F5 Advanced WAF安全防護策略分享——產品+服務是防禦DDoS攻擊的利器

　2018年12月13日夜間，國內多家銀行的HTTP、HTTPS線上業務受到了來自以海外地址為主的攻擊。國內電信運營商在第一時間針對80埠及443埠的CC攻擊進行了封堵，有效地保護了被攻擊金融客戶的鏈路，但是即便是經過了運營商進一步過濾，仍有不少攻擊到達銀行的資料中心，導致其對外的WEB伺服器CPU使用率大幅提升，響應速度降低，影響了國內使用者的正常訪問。在本次DDoS攻擊過程中，F5 Advanced WAF(API安全-新一代WAF)的安全防護策略被證實非常有效地幫助使用者抵禦了攻擊。以下是F5技術長吳靜濤，從應用的角度分享F5對於安全防護的一些創新思路。
　　


　　F5 Advanced WAF(API安全-新一代WAF)的安全防護策略對於安全防護的優勢還有很多，其中“一鍵防護”功能最貼近使用者需求。由於攻防轉換往往是分分鐘的事，所以客戶需要有一個非常快速的工具來應對。顯然這時搭建DevOps模型讓研發部門去改是來不及的，因為程式碼需要經歷校驗、測試、評估之後才能上線。所以最好的解決之道就是全自動去修改、配置，但由於大多數客戶不允許全自動切換，因此F5推出了“一鍵切換”功能，幫助客戶快速應對，非常好地滿足了使用者對應用的可用性、安全性、視覺化和自動化提升等多種需求。


　　從企業客戶角度來看，與DDoS攻擊對抗是一個漫長的過程，攻擊手段和工具會不斷重新整理，那麼如何才能讓自己立於不敗之地呢？F5給出四點建議。


　　第一點建議，使用者需要意識到網路攻防和合規是兩回事，安全部署不應該以合規為目標，而要重點考慮攻防，將攻防放置於首位。


　　第二點建議，不要將安全防禦能力全部寄希望於全自動安全模式，從另一個角度而言，全自動也意味著安全風險，最好的處理辦法是要做可控的風險管理。


　　第三點建議，謹慎選擇透明模式和Bypass模式。很多客戶被攻擊就是因為這兩個模式，如今的DDoS攻擊終極目標其實並不是讓業務癱瘓，而是為了在徹底打穿透明模式和Bypass模式之後，掩蓋不法分子如入無人之境般竊取核心資料。對此F5給出的解決之道是構建一個超高彈性的全代理架構，做現代攻防的處理。


　　第四點建議，使用者需要改變統一安全策略，對於關鍵應用而言，需要對應用做完流量精分之後，再根據不同灰度的流量進行安全策略配置。F5 Advanced WAF(API安全-新一代WAF)的安全防護策略+服務的攻防模型已經被眾多使用者證明是有效的，可供參考。


　　“攻防是第一目標，流量精分是實現方法。F5希望實現的效果是透過機器學習之後的一鍵操作，而不是簡單的全自動，最終構建出完整的安全防禦體系。”吳靜濤總結道。