[产品及应用下载][F5][白皮书]V9White_Pape

1、白皮书保护企业网络周边安全一一部署 F5的BIG-IP系统，确保为企业提 供广泛的应用及网络安全综述如今，随着互联网的复杂性日益增加，企业的漏洞也面临越来越多 的恶意攻击。企业组织也不得不寻找各种方法保护他们的基础架构 与应用层免受攻击。每年，由于网络安全漏洞使公司遭受上百万的 美元的收入、生产力及声誉损失。过去，企业一直习惯于利用防火墙来提高企业网络安全。但是，这 已经不能再满足当今网络的需要了。虽然防火墙可以阻止对企业网 络的攻击，但却不能阻止对企业应用层的攻击。因此，企业开始寻 找更可靠、且可扩展的解决方案来保护他们的网络安全，并提高保 护级别。作为应用流量管理解决方案，F5公司的BIG

2、-IP?系统可为 企业提供最佳的解决方案，使企业网络具备网络及应用层的双重安 全。本白皮书旨在说明BIG-IP系统是如何为企业提供全面及完整的 网络及应用安全解决方案，防止潜在的应用及网络层威胁与攻击， 增强企业网络的全面安全。应用挑战现在，应用系统已经成为企业商业活动的核心。鉴于其对企业收入 的直接影响性，除防止一些低级网络攻击外，保护企业应用系统漏 洞及关键信息免受恶意攻击是至关重要的。目前，企业若想获得真 正的网络及应用安全，面临着众多的挑战，这是因为： 应用系统漏洞日益增多：一一现今的安全系统与防火墙已不能够检 测出、也无法抵挡各种新型应用层攻击了。这些安全设备都忽视了 应用层安全，而

3、仅仅实现对某一地址、端口或资源的锁定或解锁。 他们无法对数据包进行深层检查，且无法保持会话状态信息以检测 并保护应用系统免受攻击。应用层攻击通常表现为注入及执行受限 命令、cookie篡改、或非法获取敏感文件或用户信息。这些攻击将 导致企业收入及生产力的巨大损失，给企业的声誉带来极大的负面 影响。日益增多的网络漏洞一一 网络攻击日趋普遍、日渐复杂。恶意攻击 的方法也不断翻新，他们穿过网站的防御系统，盗取有价值的信 息、甚至击溃整个网站。诸如拒绝服务(DoS)、分布式拒绝服务(DDoS)、无序包泛滥(out of order packet floods)及 TCP 窗口尺 寸干预(TCP win

4、dow size tampering)等复杂的攻击对企业的安全系 统构成极大的压力，他们必需保护企业应用免受海量攻击而导致的 网络瘫痪。黑客与恶意攻击者通常在开始攻击前，首先扫描网站(即：攻击信息归档profiling)，从看似无害的资源中获取系统或 应用信息，如服务器错误代码及源代码注释等。内部安全漏洞与信息漏洞目前，企业面临的最大威胁之一就是来自企业内部的安全攻击。由于内部用户是受信任域的一部分，因 此很难被检测并防止此类攻击。现在的安全系统都无法为企业提供 灵活的安全策略部署，在允许其它无需加密的非关键流量通过的同 时，对企业内部的某些商业关键流量进行加密。因此，企业用户一 直在寻找一种

5、有效又统一的安全策略，可利用现有的解决方案，使 企业网络的安全性达到诸如：Sarba nes-Oxley, HIPAA and FIPS等国际安全标准。解决方案BIG-IP系统为企业用户提供多种安全服务，在增强企业网络的安全 性中起到至关重要的作用。将 BIG-IP系统部署在通往企业重要资源（支持公司业务运行的应用及网络）的关键网关处，即可为企业网 络增加强大的网络级安全策略，同时过滤最复杂的应用攻击。作为 集成的SSL加密及一系列应运而生的应用安全技术领域的领导者， BIG-IP系统可加固企业网络安全，抵挡各种类型的攻击。强大的应用安全BIG-IP解决方案可对整个应用系统的有效载荷进行深层数

6、据包检 查，从而大大增强了企业应用层的安全性。利用其灵活性与无可比 拟的能力，为网络管理员提供管理与控制应用流量的强大工具。全 面认证、授权、审计及有效载荷的解析功能，使企业在允许某个会 话前，在其网络边缘处执行安全策略。性能如下：通用检查引擎与iRules?企业用户可利用BIG-IP系统来设置与执行普通的应用层安全策略。 利用BIG-IP的新型及增强的通用检查引擎（UIE）与TCL规则（iRules ）能力，企业用户可过滤及阻止应用层攻击与威胁。新型通 用检查引擎使BIG-IP系统在连续应用流的基础上对全部应用有效载 荷进行检查，为决策（如：交换、持续或拒绝）提供更多的灵活 性。企业用户可以

7、使用标准编程接口，如TCL语言，来建立iRules，创建与企业安全方针一致的安全策略，从中体验它的灵活性 和强大的功能。设定安全策略后，就可以把它分配给某一个简档（个图形用户界面（GUI ）的新功能，可以简化部署并且能够重复利 用）。二者共同使用即可为企业的应用流量提供无可比拟的控制与保 护。认证与授权BIG-IP系统可利用网络边缘的认证功能，将网络周边的安全提高一 个级别，从而增强了企业应用的安全性。高级客户机认证（ACA）模块为各种类型的IP流量提供一个认证代理，起到网站岗哨的作用。与（可提供认证机制库的）可插入认证模块（PAM）引擎联合使用， ACA模块可卸载服务器的关键认证处理，以降低

8、消耗服务器资源的 认证管理。ACA模块兼容各种授权机制，如 LDAP, RADIUS及TACACS+。在递交客户证书时，BIG-IP系统可在接收证书并将数据转向一个目 标服务器前，利用证书撤消清单（CRL）或在线证书验证状态协议（OCSP）,对该证书的撤消状态进行评估。BIG-IP设备还可担当凭证管理中心（CA）的角色。通过其密钥管理系统（KMS），BIG-IP可为 企业用户提供一个集中且简单的方法来生成管理与执行客户机/服务器的密钥与证书。在网络层巩固与执行认证可降低应用与服务器的 负荷，并可使企业无需再逐个为成百上千的应用部署认证系统，且 省时省力。应用与内容过滤BIG-IP系统，利用其强

9、大的通用检查引擎及可自定义的基于策略的 iRules引擎，为企业用户提供一种功能强大的执行安全策略的方法。BIG-IP解决方案中提供的应用与内容过滤 功能使企业用户可通过定 义穿梭于其服务器的流量，执行积极的安全模块。利用此独特的功 能，对应用有效载荷内部的数据包及会话流进行深层检查，因此， BIG-IP系统可在保护企业重要资产的同时，不仅可阻止对记录/目录、受限命令的非法访问，还可阻止对应用服务器中敏感文件的非 法访冋。同时，BIG-IP系统还可根据受限或黑名单中的网站列表对 内容进行过滤，并协助企业用户执行安全策略。Cookie加密与认证此强大的功能使企业用户可以对应用流量中的cookie

10、s进行加密及认证，如此可阻止黑客获取cookies来发动应用攻击。激活cookies加 密与认证，黑客就无法通过读取 cookies而获取JSessi on IDs及用户身 份信息，并随后更改cookies以建立非法会话。BIG-IP系统为企业的 有状态应用系统提供出色的保护，使其免受会话劫持、及cookies篡改等利用cookies内容重写对关键应用漏洞发起的攻击。SSL加速与加密繁重的SSL流量会导致处理瓶颈，即使是功能最强大的设备也会因 此而瘫痪，从而导致服务或应用的整个安全性能遭受巨大的影响。 另外，若无法保护应用在SSL协议中的私人密钥，就会导致将用户 与服务安全置于危险境地。BIG

11、-IP系统中使用的集成的SSL加速模块，不仅可增强SSL计算资 源，还可集中密钥管理。BIG-IP设备拥有市场上最快最安全的加密 运算法则。BIG-IP系统向企业用户提供高级加密标准（AES）及一 种128、192或256位（可选的）区块加密的对称加密法，以此来进 一步提高企业网络安全保护级别，并使其获得符合企业需要的真正 的安全性。通过AES及SSL处理，BIG-IP系统在无需额外增加成本 的基础上，为用户提供目前市场上最安全的SSL加密运算法则。日益增强的网络及基础架构安全BIG-IP系统为企业用户提供强大的网络层安全，进一步提高其安全 性，保护其免受最严重的网络攻击。BIG-IP设备拥有

12、独特的UIE及可编程的iRules语言，为企业用户提供针对网络有效载荷的完整可视性，以便使用户更为简便的管理及执行其安全策略。除对普通网 络攻击、DoS、DDoS攻击、及协议篡改攻击的防御外，再加上 BIG- IP 系统的数据包过滤功能，为企业用户提供无与伦比的安全性，从 而在促进企业生产力与收入提高的同时，又降低了拥有成本。BIG-IP 系统依靠下列特性提高了网络及基础架构的安全性： 缺省的拒绝访问BIG-IP系统是一种缺省的拒绝访问设备，如非管理员指定类型的流 量，BIG-IP系统将拒绝其通过。如此可极大的增加网络的安全性， 而只有符合管理员指定类型的流量可通过 BIG-IP系统。自动防御

13、BIG-IP的软件拥有无数的内置程序，可保护企业网络免受普通攻 击。它可忽视直接子网广播，且不响应常用于Smurf及Fraggle攻击的广播ICMP请求。BIG-IP设备的连接表与现有连接保持一致，如 此，诸如LAN攻击等中的虚假连接就无法传递给服务器。BIG-IP系统可查验帧定位的正确性，以防止普通片段储存攻击(Teardro p, Boink, Bonk及Nestes)。此外，通过端口的缺省圭寸锁即可阻止其它 攻击(WinNuke, Sub7,与 Back Orifice usage)。由于 BIG-IP 可重新 组合TCP重叠片段及IP碎片，企业网络可阻止日趋普遍的新型未知 攻击。SYN

14、 CHECK ?SYN flood是拒绝服务攻击中的一种，此类型的攻击旨在耗尽系统资 源，使其无法建立合法连接。BIG-IP系统的SYN CHECK的特性就 是代表服务器发送cookies至请求客户机、不记录连接的状态信息使 其无法完成初期的TCP交握，以此来减缓SYN floods攻击的影响。 此独特的性能确保服务器仅处理合法连接，且不消耗BIG-IP的SYN队列，如此，即可继续正常的 TCP通讯了。SYN CHECK的特性是 BIG-IP 系统 Dyn amic Rea ping 特性的补充，在 Dy namic Rea ping 处理 已经建立的连接的泛滥时，SYN CHECK处理新建连

15、接的泛滥，以防 止SYN队列被耗尽。SYN CHECK与高性能的syn-cache一起使用， 企业用户即可在不损失 TCP选项的情况下使用syncookiesDoS 与 Dynamic Reaping虚拟服务器上的连接限制BIG-IP软件中有两个全局设置，提供了在特定情况下清除相应连接 的功能。为防止拒绝服务(DoS)攻击，企业用户可以指定一个低临 界值与一个高临界值。一旦到达低临界值，系统开始清除接近超时 时间的连接。到达高临界值，系统不在接受新建连接请求，只允许 已经建立的连接通过BIG-IP系统。这个临界值为内存的利用率，一 旦内存利用率达到此临界值，就不再接受连接请求了，直到内存利 用

16、率降到低临界值以下。BIG-IP系统允许网络管理员限制虚拟服务器上最大并发连接数。这 样另一防御层即可抵御诸如拒绝服务（DoS）等攻击。协议无害处理此功能使企业用户得以保护他们的网络免受利用IP协议篡改发起的攻击，以防止服务器资源耗尽及网站瘫痪。BIG-IP系统作为安全防御的第一线，可阻止包括无序包泛滥、MSS tiny packet floods、TCP窗口尺寸干预等攻击，切断客户机与服务器间的TCP连接。BIG-IP设备可过滤客户机与服务器间的通讯，查找入侵攻击样式及异常， 并对服务器与应用的流量进行过滤。数据包过滤BIG-IP系统的增强数据包过滤引擎可对数据包进行深层检查，并在 高级数据

17、包过滤器规则基础上，使网络管理员可以接入、丢弃或拒 绝（将“管理员禁止”的各种代码退还给发送源）流量。数据包过 滤器规则可执行第四层过滤，根据安全策略允许受信任流量通过， 及处理其它特定的流量类型。现在，企业用户可使用兼容IPV4或IPV6的数据包过滤器，不仅能提供基本的防火墙功能，还进一步提 高周边安全。根据数据包的源或目的IP地址、源或目的端口号（支 持端口的协议）、及数据包类型（UDP、TCP或ICMP）对数据包进 行过滤。数据包过滤可保护企业网络免受IP欺骗（IP Spoofing ）、伪造TCP标记攻击等入侵攻击。审计与日志BIG-IP系统强大的日志功能可记录由于意外环境或无效参数（

18、如： 陆地攻击（La nd attack）、Smurf攻击、bad checksums未经处理的 IP协议数或版本等）而导致的数据丢弃的相关事件。BIG-IP设备的安全报告中可识别出任何服务或端口所收到的未授权访问企图的源 IP地址、所使用的端口以及频次。该信息有助于识别网络安全的漏 洞，并确定攻击来源。除为通用内容转换设计的新规则功能及变量 外，还进一步拓展了规则的语法，包括两个新的规则语句：log和accumulate.通过利用这些功能，企业用户可利用 iRules调用日志记 录或系统日志信息，使网络管理员对攻击保持实时警惕。流量控制流量控制这一新特性为企业用户提供了功能强大且灵活的方法来

19、抵 御带宽滥用攻击。利用速率级别与速率过滤器，企业用户可保护自 己的网络免受流量峰值、非法滥用或网络攻击而导致的网络资源耗 尽。企业用户可定义流量及应用限制，并控制那些资源允许的流量 峰值速率，从而识别并阻止企图耗尽企业网络资源的普通安全攻 击。防止信息泄露BIG-IP系统保护企业用户网络，防止黑客利用安全漏洞盗取有价值的信息。黑客经常利用扫描网站或网站攻击信息归档来获取企业基 础架构信息，他们分析流量样式并检查漏洞的错误代码，以便他们 攻击企业网络。企业的内部安全漏洞是企业面临的共同问题，因 此，黑客经常试图在网络内部非法获取敏感信息。BIG-IP系统为企业提供了可阻止非法访问敏感及关键信息

20、的工具，并可在需要时， 有选择的对流量进行加密。BIG-IP产品通过下列特性阻止敏感信息 的泄露： 资源隐藏BIG-IP系统使企业用户得以阻止黑客通过扫描其网站及应用系统来 获取用户的安全漏洞。BIG-IP设备利用资源隐藏这一特性，将包含 在网页、服务器报头中关于服务器及应用系统的错误代码、以及源 代码注释内的服务器敏感信息全部虚拟化并隐藏。利用通用检查引 擎及iRules的灵活性，BIG-IP系统可阻止/过滤关于网站的一任敏感 信息，为企业提供无可比拟的安全保护。安全网络地址转换（NAT）与端口映射BIG-IP系统可将其所使用的地址及端口转换至向外界公布的地址与 端口，这样网络管理员就不用担

21、心会暴露BIG-IP设备资源，从而降低了服务器遭受攻击的危险。BIG-IP系统中被称为智能安全网络地 址转换（智能SNAT）的特性与NAT类似，为私网IP地址的服务器 提供一个公网IP地址，以确保其安全地连接到互联网。但智能 SNAT又不同于NAT，智能SNAT允许网络管理员将一组节点、整 个子网或VLAN映射成一个IP地址。除此之外，智能 SNAT还可基 于IP数据包数据中的任意一部分映射成一个IP地址。企业用户可利用BIG-IP系统的UIE，用更智能的方法基于IP数据包数据的任意一 部分映射成一个IP地址。在默认情况下，SNAT地址仅可用于发起 外部连接请求。BIG-IP系统的默认设置为禁

22、止向SNAT地址直接发 出内部连接请求。有选择性的内容加密BIG-IP解决方案为用户提供了基于其应用安全策略及标准需求的有 选择性的数据加密功能。现在，企业用户可在某一中心位置构建统一的安全策略、却对不同 的客户实施不同的策略。企业用户可利用精细控制来管理非关键流 量，并对敏感信息进行有选择性的加密，如帐号、密码等，以使企 业网络安全符合国际安全标准：Sarba nes-Oxley, HIPAA及FIPS。扩展现有安全解决方案防火墙、入侵检测系统（IDS）及VPN设备构成了企业网络内外的 第一道安全防御系统。鉴于这些设备在网络安全中的重要性，要求 他们在任何时候都必需保证其可用性、功能的适用性

23、及迅速反应。 将BIG-IP设备添加到企业的安全基础架构中，可扩展企业现有的解 决方案，大大增加其可扩展性及可用性。可能过BIG-IP系统的某些高级特性达到提高扩展性及可用性的目的，这些特性就是为了支持 企业安全基础架构的需求而开发的，以实现与企业基础架构可靠、 无缝的兼容。这些特性如下： 高级负载均衡运算法则：BIG-IP软件中包含有各种负载均衡运算法 则可供网络管理员选择，某些是专门适用于负载均衡安全设备的， 如防火墙、VPN或入侵检测系统（IDS）。BIG-IP系统的高级运算 法则（如预测模式、观察模式、及动态性能模式等）将一个或多个 动态性能因素（如：当前连接数）考虑在内。负载均衡根据

24、设备的 区别，其处理速度、内容及连接类型都各不相同，这些运算法则可 更好的将资源统一利用起来，以将投资收益最大化，并提高安全设 备的性能与网络保护能力。高级透明健康状态检查BIG-IP系统的透明健康状态检查能力可通过一个透明节点对另命名 的目的地址进行检查。在透明状态下，健康检查会透过一个节点（使用这种健康检查的节点，通常是防火墙）到达一个目的节点。换言 之，如果负载均衡池中有两个防火墙，可将源服务器或内部两台 BIG-IP作为透过指定防火墙目的节点。如果从目的节点处未获得响 应，则该防火墙（而非源服务器）则将被标记为无效，并将流量重 新导至一个正常资源处。高级应用状态检查BIG-IP系统的扩

25、展应用验证（EAV ）性能可用于提高透明健康检查 的精确性。扩展应用验证利用远程运行应用来验证某一节点上应用 的状态。如果应用未在预期设定的时间内做出反应，则BIG-IP系统会直接将请求引导至其它正常的设备中去。优秀的持续性当通过一系列的安全设备对客户连接进行负载均衡时，最重要的是 要将其拥有相同会话ID的数据包直接送至相同的设备。BIG-IP解决 方案为网络管理员提供了多种持续性模式，使其在保持负载均衡的 同时，确保拥有相同的会话ID所有的连接持续流向同一节点。BIG- IP 的通用持续性为企业应用提供了高灵活性，以保持在应用有效载 荷的任一点上的持续性。Any-IPAny-IP流量允许BI

26、G-IP系统对除TCP及UDP以外的协议进行负载 均衡。例如，网络管理员可利用此性能，对 IP SEC流量进行负载均 衡（将一组VPN设备分配给一个虚拟服务器）。重新绑定动态连接BIG-IP设备还为安全设备提供了重新绑定动态连接的功能，该安全设备与集群中的其它设备共用相同的会话表。如果集群中的一个节 点不可用，重新绑定动态连接功能会立即将此节点上的所有连接转 至同一池中的另一正常节点上去。由于其它节点与原节点共用相同 的会话表，因此新节点可在不间断或干涉用户使用的情况下，对既 存连接进行认证。Last hop po ols在对安全设备进行负载均衡的同时，利用last hop pools,可确保

27、连接响应的路径（从服务器至客户机）与初次请求之路径（从客户机至 服务器）相同。BIG-IP允许网络管理员手动指定last hop pools组，或允许系统利用自动last hop pools功能自动确认last hopoVLAN镜像BIG-IP系统的增强VLAN镜像功能可复制VLAN处接收到的数据 包，并将其发送到另一个 VLAN或VLAN组处。与数据包中的目的 MAC地址无关，此过程适用于所有从 VLAN镜像配置中源VLAN 接收到的流量。VLAN镜像不包括BIG-IP系统从非指定VLAN发出 的数据包。在此情况下，BIG-IP的作用就像是这些VLAN的一个网 络中心。此功能的设计旨在对入侵

28、检测系统进行带外的负载均衡。BIG-IP系统中增强的VLAN镜像拥有优秀的性能，为企业用户提供 了可扩展性及冗余机制。克隆池BIG-IP系统增强的克隆池功能可将一个池中的全部流量复制到另一 个克隆池中，该池中包括有一个IDS或探测设备。用户可根据任何 标准的负载均衡池配置一个克隆池。当一个标准的负载均衡池接收 到一个连接时，它就会在标准池中为标准连接寻找一个节点，然后 在克隆池中时，就会为其寻找一个克隆节点。此时，克隆池会将标 准池中的全部流量复制到克隆池中。BIG-IP系统中增强的克隆池功能可优化使用IDS设备的企业网络性能并提供可扩展性。客户端SSL代理客户端SSL代理功能可终止SSL连接

29、、解密请求并以纯文本形式将 请求发送至终点目的地。在终止一个 SSL连接的过程中，代理可正 常执行由目标web服务器处理的证书验证、与加密解密功能。如与 克隆池或VLAN镜像一起使用时，企业可利用此功能扩展无法处理 加密数据的IDS设备的有效性。集成控制BIG-IP系统通过F5的iControl? API （开放的应用编程接口）成为 一个统一的防御点。利用iControl，其它安全设备可通过创建、删除 或编辑iRules将其信息注入到BIG-IP系统中，随后通用检查引擎会 执行这些命令。icontrol可瞬间应用这些更改，系统也因此而实现快 速保护措施。此功能可用于保护 web服务、移动应用、及基于任何IP的应用。优势增强的应用安全一一企业用户可