[產(chǎn)品及應(yīng)用下載][F5][白皮書(shū)]V9White_Pape

1、白皮書(shū)保護(hù)企業(yè)網(wǎng)絡(luò)周邊安全一一部署 F5的BIG-IP系統(tǒng)，確保為企業(yè)提 供廣泛的應(yīng)用及網(wǎng)絡(luò)安全綜述如今，隨著互聯(lián)網(wǎng)的復(fù)雜性日益增加，企業(yè)的漏洞也面臨越來(lái)越多 的惡意攻擊。企業(yè)組織也不得不尋找各種方法保護(hù)他們的基礎(chǔ)架構(gòu) 與應(yīng)用層免受攻擊。每年，由于網(wǎng)絡(luò)安全漏洞使公司遭受上百萬(wàn)的 美元的收入、生產(chǎn)力及聲譽(yù)損失。過(guò)去，企業(yè)一直習(xí)慣于利用防火墻來(lái)提高企業(yè)網(wǎng)絡(luò)安全。但是，這 已經(jīng)不能再滿足當(dāng)今網(wǎng)絡(luò)的需要了。雖然防火墻可以阻止對(duì)企業(yè)網(wǎng) 絡(luò)的攻擊，但卻不能阻止對(duì)企業(yè)應(yīng)用層的攻擊。因此，企業(yè)開(kāi)始尋 找更可靠、且可擴(kuò)展的解決方案來(lái)保護(hù)他們的網(wǎng)絡(luò)安全，并提高保 護(hù)級(jí)別。作為應(yīng)用流量管理解決方案，F(xiàn)5公司的BIG

2、-IP?系統(tǒng)可為 企業(yè)提供最佳的解決方案，使企業(yè)網(wǎng)絡(luò)具備網(wǎng)絡(luò)及應(yīng)用層的雙重安 全。本白皮書(shū)旨在說(shuō)明BIG-IP系統(tǒng)是如何為企業(yè)提供全面及完整的 網(wǎng)絡(luò)及應(yīng)用安全解決方案，防止?jié)撛诘膽?yīng)用及網(wǎng)絡(luò)層威脅與攻擊， 增強(qiáng)企業(yè)網(wǎng)絡(luò)的全面安全。應(yīng)用挑戰(zhàn)現(xiàn)在，應(yīng)用系統(tǒng)已經(jīng)成為企業(yè)商業(yè)活動(dòng)的核心。鑒于其對(duì)企業(yè)收入 的直接影響性，除防止一些低級(jí)網(wǎng)絡(luò)攻擊外，保護(hù)企業(yè)應(yīng)用系統(tǒng)漏 洞及關(guān)鍵信息免受惡意攻擊是至關(guān)重要的。目前，企業(yè)若想獲得真 正的網(wǎng)絡(luò)及應(yīng)用安全，面臨著眾多的挑戰(zhàn)，這是因?yàn)椋?應(yīng)用系統(tǒng)漏洞日益增多：一一現(xiàn)今的安全系統(tǒng)與防火墻已不能夠檢 測(cè)出、也無(wú)法抵擋各種新型應(yīng)用層攻擊了。這些安全設(shè)備都忽視了 應(yīng)用層安全，而

3、僅僅實(shí)現(xiàn)對(duì)某一地址、端口或資源的鎖定或解鎖。 他們無(wú)法對(duì)數(shù)據(jù)包進(jìn)行深層檢查，且無(wú)法保持會(huì)話狀態(tài)信息以檢測(cè) 并保護(hù)應(yīng)用系統(tǒng)免受攻擊。應(yīng)用層攻擊通常表現(xiàn)為注入及執(zhí)行受限 命令、cookie篡改、或非法獲取敏感文件或用戶信息。這些攻擊將 導(dǎo)致企業(yè)收入及生產(chǎn)力的巨大損失，給企業(yè)的聲譽(yù)帶來(lái)極大的負(fù)面 影響。日益增多的網(wǎng)絡(luò)漏洞一一 網(wǎng)絡(luò)攻擊日趨普遍、日漸復(fù)雜。惡意攻擊 的方法也不斷翻新，他們穿過(guò)網(wǎng)站的防御系統(tǒng)，盜取有價(jià)值的信 息、甚至擊潰整個(gè)網(wǎng)站。諸如拒絕服務(wù)(DoS)、分布式拒絕服務(wù)(DDoS)、無(wú)序包泛濫(out of order packet floods)及 TCP 窗口尺 寸干預(yù)(TCP win

4、dow size tampering)等復(fù)雜的攻擊對(duì)企業(yè)的安全系 統(tǒng)構(gòu)成極大的壓力，他們必需保護(hù)企業(yè)應(yīng)用免受海量攻擊而導(dǎo)致的 網(wǎng)絡(luò)癱瘓。黑客與惡意攻擊者通常在開(kāi)始攻擊前，首先掃描網(wǎng)站(即：攻擊信息歸檔profiling)，從看似無(wú)害的資源中獲取系統(tǒng)或 應(yīng)用信息，如服務(wù)器錯(cuò)誤代碼及源代碼注釋等。內(nèi)部安全漏洞與信息漏洞目前，企業(yè)面臨的最大威脅之一就是來(lái)自企業(yè)內(nèi)部的安全攻擊。由于內(nèi)部用戶是受信任域的一部分，因 此很難被檢測(cè)并防止此類(lèi)攻擊?，F(xiàn)在的安全系統(tǒng)都無(wú)法為企業(yè)提供 靈活的安全策略部署，在允許其它無(wú)需加密的非關(guān)鍵流量通過(guò)的同 時(shí)，對(duì)企業(yè)內(nèi)部的某些商業(yè)關(guān)鍵流量進(jìn)行加密。因此，企業(yè)用戶一 直在尋找一種

5、有效又統(tǒng)一的安全策略，可利用現(xiàn)有的解決方案，使 企業(yè)網(wǎng)絡(luò)的安全性達(dá)到諸如：Sarba nes-Oxley, HIPAA and FIPS等國(guó)際安全標(biāo)準(zhǔn)。解決方案BIG-IP系統(tǒng)為企業(yè)用戶提供多種安全服務(wù)，在增強(qiáng)企業(yè)網(wǎng)絡(luò)的安全 性中起到至關(guān)重要的作用。將 BIG-IP系統(tǒng)部署在通往企業(yè)重要資源（支持公司業(yè)務(wù)運(yùn)行的應(yīng)用及網(wǎng)絡(luò)）的關(guān)鍵網(wǎng)關(guān)處，即可為企業(yè)網(wǎng) 絡(luò)增加強(qiáng)大的網(wǎng)絡(luò)級(jí)安全策略，同時(shí)過(guò)濾最復(fù)雜的應(yīng)用攻擊。作為 集成的SSL加密及一系列應(yīng)運(yùn)而生的應(yīng)用安全技術(shù)領(lǐng)域的領(lǐng)導(dǎo)者， BIG-IP系統(tǒng)可加固企業(yè)網(wǎng)絡(luò)安全，抵擋各種類(lèi)型的攻擊。強(qiáng)大的應(yīng)用安全BIG-IP解決方案可對(duì)整個(gè)應(yīng)用系統(tǒng)的有效載荷進(jìn)行深層數(shù)

6、據(jù)包檢 查，從而大大增強(qiáng)了企業(yè)應(yīng)用層的安全性。利用其靈活性與無(wú)可比 擬的能力，為網(wǎng)絡(luò)管理員提供管理與控制應(yīng)用流量的強(qiáng)大工具。全 面認(rèn)證、授權(quán)、審計(jì)及有效載荷的解析功能，使企業(yè)在允許某個(gè)會(huì) 話前，在其網(wǎng)絡(luò)邊緣處執(zhí)行安全策略。性能如下：通用檢查引擎與iRules?企業(yè)用戶可利用BIG-IP系統(tǒng)來(lái)設(shè)置與執(zhí)行普通的應(yīng)用層安全策略。 利用BIG-IP的新型及增強(qiáng)的通用檢查引擎（UIE）與TCL規(guī)則（iRules ）能力，企業(yè)用戶可過(guò)濾及阻止應(yīng)用層攻擊與威脅。新型通 用檢查引擎使BIG-IP系統(tǒng)在連續(xù)應(yīng)用流的基礎(chǔ)上對(duì)全部應(yīng)用有效載 荷進(jìn)行檢查，為決策（如：交換、持續(xù)或拒絕）提供更多的靈活 性。企業(yè)用戶可以

7、使用標(biāo)準(zhǔn)編程接口，如TCL語(yǔ)言，來(lái)建立iRules，創(chuàng)建與企業(yè)安全方針一致的安全策略，從中體驗(yàn)它的靈活性 和強(qiáng)大的功能。設(shè)定安全策略后，就可以把它分配給某一個(gè)簡(jiǎn)檔（個(gè)圖形用戶界面（GUI ）的新功能，可以簡(jiǎn)化部署并且能夠重復(fù)利 用）。二者共同使用即可為企業(yè)的應(yīng)用流量提供無(wú)可比擬的控制與保 護(hù)。認(rèn)證與授權(quán)BIG-IP系統(tǒng)可利用網(wǎng)絡(luò)邊緣的認(rèn)證功能，將網(wǎng)絡(luò)周邊的安全提高一 個(gè)級(jí)別，從而增強(qiáng)了企業(yè)應(yīng)用的安全性。高級(jí)客戶機(jī)認(rèn)證（ACA）模塊為各種類(lèi)型的IP流量提供一個(gè)認(rèn)證代理，起到網(wǎng)站崗哨的作用。與（可提供認(rèn)證機(jī)制庫(kù)的）可插入認(rèn)證模塊（PAM）引擎聯(lián)合使用， ACA模塊可卸載服務(wù)器的關(guān)鍵認(rèn)證處理，以降低

8、消耗服務(wù)器資源的 認(rèn)證管理。ACA模塊兼容各種授權(quán)機(jī)制，如 LDAP, RADIUS及TACACS+。在遞交客戶證書(shū)時(shí)，BIG-IP系統(tǒng)可在接收證書(shū)并將數(shù)據(jù)轉(zhuǎn)向一個(gè)目 標(biāo)服務(wù)器前，利用證書(shū)撤消清單（CRL）或在線證書(shū)驗(yàn)證狀態(tài)協(xié)議（OCSP）,對(duì)該證書(shū)的撤消狀態(tài)進(jìn)行評(píng)估。BIG-IP設(shè)備還可擔(dān)當(dāng)憑證管理中心（CA）的角色。通過(guò)其密鑰管理系統(tǒng)（KMS），BIG-IP可為 企業(yè)用戶提供一個(gè)集中且簡(jiǎn)單的方法來(lái)生成管理與執(zhí)行客戶機(jī)/服務(wù)器的密鑰與證書(shū)。在網(wǎng)絡(luò)層鞏固與執(zhí)行認(rèn)證可降低應(yīng)用與服務(wù)器的 負(fù)荷，并可使企業(yè)無(wú)需再逐個(gè)為成百上千的應(yīng)用部署認(rèn)證系統(tǒng)，且 省時(shí)省力。應(yīng)用與內(nèi)容過(guò)濾BIG-IP系統(tǒng)，利用其強(qiáng)

9、大的通用檢查引擎及可自定義的基于策略的 iRules引擎，為企業(yè)用戶提供一種功能強(qiáng)大的執(zhí)行安全策略的方法。BIG-IP解決方案中提供的應(yīng)用與內(nèi)容過(guò)濾 功能使企業(yè)用戶可通過(guò)定 義穿梭于其服務(wù)器的流量，執(zhí)行積極的安全模塊。利用此獨(dú)特的功 能，對(duì)應(yīng)用有效載荷內(nèi)部的數(shù)據(jù)包及會(huì)話流進(jìn)行深層檢查，因此， BIG-IP系統(tǒng)可在保護(hù)企業(yè)重要資產(chǎn)的同時(shí)，不僅可阻止對(duì)記錄/目錄、受限命令的非法訪問(wèn)，還可阻止對(duì)應(yīng)用服務(wù)器中敏感文件的非 法訪冋。同時(shí)，BIG-IP系統(tǒng)還可根據(jù)受限或黑名單中的網(wǎng)站列表對(duì) 內(nèi)容進(jìn)行過(guò)濾，并協(xié)助企業(yè)用戶執(zhí)行安全策略。Cookie加密與認(rèn)證此強(qiáng)大的功能使企業(yè)用戶可以對(duì)應(yīng)用流量中的cookie

10、s進(jìn)行加密及認(rèn)證，如此可阻止黑客獲取cookies來(lái)發(fā)動(dòng)應(yīng)用攻擊。激活cookies加 密與認(rèn)證，黑客就無(wú)法通過(guò)讀取 cookies而獲取JSessi on IDs及用戶身 份信息，并隨后更改cookies以建立非法會(huì)話。BIG-IP系統(tǒng)為企業(yè)的 有狀態(tài)應(yīng)用系統(tǒng)提供出色的保護(hù)，使其免受會(huì)話劫持、及cookies篡改等利用cookies內(nèi)容重寫(xiě)對(duì)關(guān)鍵應(yīng)用漏洞發(fā)起的攻擊。SSL加速與加密繁重的SSL流量會(huì)導(dǎo)致處理瓶頸，即使是功能最強(qiáng)大的設(shè)備也會(huì)因 此而癱瘓，從而導(dǎo)致服務(wù)或應(yīng)用的整個(gè)安全性能遭受巨大的影響。 另外，若無(wú)法保護(hù)應(yīng)用在SSL協(xié)議中的私人密鑰，就會(huì)導(dǎo)致將用戶 與服務(wù)安全置于危險(xiǎn)境地。BIG

11、-IP系統(tǒng)中使用的集成的SSL加速模塊，不僅可增強(qiáng)SSL計(jì)算資 源，還可集中密鑰管理。BIG-IP設(shè)備擁有市場(chǎng)上最快最安全的加密 運(yùn)算法則。BIG-IP系統(tǒng)向企業(yè)用戶提供高級(jí)加密標(biāo)準(zhǔn)（AES）及一 種128、192或256位（可選的）區(qū)塊加密的對(duì)稱(chēng)加密法，以此來(lái)進(jìn) 一步提高企業(yè)網(wǎng)絡(luò)安全保護(hù)級(jí)別，并使其獲得符合企業(yè)需要的真正 的安全性。通過(guò)AES及SSL處理，BIG-IP系統(tǒng)在無(wú)需額外增加成本 的基礎(chǔ)上，為用戶提供目前市場(chǎng)上最安全的SSL加密運(yùn)算法則。日益增強(qiáng)的網(wǎng)絡(luò)及基礎(chǔ)架構(gòu)安全BIG-IP系統(tǒng)為企業(yè)用戶提供強(qiáng)大的網(wǎng)絡(luò)層安全，進(jìn)一步提高其安全 性，保護(hù)其免受最嚴(yán)重的網(wǎng)絡(luò)攻擊。BIG-IP設(shè)備擁有

12、獨(dú)特的UIE及可編程的iRules語(yǔ)言，為企業(yè)用戶提供針對(duì)網(wǎng)絡(luò)有效載荷的完整可視性，以便使用戶更為簡(jiǎn)便的管理及執(zhí)行其安全策略。除對(duì)普通網(wǎng) 絡(luò)攻擊、DoS、DDoS攻擊、及協(xié)議篡改攻擊的防御外，再加上 BIG- IP 系統(tǒng)的數(shù)據(jù)包過(guò)濾功能，為企業(yè)用戶提供無(wú)與倫比的安全性，從 而在促進(jìn)企業(yè)生產(chǎn)力與收入提高的同時(shí)，又降低了擁有成本。BIG-IP 系統(tǒng)依靠下列特性提高了網(wǎng)絡(luò)及基礎(chǔ)架構(gòu)的安全性： 缺省的拒絕訪問(wèn)BIG-IP系統(tǒng)是一種缺省的拒絕訪問(wèn)設(shè)備，如非管理員指定類(lèi)型的流 量，BIG-IP系統(tǒng)將拒絕其通過(guò)。如此可極大的增加網(wǎng)絡(luò)的安全性， 而只有符合管理員指定類(lèi)型的流量可通過(guò) BIG-IP系統(tǒng)。自動(dòng)防御

13、BIG-IP的軟件擁有無(wú)數(shù)的內(nèi)置程序，可保護(hù)企業(yè)網(wǎng)絡(luò)免受普通攻 擊。它可忽視直接子網(wǎng)廣播，且不響應(yīng)常用于Smurf及Fraggle攻擊的廣播ICMP請(qǐng)求。BIG-IP設(shè)備的連接表與現(xiàn)有連接保持一致，如 此，諸如LAN攻擊等中的虛假連接就無(wú)法傳遞給服務(wù)器。BIG-IP系統(tǒng)可查驗(yàn)幀定位的正確性，以防止普通片段儲(chǔ)存攻擊(Teardro p, Boink, Bonk及Nestes)。此外，通過(guò)端口的缺省圭寸鎖即可阻止其它 攻擊(WinNuke, Sub7,與 Back Orifice usage)。由于 BIG-IP 可重新 組合TCP重疊片段及IP碎片，企業(yè)網(wǎng)絡(luò)可阻止日趨普遍的新型未知 攻擊。SYN

14、 CHECK ?SYN flood是拒絕服務(wù)攻擊中的一種，此類(lèi)型的攻擊旨在耗盡系統(tǒng)資 源，使其無(wú)法建立合法連接。BIG-IP系統(tǒng)的SYN CHECK的特性就 是代表服務(wù)器發(fā)送cookies至請(qǐng)求客戶機(jī)、不記錄連接的狀態(tài)信息使 其無(wú)法完成初期的TCP交握，以此來(lái)減緩SYN floods攻擊的影響。 此獨(dú)特的性能確保服務(wù)器僅處理合法連接，且不消耗BIG-IP的SYN隊(duì)列，如此，即可繼續(xù)正常的 TCP通訊了。SYN CHECK的特性是 BIG-IP 系統(tǒng) Dyn amic Rea ping 特性的補(bǔ)充，在 Dy namic Rea ping 處理 已經(jīng)建立的連接的泛濫時(shí)，SYN CHECK處理新建連

15、接的泛濫，以防 止SYN隊(duì)列被耗盡。SYN CHECK與高性能的syn-cache一起使用， 企業(yè)用戶即可在不損失 TCP選項(xiàng)的情況下使用syncookiesDoS 與 Dynamic Reaping虛擬服務(wù)器上的連接限制BIG-IP軟件中有兩個(gè)全局設(shè)置，提供了在特定情況下清除相應(yīng)連接 的功能。為防止拒絕服務(wù)(DoS)攻擊，企業(yè)用戶可以指定一個(gè)低臨 界值與一個(gè)高臨界值。一旦到達(dá)低臨界值，系統(tǒng)開(kāi)始清除接近超時(shí) 時(shí)間的連接。到達(dá)高臨界值，系統(tǒng)不在接受新建連接請(qǐng)求，只允許 已經(jīng)建立的連接通過(guò)BIG-IP系統(tǒng)。這個(gè)臨界值為內(nèi)存的利用率，一 旦內(nèi)存利用率達(dá)到此臨界值，就不再接受連接請(qǐng)求了，直到內(nèi)存利 用

16、率降到低臨界值以下。BIG-IP系統(tǒng)允許網(wǎng)絡(luò)管理員限制虛擬服務(wù)器上最大并發(fā)連接數(shù)。這 樣另一防御層即可抵御諸如拒絕服務(wù)（DoS）等攻擊。協(xié)議無(wú)害處理此功能使企業(yè)用戶得以保護(hù)他們的網(wǎng)絡(luò)免受利用IP協(xié)議篡改發(fā)起的攻擊，以防止服務(wù)器資源耗盡及網(wǎng)站癱瘓。BIG-IP系統(tǒng)作為安全防御的第一線，可阻止包括無(wú)序包泛濫、MSS tiny packet floods、TCP窗口尺寸干預(yù)等攻擊，切斷客戶機(jī)與服務(wù)器間的TCP連接。BIG-IP設(shè)備可過(guò)濾客戶機(jī)與服務(wù)器間的通訊，查找入侵攻擊樣式及異常， 并對(duì)服務(wù)器與應(yīng)用的流量進(jìn)行過(guò)濾。數(shù)據(jù)包過(guò)濾BIG-IP系統(tǒng)的增強(qiáng)數(shù)據(jù)包過(guò)濾引擎可對(duì)數(shù)據(jù)包進(jìn)行深層檢查，并在 高級(jí)數(shù)據(jù)

17、包過(guò)濾器規(guī)則基礎(chǔ)上，使網(wǎng)絡(luò)管理員可以接入、丟棄或拒 絕（將“管理員禁止”的各種代碼退還給發(fā)送源）流量。數(shù)據(jù)包過(guò) 濾器規(guī)則可執(zhí)行第四層過(guò)濾，根據(jù)安全策略允許受信任流量通過(guò)， 及處理其它特定的流量類(lèi)型。現(xiàn)在，企業(yè)用戶可使用兼容IPV4或IPV6的數(shù)據(jù)包過(guò)濾器，不僅能提供基本的防火墻功能，還進(jìn)一步提 高周邊安全。根據(jù)數(shù)據(jù)包的源或目的IP地址、源或目的端口號(hào)（支 持端口的協(xié)議）、及數(shù)據(jù)包類(lèi)型（UDP、TCP或ICMP）對(duì)數(shù)據(jù)包進(jìn) 行過(guò)濾。數(shù)據(jù)包過(guò)濾可保護(hù)企業(yè)網(wǎng)絡(luò)免受IP欺騙（IP Spoofing ）、偽造TCP標(biāo)記攻擊等入侵攻擊。審計(jì)與日志BIG-IP系統(tǒng)強(qiáng)大的日志功能可記錄由于意外環(huán)境或無(wú)效參數(shù)（

18、如： 陸地攻擊（La nd attack）、Smurf攻擊、bad checksums未經(jīng)處理的 IP協(xié)議數(shù)或版本等）而導(dǎo)致的數(shù)據(jù)丟棄的相關(guān)事件。BIG-IP設(shè)備的安全報(bào)告中可識(shí)別出任何服務(wù)或端口所收到的未授權(quán)訪問(wèn)企圖的源 IP地址、所使用的端口以及頻次。該信息有助于識(shí)別網(wǎng)絡(luò)安全的漏 洞，并確定攻擊來(lái)源。除為通用內(nèi)容轉(zhuǎn)換設(shè)計(jì)的新規(guī)則功能及變量 外，還進(jìn)一步拓展了規(guī)則的語(yǔ)法，包括兩個(gè)新的規(guī)則語(yǔ)句：log和accumulate.通過(guò)利用這些功能，企業(yè)用戶可利用 iRules調(diào)用日志記 錄或系統(tǒng)日志信息，使網(wǎng)絡(luò)管理員對(duì)攻擊保持實(shí)時(shí)警惕。流量控制流量控制這一新特性為企業(yè)用戶提供了功能強(qiáng)大且靈活的方法來(lái)

19、抵 御帶寬濫用攻擊。利用速率級(jí)別與速率過(guò)濾器，企業(yè)用戶可保護(hù)自 己的網(wǎng)絡(luò)免受流量峰值、非法濫用或網(wǎng)絡(luò)攻擊而導(dǎo)致的網(wǎng)絡(luò)資源耗 盡。企業(yè)用戶可定義流量及應(yīng)用限制，并控制那些資源允許的流量 峰值速率，從而識(shí)別并阻止企圖耗盡企業(yè)網(wǎng)絡(luò)資源的普通安全攻 擊。防止信息泄露BIG-IP系統(tǒng)保護(hù)企業(yè)用戶網(wǎng)絡(luò)，防止黑客利用安全漏洞盜取有價(jià)值的信息。黑客經(jīng)常利用掃描網(wǎng)站或網(wǎng)站攻擊信息歸檔來(lái)獲取企業(yè)基 礎(chǔ)架構(gòu)信息，他們分析流量樣式并檢查漏洞的錯(cuò)誤代碼，以便他們 攻擊企業(yè)網(wǎng)絡(luò)。企業(yè)的內(nèi)部安全漏洞是企業(yè)面臨的共同問(wèn)題，因 此，黑客經(jīng)常試圖在網(wǎng)絡(luò)內(nèi)部非法獲取敏感信息。BIG-IP系統(tǒng)為企業(yè)提供了可阻止非法訪問(wèn)敏感及關(guān)鍵信息

20、的工具，并可在需要時(shí)， 有選擇的對(duì)流量進(jìn)行加密。BIG-IP產(chǎn)品通過(guò)下列特性阻止敏感信息 的泄露： 資源隱藏BIG-IP系統(tǒng)使企業(yè)用戶得以阻止黑客通過(guò)掃描其網(wǎng)站及應(yīng)用系統(tǒng)來(lái) 獲取用戶的安全漏洞。BIG-IP設(shè)備利用資源隱藏這一特性，將包含 在網(wǎng)頁(yè)、服務(wù)器報(bào)頭中關(guān)于服務(wù)器及應(yīng)用系統(tǒng)的錯(cuò)誤代碼、以及源 代碼注釋內(nèi)的服務(wù)器敏感信息全部虛擬化并隱藏。利用通用檢查引 擎及iRules的靈活性，BIG-IP系統(tǒng)可阻止/過(guò)濾關(guān)于網(wǎng)站的一任敏感 信息，為企業(yè)提供無(wú)可比擬的安全保護(hù)。安全網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）與端口映射BIG-IP系統(tǒng)可將其所使用的地址及端口轉(zhuǎn)換至向外界公布的地址與 端口，這樣網(wǎng)絡(luò)管理員就不用擔(dān)

21、心會(huì)暴露BIG-IP設(shè)備資源，從而降低了服務(wù)器遭受攻擊的危險(xiǎn)。BIG-IP系統(tǒng)中被稱(chēng)為智能安全網(wǎng)絡(luò)地 址轉(zhuǎn)換（智能SNAT）的特性與NAT類(lèi)似，為私網(wǎng)IP地址的服務(wù)器 提供一個(gè)公網(wǎng)IP地址，以確保其安全地連接到互聯(lián)網(wǎng)。但智能 SNAT又不同于NAT，智能SNAT允許網(wǎng)絡(luò)管理員將一組節(jié)點(diǎn)、整 個(gè)子網(wǎng)或VLAN映射成一個(gè)IP地址。除此之外，智能 SNAT還可基 于IP數(shù)據(jù)包數(shù)據(jù)中的任意一部分映射成一個(gè)IP地址。企業(yè)用戶可利用BIG-IP系統(tǒng)的UIE，用更智能的方法基于IP數(shù)據(jù)包數(shù)據(jù)的任意一 部分映射成一個(gè)IP地址。在默認(rèn)情況下，SNAT地址僅可用于發(fā)起 外部連接請(qǐng)求。BIG-IP系統(tǒng)的默認(rèn)設(shè)置為禁

22、止向SNAT地址直接發(fā) 出內(nèi)部連接請(qǐng)求。有選擇性的內(nèi)容加密BIG-IP解決方案為用戶提供了基于其應(yīng)用安全策略及標(biāo)準(zhǔn)需求的有 選擇性的數(shù)據(jù)加密功能。現(xiàn)在，企業(yè)用戶可在某一中心位置構(gòu)建統(tǒng)一的安全策略、卻對(duì)不同 的客戶實(shí)施不同的策略。企業(yè)用戶可利用精細(xì)控制來(lái)管理非關(guān)鍵流 量，并對(duì)敏感信息進(jìn)行有選擇性的加密，如帳號(hào)、密碼等，以使企 業(yè)網(wǎng)絡(luò)安全符合國(guó)際安全標(biāo)準(zhǔn)：Sarba nes-Oxley, HIPAA及FIPS。擴(kuò)展現(xiàn)有安全解決方案防火墻、入侵檢測(cè)系統(tǒng)（IDS）及VPN設(shè)備構(gòu)成了企業(yè)網(wǎng)絡(luò)內(nèi)外的 第一道安全防御系統(tǒng)。鑒于這些設(shè)備在網(wǎng)絡(luò)安全中的重要性，要求 他們?cè)谌魏螘r(shí)候都必需保證其可用性、功能的適用性

23、及迅速反應(yīng)。 將BIG-IP設(shè)備添加到企業(yè)的安全基礎(chǔ)架構(gòu)中，可擴(kuò)展企業(yè)現(xiàn)有的解 決方案，大大增加其可擴(kuò)展性及可用性?？赡苓^(guò)BIG-IP系統(tǒng)的某些高級(jí)特性達(dá)到提高擴(kuò)展性及可用性的目的，這些特性就是為了支持 企業(yè)安全基礎(chǔ)架構(gòu)的需求而開(kāi)發(fā)的，以實(shí)現(xiàn)與企業(yè)基礎(chǔ)架構(gòu)可靠、 無(wú)縫的兼容。這些特性如下： 高級(jí)負(fù)載均衡運(yùn)算法則：BIG-IP軟件中包含有各種負(fù)載均衡運(yùn)算法 則可供網(wǎng)絡(luò)管理員選擇，某些是專(zhuān)門(mén)適用于負(fù)載均衡安全設(shè)備的， 如防火墻、VPN或入侵檢測(cè)系統(tǒng)（IDS）。BIG-IP系統(tǒng)的高級(jí)運(yùn)算 法則（如預(yù)測(cè)模式、觀察模式、及動(dòng)態(tài)性能模式等）將一個(gè)或多個(gè) 動(dòng)態(tài)性能因素（如：當(dāng)前連接數(shù)）考慮在內(nèi)。負(fù)載均衡根據(jù)

24、設(shè)備的 區(qū)別，其處理速度、內(nèi)容及連接類(lèi)型都各不相同，這些運(yùn)算法則可 更好的將資源統(tǒng)一利用起來(lái)，以將投資收益最大化，并提高安全設(shè) 備的性能與網(wǎng)絡(luò)保護(hù)能力。高級(jí)透明健康狀態(tài)檢查BIG-IP系統(tǒng)的透明健康狀態(tài)檢查能力可通過(guò)一個(gè)透明節(jié)點(diǎn)對(duì)另命名 的目的地址進(jìn)行檢查。在透明狀態(tài)下，健康檢查會(huì)透過(guò)一個(gè)節(jié)點(diǎn)（使用這種健康檢查的節(jié)點(diǎn)，通常是防火墻）到達(dá)一個(gè)目的節(jié)點(diǎn)。換言 之，如果負(fù)載均衡池中有兩個(gè)防火墻，可將源服務(wù)器或內(nèi)部?jī)膳_(tái) BIG-IP作為透過(guò)指定防火墻目的節(jié)點(diǎn)。如果從目的節(jié)點(diǎn)處未獲得響 應(yīng)，則該防火墻（而非源服務(wù)器）則將被標(biāo)記為無(wú)效，并將流量重 新導(dǎo)至一個(gè)正常資源處。高級(jí)應(yīng)用狀態(tài)檢查BIG-IP系統(tǒng)的擴(kuò)

25、展應(yīng)用驗(yàn)證（EAV ）性能可用于提高透明健康檢查 的精確性。擴(kuò)展應(yīng)用驗(yàn)證利用遠(yuǎn)程運(yùn)行應(yīng)用來(lái)驗(yàn)證某一節(jié)點(diǎn)上應(yīng)用 的狀態(tài)。如果應(yīng)用未在預(yù)期設(shè)定的時(shí)間內(nèi)做出反應(yīng)，則BIG-IP系統(tǒng)會(huì)直接將請(qǐng)求引導(dǎo)至其它正常的設(shè)備中去。優(yōu)秀的持續(xù)性當(dāng)通過(guò)一系列的安全設(shè)備對(duì)客戶連接進(jìn)行負(fù)載均衡時(shí)，最重要的是 要將其擁有相同會(huì)話ID的數(shù)據(jù)包直接送至相同的設(shè)備。BIG-IP解決 方案為網(wǎng)絡(luò)管理員提供了多種持續(xù)性模式，使其在保持負(fù)載均衡的 同時(shí)，確保擁有相同的會(huì)話ID所有的連接持續(xù)流向同一節(jié)點(diǎn)。BIG- IP 的通用持續(xù)性為企業(yè)應(yīng)用提供了高靈活性，以保持在應(yīng)用有效載 荷的任一點(diǎn)上的持續(xù)性。Any-IPAny-IP流量允許BI

26、G-IP系統(tǒng)對(duì)除TCP及UDP以外的協(xié)議進(jìn)行負(fù)載 均衡。例如，網(wǎng)絡(luò)管理員可利用此性能，對(duì) IP SEC流量進(jìn)行負(fù)載均 衡（將一組VPN設(shè)備分配給一個(gè)虛擬服務(wù)器）。重新綁定動(dòng)態(tài)連接BIG-IP設(shè)備還為安全設(shè)備提供了重新綁定動(dòng)態(tài)連接的功能，該安全設(shè)備與集群中的其它設(shè)備共用相同的會(huì)話表。如果集群中的一個(gè)節(jié) 點(diǎn)不可用，重新綁定動(dòng)態(tài)連接功能會(huì)立即將此節(jié)點(diǎn)上的所有連接轉(zhuǎn) 至同一池中的另一正常節(jié)點(diǎn)上去。由于其它節(jié)點(diǎn)與原節(jié)點(diǎn)共用相同 的會(huì)話表，因此新節(jié)點(diǎn)可在不間斷或干涉用戶使用的情況下，對(duì)既 存連接進(jìn)行認(rèn)證。Last hop po ols在對(duì)安全設(shè)備進(jìn)行負(fù)載均衡的同時(shí)，利用last hop pools,可確保

27、連接響應(yīng)的路徑（從服務(wù)器至客戶機(jī)）與初次請(qǐng)求之路徑（從客戶機(jī)至 服務(wù)器）相同。BIG-IP允許網(wǎng)絡(luò)管理員手動(dòng)指定last hop pools組，或允許系統(tǒng)利用自動(dòng)last hop pools功能自動(dòng)確認(rèn)last hopoVLAN鏡像BIG-IP系統(tǒng)的增強(qiáng)VLAN鏡像功能可復(fù)制VLAN處接收到的數(shù)據(jù) 包，并將其發(fā)送到另一個(gè) VLAN或VLAN組處。與數(shù)據(jù)包中的目的 MAC地址無(wú)關(guān)，此過(guò)程適用于所有從 VLAN鏡像配置中源VLAN 接收到的流量。VLAN鏡像不包括BIG-IP系統(tǒng)從非指定VLAN發(fā)出 的數(shù)據(jù)包。在此情況下，BIG-IP的作用就像是這些VLAN的一個(gè)網(wǎng) 絡(luò)中心。此功能的設(shè)計(jì)旨在對(duì)入侵

28、檢測(cè)系統(tǒng)進(jìn)行帶外的負(fù)載均衡。BIG-IP系統(tǒng)中增強(qiáng)的VLAN鏡像擁有優(yōu)秀的性能，為企業(yè)用戶提供 了可擴(kuò)展性及冗余機(jī)制。克隆池BIG-IP系統(tǒng)增強(qiáng)的克隆池功能可將一個(gè)池中的全部流量復(fù)制到另一 個(gè)克隆池中，該池中包括有一個(gè)IDS或探測(cè)設(shè)備。用戶可根據(jù)任何 標(biāo)準(zhǔn)的負(fù)載均衡池配置一個(gè)克隆池。當(dāng)一個(gè)標(biāo)準(zhǔn)的負(fù)載均衡池接收 到一個(gè)連接時(shí)，它就會(huì)在標(biāo)準(zhǔn)池中為標(biāo)準(zhǔn)連接尋找一個(gè)節(jié)點(diǎn)，然后 在克隆池中時(shí)，就會(huì)為其尋找一個(gè)克隆節(jié)點(diǎn)。此時(shí)，克隆池會(huì)將標(biāo) 準(zhǔn)池中的全部流量復(fù)制到克隆池中。BIG-IP系統(tǒng)中增強(qiáng)的克隆池功能可優(yōu)化使用IDS設(shè)備的企業(yè)網(wǎng)絡(luò)性能并提供可擴(kuò)展性?？蛻舳薙SL代理客戶端SSL代理功能可終止SSL連接

29、、解密請(qǐng)求并以純文本形式將 請(qǐng)求發(fā)送至終點(diǎn)目的地。在終止一個(gè) SSL連接的過(guò)程中，代理可正 常執(zhí)行由目標(biāo)web服務(wù)器處理的證書(shū)驗(yàn)證、與加密解密功能。如與 克隆池或VLAN鏡像一起使用時(shí)，企業(yè)可利用此功能擴(kuò)展無(wú)法處理 加密數(shù)據(jù)的IDS設(shè)備的有效性。集成控制BIG-IP系統(tǒng)通過(guò)F5的iControl? API （開(kāi)放的應(yīng)用編程接口）成為 一個(gè)統(tǒng)一的防御點(diǎn)。利用iControl，其它安全設(shè)備可通過(guò)創(chuàng)建、刪除 或編輯iRules將其信息注入到BIG-IP系統(tǒng)中，隨后通用檢查引擎會(huì) 執(zhí)行這些命令。icontrol可瞬間應(yīng)用這些更改，系統(tǒng)也因此而實(shí)現(xiàn)快 速保護(hù)措施。此功能可用于保護(hù) web服務(wù)、移動(dòng)應(yīng)用、及基于任何IP的應(yīng)用。優(yōu)勢(shì)增強(qiáng)的應(yīng)用安全一一企業(yè)用戶可