F5新型數據中心防火墻

如今，位于數據中心邊界的大量傳統狀態安全設備都面臨著日趨復雜、頻繁和多樣化的網絡***。以F5 BIG-IP LTM本地流量管理器所提供的防火墻服務為基礎的全新的數據中心架構，既能夠有效地抵御現代***，又可以節省大量的建設成本(CapEx)。

簡介

在大部分企業中，防火墻都是網絡與應用服務的第一道防線。防火墻一直是構建傳統網絡安全架構的首要基礎。對關鍵業務服務的有效保護主要是通過簡單而強大的訪問控制工具——數據中心防火墻所進行的訪問控制來完成的。

傳統架構已經走向成熟，因此許多安全標準都要求部署經認證的防火墻。例如，任何處理信用卡號的數據中心均必須符合支付卡行業(PCI)標準，而該標準要求安裝一個網絡防火墻。PCI行業審計師所參考的公認標準是國際計算機安全協會(ICSA)的網絡防火墻標準，該標準定義了可用于處理信用卡的少數防火墻。這一合規性要求強調了使用成熟的數據中心防火墻架構的重要性。

但成熟意味著使用時間較長，而數據中心防火墻已經開始顯露出自身在檢測和抵御現代***方面的局限性。針對應用層或網絡層的***正在導致這些昂貴的狀態防火墻發生故障，并且此類***的數量正在不斷上升。

如果考慮到***者所面臨的有利情形，這些防火墻故障更加令人擔憂。雖然匿名***和LulzSec***已得到行業的密切關注并且需要***者進行預先規劃，但現在的許多***都不需要進行這樣的準備，因為***者可以利用所創建的龐大資源池來***所選定的目標。由于缺少有力的法律監督，因此中國和印度等新興的技術強國構建了大量能夠隨時被租用的僵尸網絡。在國家和企業之間就通過訴訟方式禁用這些網絡達成共識之前，***者將繼續利用這些資源池發起更多***。

現在，這些日趨多樣化且涉及多個網絡堆棧層的***引發防火墻故障的頻率十分驚人。因此，僅部署傳統的防火墻服務已經無法有效地檢測***并防止業務中斷。讓應用層具備阻止***（利用應用層的協議與行為）的能力很有必要。

防火墻的限制

在傳統意義上，選擇數據中心防火墻時需考慮的因素包括認證、開支和性能。認證標準可能需要部署特定的防火墻才能符合規定，這樣就限制了設備的選擇范圍。在設備上，采購人員會衡量其余的兩個因素：價格與性能。然而，通過對這些參數進行新的分析，我們發現了一種新的模式。

防火墻根據數據吞吐量(如1Gbps或4Gbps)進行劃分，這樣可以很輕松地確保采購與入站管路大小的一致。但將較高的數據吞吐量作為衡量標準并不準確。在分布式拒絕服務(DDoS) ***中，至關重要的不只是較高的數據吞吐量，還包括設備如何處理并發連接以及每秒連接數。例如，一個價格為50,000美元的典型傳統防火墻需要10Gbps的吞吐量，這應該足以應對中小型***。但這種類型的防火墻只能處理100萬至200萬條并發連接。眾所周知，維基解密(WikiLeaks)在2010年受到了一次大規模***，***者只使用一個僵尸網絡就輕松生成了超過2 00萬條并發連接，翻過了整個美國的防火墻。并發連接性能較高(每秒處理400萬至1000萬條連接)的傳統防火墻的價格也更高，需要100,000美元至150,000美元。

每秒連接數也是這樣。傳統防火墻在進行狀態檢查時，會影響建立每個TCP會話的性能。這就限制了防火墻處理入站連接的性能。價格為50,000美元的典型傳統防火墻每秒可處理50至100,000條新連接。

***者非常清楚這些防火墻限制，現代***就是通過利用這些限制來進行的。不幸的是，行業分析家指出，由此導致的防火墻故障并不少見。事實上，這些故障很可能是2011年9月的安全調查中僅8 %的受調查者表示防火墻等傳統的安全措施不足以確保網絡安全的原因。因此，越來越多的企業在卸載數據中心防火墻，而更多的企業選擇直接折舊，而不會進行更新。

傳統防火墻部署架構的另一個限制在于它無法應對范圍如此廣泛、涉及整個網絡和應用生態系統的威脅。過去，用于緩解這些威脅的解決方案一直是單獨部署的，這些解決方案通過特定的技術來應對應用、網絡和DDoS***等邏輯分組中的***。這些來自多家廠商、相互之間缺乏關聯的解決方案會提高管理的整體復雜性，當然也會大幅增加資本與運營支出。

考慮現代數據中心的邊界時，客戶往往對于傳統防火墻是否值得購買存在疑問，因為傳統防火墻所做的只不過是通過80端口傳輸流量，并會增加延遲以及帶來費用和風險。靈活的企業，特別是新成立的企業和那些沒有PCI需求的企業，一段時間以來一直在未部署傳統防火墻的情況下運營。

依賴于Web2.0和其它數據中心交易的企業正在從基于集成式安全設備的新型數據中心架構中獲得越來越多的益處。

新型數據中心架構

F5 Networks處理防火墻問題的方法是將安全服務融入到位于數據中心邊界的一套應用交付控制器(ADC)中。

F5 BIG - IP®本地流量管理器™ ( LTM ) 在1 1 . 1 版本中提供了ICSA網絡防火墻認證。這一關鍵認證的重要意義在于，BIG - IP®LT M、BIG - IP®GTM廣域網流量管理器™和BIG - IP®ASM應用安全管理器™ 第一次恰當地放置在數據中心的邊界，同時仍能維持整個企業的安全狀況與合規性。

這一變化的重要性在知名的“防火墻三明治”架構的最新變化中十分顯而易見。舊的“三明治”架構需要安裝傳統防火墻，但由于傳統防火墻的能力有限，因此必須與一套BIG - IP LTM設備并行部署，以便實現入站連接的負載平衡。通過防火墻的流量將返回到相同的BIG-IP LTM設備中(或另一個設備中，即三明治的比喻)，以便恰當地進行應用交付控制。由于BIG - IP LTM 本身具有ICSA認證，因此可以將并行防火墻(三明治中的肉)折舊并淘汰掉，從而在維持相同的整體能力、合規性和***防御能力的同時，大幅減少設備的數量。

BIG - IP LTM的本地防火墻服務可提供連接能力遠遠高于傳統防火墻的網絡層保護，因此使得這一架構成為可能。BIG - IP LTM最多可處理4800萬條連接，在受到***時可以通過不同的超時行為、緩沖區大小和其它安全性相關選項對其進行管理。這一能力使得BIG-IP LTM可以在管理流量沖擊量的同時，執行基于端口和IP的訪問控制服務(通常由狀態防火墻提供)。

本地應用協議的流暢性

此外，BIG - IP LT M 還可以幫助阻止利用應用層協議與行為的各種***。由于能夠在應用協議中流暢運行，BIG - IP LT M 還可以監控和響應行為，而不只是規范和標準。BIG - IP LTM 可以對Pv4、IPv6、TCP、HTTP、SI P、DNS 、SMTP 、FTP 、Diameter和RADIUS通信進行解碼，支持基于協議和有效載荷進行更加復雜的分析。這可以讓BIG - IP LT M檢測到表明***正在進行的異常行為，并采取適當的行動。例如，BIG - IP LT M可以檢測出第7層每秒每個客戶端的連接數，并實行在緩解第7層***方面行之有效的各種限速方案。

這種本地協議的流暢性還有助于確保協議的合規性，對于試圖利用漏洞(因協議解釋不嚴謹而導致) 的***，也有緩解作用。協議合規性與F5全代理架構的結合造就了一款獨一無二的DDoS緩解解決方案。

協議合規性的本地執行具有很重要的意義。F5 iRules®腳本語言的編程能力提供了一種在標準和新興或定制協議上執行協議功能的靈活方法。通過使用iRules，BIG -IPLTM可以執行協議合規性、限速、響應注入(response injection) 、流量定向以及相關行動。安全團隊發現，iRules的靈活性可以幫助他們解決各種安全解決方案:

借助iRules，BIG - IP LT M可以通過模糊處理服務器和操作系統標頭以及重寫出站HTTP響應代碼(如301 、401和501錯誤) 來幫助構建一個面向應用服務器的指紋隱形(fingerprint-cloaking)檔案。

在傳輸層安全性方面，iRules能夠到達SSL /TLS協議堆棧，從而緩解各種協議***，如2010年的SSL重新協商漏洞(只使用一部手持設備便可***一臺安全的服務器)。

通過使用iRules ，企業可以快速響應尚未發布補丁的各種應用漏洞。用于緩解***的iRules 既可以內部開發，也可以從F5 的全球DevCentral ™ 開發社區獲取，甚至還可以從F5產品開發部發布。例如，Apache Killer漏洞就是在Apache Server Foundation 發布官方解決方案數周前通過F5安全團隊所開發的iRule來解決的。

高級DNS保護

由于BIG - IP LTM對DNS防護的局限性BIG - IP GTM添加了iRules支持，從而增強了DNS協議的本地流暢性與合規性保護能力。BIG -IP GTM是第一款用于支持域名系統安全擴展(DNSSEC)的商業廣域網流量管理器，能夠抵御緩存投毒和中間人***。添加BIG-IP GTM的DNS Express™功能可以保護重要的DNS服務免受拒絕服務(DoS)***。

高級Web應用保護

在高級Web應用安全方面，集成的BIG - IP ASM模塊提供了Web 應用防火墻( WAF )控制OWASP10大風險，如跨站腳本( XSS ) 、跨站請求偽造(CSRF)和SQL注入。BIG - IP ASM 是唯一一款帶學習模式的web 應用防火墻，該模式能夠了解一款應用的正常輸入參數，并拒絕不符合正常流量模式的***。BIG-IP ASM還符合PCI 2.0規范中重要的WAF要求。

Web接入管理

BIG- IP®接入策略管理器™ (APM)是新型數據中心防火墻模式的最后一個組件。許多Web 應用需要限制特定用戶的訪問，而BIG - IP APM 通過多因素認證、授權和單點登錄( SSO ) 服務來支持這一需求。數據中心的動態訪問控制是使用第4層和第7層的訪問控制列表(ACL) (來源于用戶身份、端點檢測結果、地理位置以及取自目錄存儲區的任何屬性等環境信息) 來完成的。通過以高達72 Gbps的轉發速度執行ACL，每秒支持數千次登錄以及在單一平臺上擴展到100 ,000個并發用戶，BIG - IP APM能夠極為出色地執行各種任務。

累計收益

這些收益(性能、協議合規性、全代理架構、訪問控制和iRules靈活性) 的累積效應是整體***面的減少。設備數量更少且容量更高意味著配置更少，最終在***中需要應對的問題也更少。IT人員可以以單一控制點集中進行防御，而非隨著安全堆棧中的各個設備發生故障而進行重啟。如今的***不僅有傳統的網絡***，還有復雜的DDoS***和第7層漏洞***，這種減少***面的方法就是為了縮小威脅的范圍。

使用F5產品的方法整合了多種安全服務，能夠在一個全代理架構中出色地抵御所有這三種類型的***(網絡、DDoS和應用)，任何傳統狀態防火墻都無法做到這一點。

總結

在過去的25年里，狀態防火墻一直用于保護數據中心邊界安全性的核心應用。然而隨著***者使用新的技術和全球僵尸網絡，這個曾經的防御盾牌已經逐步變為一種缺陷，基于防火墻的傳統架構已經開始出現裂縫——而這恰巧是我們最需要防御工具的時候。隨著時間的推移，威脅的范圍已經有了明顯的擴大；傳統防火墻可以緩解簡單的網絡***，所謂的“新一代”防火墻可以應對企業數據中心的出站漏洞。但只有基于F5 產品的新型數據中心防火墻架構可以在確保基于標準的合規性的同時，通過消除防火墻設備和升級以及最大限度利用其它數據中心資源來顯著降低資本支出。這種新型數據中心防火墻架構在網絡邊界擁有全代理、高連接能力的ADC。

靈活的企業正在通過添加安全服務來應對現代數據中心威脅的三個主要因素:

1.   傳統的網絡***

2.   HTTP和DNS上的復雜DDoS***

3.   應用級漏洞

新型數據中心防火墻模式通過一種全面的集成式解決方案來應對上述每個因素。流量管理和網絡防火墻服務由BIG-IP LTM進行管理。通過部署BIG-IP GTM可以執行DNSSEC和DNS  Express，從而保護關鍵的DNS 服務免受DDoS 和劫持***；通過部署BIG - IP ASM可以提供面向10大OWA SP***的Web 應用防火墻服務；最后，通過部署BIG - IP APM來提供安全的Web訪問管理和面向應用的SSO，以確保解決方案的完整。因此，BIG - IP LTM 是一個能夠為網絡堆棧提供全方位保護的現代威脅緩解平臺。

以F5產品為中心的安全解決方案支持企業實施一個全面且可擴展的安全戰略，從而幫助緩解如今最具挑戰性的***，同時保持足夠的靈活性，以應對未來定會出現的那些***。

關于 F5 Networks

F5 Networks  (NASDAQ: FFIV) 讓互聯世界更完美的運行。隨著語音、數據、視頻流量、移動員工和應用的迅猛增長，F5在滿足企業和機構IT需求的同時，幫助其把握巨大的潛在機遇—包括數據中心、網絡和云。全球大型企業、服務提供商、政府機關及消費品牌都依賴于F5提供的智能服務架構，為互聯世界的人們交付并保護應用與服務。如欲了解更多信息，敬請訪問官網：www.f5.com.cn

如果您想了解更多F5相關資訊，請點擊鏈接注冊，我們會于定期將F5最新資訊及優惠活動信息告知您。感謝您對F5的關注與支持！

F5官方網站注冊鏈接：  

http://interact.f5.com/2013Q2PPCADCSEMandHotlineCNJan-Mar_RegistrationPage.html