人攻打。增加BIG-IP GTM的DNS Express性能能够爱护重要的DNS服务免受拒绝服务(DoS)攻打。
3、高级Web利用爱护
在高级Web利用平安方面,集成的BIG-IP ASM模块提供了Web利用防火墙(WAF)管制OWASP10大危险,如跨站脚本(XSS)、跨站申请伪造(CSRF)和SQL注入。BIG-IP ASM是惟一一款带学习模式的web利用防火墙,该模式可能理解一款利用的失常输出参数,并回绝不合乎失常流量模式的攻打。BIG-IP ASM还合乎PCI 2.0标准中重要的WAF要求。
4、Web接入治理
BIG-IP接入策略管理器(APM)是新型数据中心防火墙模式的最初一个组件。许多Web利用须要限度特定用户的拜访,而BIG-IP APM通过多因素认证、受权和单点登录(SSO)服务来反对这一需要。数据中心的动静访问控制是应用第4层和第7层的访问控制列表(ACL)(来源于用户身份、端点检测后果、地理位置以及取自目录存储区的任何属性等环境信息)来实现的。通过以高达72 Gbps的转发速度执行ACL,每秒反对数千次登录以及在繁多平台上扩大到100,000个并发用户,BIG-IPAPM可能极为杰出地执行各种工作。
5、累计收益
这些收益(性能、协定合规性、全代理架构、访问控制和iRules灵活性)的累积效应是整体攻击面的缩小。设施数量更少且容量更高意味着配置更少,最终在攻打中须要应答的问题也更少。IT人员能够以繁多控制点集中进行进攻,而非随着平安堆栈中的各个设施产生故障而进行重启。现在的攻打不仅有传统的网络攻击,还有简单的DDoS攻打和第7层破绽攻打,这种缩小攻击面的办法就是为了放大威逼的范畴。应用F5产品的办法整合了多种平安服务,可能在一个全代理架构中杰出地抵挡所有这三种类型的攻打(网络、DDoS和利用),任何传统状态防火墙都无奈做到这一点。
结束语
F5新型数据中心防火墙平安解决方案反对企业施行一个全面且可扩大的平安策略,从而帮忙缓解现在最具挑战性的攻打,同时保持足够的灵活性,以应答将来定会呈现的那些攻打。