F5新型資料中心防火牆解決方案——一鍵解決企業網路安全問題

　　現如今傳統防火牆已無法滿足企業安全需求，網路攻擊大多發生在應用層和網路層故障，且呈上升趨勢，傳統的防火牆存在著很大的不足之處，包括無法檢測加密的Web流量；普通應用程式加密後，也能輕易躲過防火牆的檢測；對於Web應用程式防範能力不足；應用防護特性只適用於簡單情況；無法擴充套件深度檢測功能, 僅部署傳統的防火牆服務已經無法有效地檢測攻擊並防止業務中斷，可見防火牆故障更加令人擔憂，想要確保網路環境安全，就需要針對防火牆進行根本性的變革。


　　F5新型資料中心防火牆解決方案：


　　針對目前資料中心的安全需求，確保資料中心網路邊界安全，F5公司推出了新型資料中心防火牆解決方案。以F5 BIG-IP LTM本地流量管理器所提供的防火牆服務為基礎的全新的資料中心架構，既能夠有效地抵禦現代頻繁和多樣化的網路攻擊，又可以節省企業分散式購買安全裝置帶來的成本。


　　F5新型資料中心防火牆解決方案是透過一種全面的整合式平臺來應對上述每個因素。流量管理和網路防火牆服務由BIG-IP LTM進行管理。透過部署BIG-IP GTM可以執行DNSSEC和DNS Express，從而保護關鍵的DNS服務免受DDoS和劫持攻擊；透過部署BIG-IP ASM可以提供面向10大OWASP攻擊的Web應用防火牆服務；最後，透過部署BIG-IP APM來提供安全的Web訪問管理和麵嚮應用的SSO，以確保解決方案的完整。因此，BIG-IP LTM是一個能夠為網路堆疊提供全方位保護的現代威脅緩解平臺。


　　瞭解防火牆的限制：


　　在傳統意義上，選擇資料中心防火牆時需考慮的因素包括認證、開支和效能。認證標準可能需要部署特定的防火牆才能符合規定，這樣就限制了裝置的選擇範圍。在裝置上，採購人員會衡量其餘的兩個因素：價格與效能。然而，透過對這些引數進行新的分析，我們發現了一種新的模式。


　　防火牆根據資料吞吐量(如1Gbps或4Gbps)進行劃分，這樣可以很輕鬆地確保採購與入站管路大小的一致。但將較高的資料吞吐量作為衡量標準並不準確。在分散式拒絕服務(DDoS) 攻擊中，至關重要的不只是較高的資料吞吐量，還包括裝置如何處理併發連線以及每秒連線數。例如，一個價格為50,000美元的典型傳統防火牆需要10Gbps的吞吐量，這應該足以應對中小型攻擊。但這種型別的防火牆只能處理100萬至200萬條併發連線。眾所周知，維基解密(WikiLeaks)在2010年受到了一次大規模攻擊，攻擊者只使用一個殭屍網路就輕鬆生成了超過200萬條併發連線，翻過了整個美國的防火牆。併發連線效能較高(每秒處理400萬至1000萬條連線)的傳統防火牆的價格也更高，需要100,000美元至150,000美元。


　　每秒連線數也是這樣。傳統防火牆在進行狀態檢查時，會影響建立每個TCP會話的效能。這就限制了防火牆處理入站連線的效能。價格為50,000美元的典型傳統防火牆每秒可處理50至100,000條新連線。


　　攻擊者非常清楚這些防火牆限制，現代攻擊就是透過利用這些限制來進行的。不幸的是，行業分析家指出，由此導致的防火牆故障並不少見。事實上，這些故障很可能是2011年9月的安全調查中僅8%的受調查者表示防火牆等傳統的安全措施不足以確保網路安全的原因。因此，越來越多的企業在解除安裝資料中心防火牆，而更多的企業選擇直接折舊，而不會進行更新。
　　


　　傳統防火牆部署架構的另一個限制在於它無法應對範圍如此廣泛、涉及整個網路和應用生態系統的威脅。過去，用於緩解這些威脅的解決方案一直是單獨部署的，這些解決方案透過特定的技術來應對應用、網路和DDoS攻擊等邏輯分組中的攻擊。這些來自多家廠商、相互之間缺乏關聯的解決方案會提高管理的整體複雜性，當然也會大幅增加資本與運營支出。


　　考慮現代資料中心的邊界時，客戶往往對於傳統防火牆是否值得購買存在疑問，因為傳統防火牆所做的只不過是透過80埠傳輸流量，並會增加延遲以及帶來費用和風險。靈活的企業，特別是新成立的企業和那些沒有PCI需求的企業，一段時間以來一直在未部署傳統防火牆的情況下運營。


　　依賴於Web2.0和其它資料中心交易的企業正在從基於整合式安全裝置的新型資料中心架構中獲得越來越多的益處。
　　


　　F5 Networks處理防火牆問題的方法是將安全服務融入到位於資料中心邊界的一套應用交付控制器(ADC)中。F5 BIG-IP本地流量管理器(LTM)在11.1版本中提供了ICSA網路防火牆認證。這一關鍵認證的重要意義在於，BIG-IP LTM、BIG-IP GTM廣域網流量管理器和BIG-IP ASM應用安全管理器第一次恰當地放置在資料中心的邊界，同時仍能維持整個企業的安全狀況與合規性。


　　這一變化的重要性在知名的“防火牆三明治”架構的最新變化中十分顯而易見。舊的“三明治”架構需要安裝傳統防火牆，但由於傳統防火牆的能力有限，因此必須與一套BIG-IP LTM裝置並行部署，以便實現入站連線的負載平衡。透過防火牆的流量將返回到相同的BIG-IP LTM裝置中(或另一個裝置中，即三明治的比喻)，以便恰當地進行應用交付控制。由於BIG-IP LTM本身具有ICSA認證，因此可以將並行防火牆(三明治中的肉)折舊並淘汰掉，從而在維持相同的整體能力、合規性和攻擊防禦能力的同時，大幅減少裝置的數量。


　　BIG-IP LTM的本地防火牆服務可提供連線能力遠遠高於傳統防火牆的網路層保護，因此使得這一架構成為可能。BIG-IP LTM最多可處理4800萬條連線，在受到攻擊時可以透過不同的超時行為、緩衝區大小和其它安全性相關選項對其進行管理。這一能力使得BIG-IP LTM可以在管理流量衝擊量的同時，執行基於埠和IP的訪問控制服務(通常由狀態防火牆提供)。
　　


　　1、本地應用協議的流暢性


　　此外，BIG-IP LTM還可以幫助阻止利用應用層協議與行為的各種攻擊。由於能夠在應用協議中流暢執行，BIG-IP LTM還可以監控和響應行為，而不只是規範和標準。BIG-IP LTM可以對Pv4、IPv6、TCP、HTTP、SIP、DNS、SMTP、FTP、Diameter和RADIUS通訊進行解碼，支援基於協議和有效載荷進行更加複雜的分析。這可以讓BIG-IP LTM檢測到表明攻擊正在進行的異常行為，並採取適當的行動。例如，BIG-IP LTM可以檢測出第7層每秒每個客戶端的連線數，並實行在緩解第7層攻擊方面行之有效的各種限速方案。這種本地協議的流暢性還有助於確保協議的合規性，對於試圖利用漏洞(因協議解釋不嚴謹而導致)的攻擊，也有緩解作用。協議合規性與F5全代理架構的結合造就了一款獨一無二的DDoS緩解解決方案。協議合規性的本地執行具有很重要的意義。F5 iRules指令碼語言的程式設計能力提供了一種在標準和新興或定製協議上執行協議功能的靈活方法。透過使用iRules，BIG-IP LTM可以執行協議合規性、限速、響應注入(response injection)、流量定向以及相關行動。安全團隊發現，iRules的靈活性可以幫助他們解決各種安全解決方案:


　　藉助iRules，BIG-IP LTM可以透過模糊處理伺服器和作業系統標頭以及重寫出站HTTP響應程式碼(如301、401和501錯誤)來幫助構建一個面向應用伺服器的指紋隱形(fingerprint-cloaking)檔案。


　　在傳輸層安全性方面，iRules能夠到達SSL/TLS協議堆疊，從而緩解各種協議攻擊，如2010年的SSL重新協商漏洞(只使用一部手持裝置便可攻擊一臺安全的伺服器)。


　　透過使用iRules，企業可以快速響應尚未釋出補丁的各種應用漏洞。用於緩解攻擊的iRules既可以內部開發，也可以從F5的全球DevCentral開發社群獲取，甚至還可以從F5產品開發部發布。例如，Apache Killer3漏洞就是在Apache Server Foundation釋出官方解決方案數週前透過F5安全團隊所開發的iRule來解決的。


　　2、高階DNS保護


　　由於BIG-IP LTM對DNS防護的侷限性BIG-IP GTM新增了iRules支援，從而增強了DNS協議的本地流暢性與合規性保護能力。BIG-IP GTM是第一款用於支援域名系統安全擴充套件(DNSSEC)的商業廣域網流量管理器，能夠抵禦快取投毒和中間人攻擊。新增BIG-IP GTM的DNS Express功能可以保護重要的DNS服務免受拒絕服務(DoS)攻擊。


　　3、高階Web應用保護


　　在高階Web應用安全方面，整合的BIG-IP ASM模組提供了Web應用防火牆(WAF)控制OWASP10大風險，如跨站指令碼(XSS)、跨站請求偽造(CSRF)和SQL隱碼攻擊。BIG-IP ASM是唯一一款帶學習模式的web應用防火牆，該模式能夠了解一款應用的正常輸入引數，並拒絕不符合正常流量模式的攻擊。BIG-IP ASM還符合PCI 2.0規範中重要的WAF要求。


　　4、Web接入管理


　　BIG-IP接入策略管理器(APM)是新型資料中心防火牆模式的最後一個元件。許多Web應用需要限制特定使用者的訪問，而BIG-IP APM透過多因素認證、授權和單點登入(SSO)服務來支援這一需求。資料中心的動態訪問控制是使用第4層和第7層的訪問控制列表(ACL)(來源於使用者身份、端點檢測結果、地理位置以及取自目錄儲存區的任何屬性等環境資訊)來完成的。透過以高達72 Gbps的轉發速度執行ACL，每秒支援數千次登入以及在單一平臺上擴充套件到100,000個併發使用者，BIG-IPAPM能夠極為出色地執行各種任務。


　　5、累計收益 


　　這些收益(效能、協議合規性、全代理架構、訪問控制和iRules靈活性)的累積效應是整體攻擊面的減少。裝置數量更少且容量更高意味著配置更少，最終在攻擊中需要應對的問題也更少。IT人員可以以單一控制點集中進行防禦，而非隨著安全堆疊中的各個裝置發生故障而進行重啟。如今的攻擊不僅有傳統的網路攻擊，還有複雜的DDoS攻擊和第7層漏洞攻擊，這種減少攻擊面的方法就是為了縮小威脅的範圍。使用F5產品的方法整合了多種安全服務，能夠在一個全代理架構中出色地抵禦所有這三種型別的攻擊(網路、DDoS和應用)，任何傳統狀態防火牆都無法做到這一點。


　　結束語


　　F5新型資料中心防火牆安全解決方案支援企業實施一個全面且可擴充套件的安全戰略，從而幫助緩解如今最具挑戰性的攻擊，同時保持足夠的靈活性，以應對未來定會出現的那些攻擊。