F5新型数据中心防火墙

如今，位于数据中心边界的大量传统状态安全设备都面临着日趋复杂、频繁和多样化的网络***。以F5 BIG-IP LTM本地流量管理器所提供的防火墙服务为基础的全新的数据中心架构，既能够有效地抵御现代***，又可以节省大量的建设成本(CapEx)。

简介

在大部分企业中，防火墙都是网络与应用服务的第一道防线。防火墙一直是构建传统网络安全架构的首要基础。对关键业务服务的有效保护主要是通过简单而强大的访问控制工具——数据中心防火墙所进行的访问控制来完成的。

传统架构已经走向成熟，因此许多安全标准都要求部署经认证的防火墙。例如，任何处理信用卡号的数据中心均必须符合支付卡行业(PCI)标准，而该标准要求安装一个网络防火墙。PCI行业审计师所参考的公认标准是国际计算机安全协会(ICSA)的网络防火墙标准，该标准定义了可用于处理信用卡的少数防火墙。这一合规性要求强调了使用成熟的数据中心防火墙架构的重要性。

但成熟意味着使用时间较长，而数据中心防火墙已经开始显露出自身在检测和抵御现代***方面的局限性。针对应用层或网络层的***正在导致这些昂贵的状态防火墙发生故障，并且此类***的数量正在不断上升。

如果考虑到***者所面临的有利情形，这些防火墙故障更加令人担忧。虽然匿名***和LulzSec***已得到行业的密切关注并且需要***者进行预先规划，但现在的许多***都不需要进行这样的准备，因为***者可以利用所创建的庞大资源池来***所选定的目标。由于缺少有力的法律监督，因此中国和印度等新兴的技术强国构建了大量能够随时被租用的僵尸网络。在国家和企业之间就通过诉讼方式禁用这些网络达成共识之前，***者将继续利用这些资源池发起更多***。

现在，这些日趋多样化且涉及多个网络堆栈层的***引发防火墙故障的频率十分惊人。因此，仅部署传统的防火墙服务已经无法有效地检测***并防止业务中断。让应用层具备阻止***（利用应用层的协议与行为）的能力很有必要。

防火墙的限制

在传统意义上，选择数据中心防火墙时需考虑的因素包括认证、开支和性能。认证标准可能需要部署特定的防火墙才能符合规定，这样就限制了设备的选择范围。在设备上，采购人员会衡量其余的两个因素：价格与性能。然而，通过对这些参数进行新的分析，我们发现了一种新的模式。

防火墙根据数据吞吐量(如1Gbps或4Gbps)进行划分，这样可以很轻松地确保采购与入站管路大小的一致。但将较高的数据吞吐量作为衡量标准并不准确。在分布式拒绝服务(DDoS) ***中，至关重要的不只是较高的数据吞吐量，还包括设备如何处理并发连接以及每秒连接数。例如，一个价格为50,000美元的典型传统防火墙需要10Gbps的吞吐量，这应该足以应对中小型***。但这种类型的防火墙只能处理100万至200万条并发连接。众所周知，维基解密(WikiLeaks)在2010年受到了一次大规模***，***者只使用一个僵尸网络就轻松生成了超过2 00万条并发连接，翻过了整个美国的防火墙。并发连接性能较高(每秒处理400万至1000万条连接)的传统防火墙的价格也更高，需要100,000美元至150,000美元。

每秒连接数也是这样。传统防火墙在进行状态检查时，会影响建立每个TCP会话的性能。这就限制了防火墙处理入站连接的性能。价格为50,000美元的典型传统防火墙每秒可处理50至100,000条新连接。

***者非常清楚这些防火墙限制，现代***就是通过利用这些限制来进行的。不幸的是，行业分析家指出，由此导致的防火墙故障并不少见。事实上，这些故障很可能是2011年9月的安全调查中仅8 %的受调查者表示防火墙等传统的安全措施不足以确保网络安全的原因。因此，越来越多的企业在卸载数据中心防火墙，而更多的企业选择直接折旧，而不会进行更新。

传统防火墙部署架构的另一个限制在于它无法应对范围如此广泛、涉及整个网络和应用生态系统的威胁。过去，用于缓解这些威胁的解决方案一直是单独部署的，这些解决方案通过特定的技术来应对应用、网络和DDoS***等逻辑分组中的***。这些来自多家厂商、相互之间缺乏关联的解决方案会提高管理的整体复杂性，当然也会大幅增加资本与运营支出。

考虑现代数据中心的边界时，客户往往对于传统防火墙是否值得购买存在疑问，因为传统防火墙所做的只不过是通过80端口传输流量，并会增加延迟以及带来费用和风险。灵活的企业，特别是新成立的企业和那些没有PCI需求的企业，一段时间以来一直在未部署传统防火墙的情况下运营。

依赖于Web2.0和其它数据中心交易的企业正在从基于集成式安全设备的新型数据中心架构中获得越来越多的益处。

新型数据中心架构

F5 Networks处理防火墙问题的方法是将安全服务融入到位于数据中心边界的一套应用交付控制器(ADC)中。

F5 BIG - IP®本地流量管理器™ ( LTM ) 在1 1 . 1 版本中提供了ICSA网络防火墙认证。这一关键认证的重要意义在于，BIG - IP®LT M、BIG - IP®GTM广域网流量管理器™和BIG - IP®ASM应用安全管理器™ 第一次恰当地放置在数据中心的边界，同时仍能维持整个企业的安全状况与合规性。

这一变化的重要性在知名的“防火墙三明治”架构的最新变化中十分显而易见。旧的“三明治”架构需要安装传统防火墙，但由于传统防火墙的能力有限，因此必须与一套BIG - IP LTM设备并行部署，以便实现入站连接的负载平衡。通过防火墙的流量将返回到相同的BIG-IP LTM设备中(或另一个设备中，即三明治的比喻)，以便恰当地进行应用交付控制。由于BIG - IP LTM 本身具有ICSA认证，因此可以将并行防火墙(三明治中的肉)折旧并淘汰掉，从而在维持相同的整体能力、合规性和***防御能力的同时，大幅减少设备的数量。

BIG - IP LTM的本地防火墙服务可提供连接能力远远高于传统防火墙的网络层保护，因此使得这一架构成为可能。BIG - IP LTM最多可处理4800万条连接，在受到***时可以通过不同的超时行为、缓冲区大小和其它安全性相关选项对其进行管理。这一能力使得BIG-IP LTM可以在管理流量冲击量的同时，执行基于端口和IP的访问控制服务(通常由状态防火墙提供)。

本地应用协议的流畅性

此外，BIG - IP LT M 还可以帮助阻止利用应用层协议与行为的各种***。由于能够在应用协议中流畅运行，BIG - IP LT M 还可以监控和响应行为，而不只是规范和标准。BIG - IP LTM 可以对Pv4、IPv6、TCP、HTTP、SI P、DNS 、SMTP 、FTP 、Diameter和RADIUS通信进行解码，支持基于协议和有效载荷进行更加复杂的分析。这可以让BIG - IP LT M检测到表明***正在进行的异常行为，并采取适当的行动。例如，BIG - IP LT M可以检测出第7层每秒每个客户端的连接数，并实行在缓解第7层***方面行之有效的各种限速方案。

这种本地协议的流畅性还有助于确保协议的合规性，对于试图利用漏洞(因协议解释不严谨而导致) 的***，也有缓解作用。协议合规性与F5全代理架构的结合造就了一款独一无二的DDoS缓解解决方案。

协议合规性的本地执行具有很重要的意义。F5 iRules®脚本语言的编程能力提供了一种在标准和新兴或定制协议上执行协议功能的灵活方法。通过使用iRules，BIG -IPLTM可以执行协议合规性、限速、响应注入(response injection) 、流量定向以及相关行动。安全团队发现，iRules的灵活性可以帮助他们解决各种安全解决方案:

借助iRules，BIG - IP LT M可以通过模糊处理服务器和操作系统标头以及重写出站HTTP响应代码(如301 、401和501错误) 来帮助构建一个面向应用服务器的指纹隐形(fingerprint-cloaking)档案。

在传输层安全性方面，iRules能够到达SSL /TLS协议堆栈，从而缓解各种协议***，如2010年的SSL重新协商漏洞(只使用一部手持设备便可***一台安全的服务器)。

通过使用iRules ，企业可以快速响应尚未发布补丁的各种应用漏洞。用于缓解***的iRules 既可以内部开发，也可以从F5 的全球DevCentral ™ 开发社区获取，甚至还可以从F5产品开发部发布。例如，Apache Killer漏洞就是在Apache Server Foundation 发布官方解决方案数周前通过F5安全团队所开发的iRule来解决的。

高级DNS保护

由于BIG - IP LTM对DNS防护的局限性BIG - IP GTM添加了iRules支持，从而增强了DNS协议的本地流畅性与合规性保护能力。BIG -IP GTM是第一款用于支持域名系统安全扩展(DNSSEC)的商业广域网流量管理器，能够抵御缓存投毒和中间人***。添加BIG-IP GTM的DNS Express™功能可以保护重要的DNS服务免受拒绝服务(DoS)***。

高级Web应用保护

在高级Web应用安全方面，集成的BIG - IP ASM模块提供了Web 应用防火墙( WAF )控制OWASP10大风险，如跨站脚本( XSS ) 、跨站请求伪造(CSRF)和SQL注入。BIG - IP ASM 是唯一一款带学习模式的web 应用防火墙，该模式能够了解一款应用的正常输入参数，并拒绝不符合正常流量模式的***。BIG-IP ASM还符合PCI 2.0规范中重要的WAF要求。

Web接入管理

BIG- IP®接入策略管理器™ (APM)是新型数据中心防火墙模式的最后一个组件。许多Web 应用需要限制特定用户的访问，而BIG - IP APM 通过多因素认证、授权和单点登录( SSO ) 服务来支持这一需求。数据中心的动态访问控制是使用第4层和第7层的访问控制列表(ACL) (来源于用户身份、端点检测结果、地理位置以及取自目录存储区的任何属性等环境信息) 来完成的。通过以高达72 Gbps的转发速度执行ACL，每秒支持数千次登录以及在单一平台上扩展到100 ,000个并发用户，BIG - IP APM能够极为出色地执行各种任务。

累计收益

这些收益(性能、协议合规性、全代理架构、访问控制和iRules灵活性) 的累积效应是整体***面的减少。设备数量更少且容量更高意味着配置更少，最终在***中需要应对的问题也更少。IT人员可以以单一控制点集中进行防御，而非随着安全堆栈中的各个设备发生故障而进行重启。如今的***不仅有传统的网络***，还有复杂的DDoS***和第7层漏洞***，这种减少***面的方法就是为了缩小威胁的范围。

使用F5产品的方法整合了多种安全服务，能够在一个全代理架构中出色地抵御所有这三种类型的***(网络、DDoS和应用)，任何传统状态防火墙都无法做到这一点。

总结

在过去的25年里，状态防火墙一直用于保护数据中心边界安全性的核心应用。然而随着***者使用新的技术和全球僵尸网络，这个曾经的防御盾牌已经逐步变为一种缺陷，基于防火墙的传统架构已经开始出现裂缝——而这恰巧是我们最需要防御工具的时候。随着时间的推移，威胁的范围已经有了明显的扩大；传统防火墙可以缓解简单的网络***，所谓的“新一代”防火墙可以应对企业数据中心的出站漏洞。但只有基于F5 产品的新型数据中心防火墙架构可以在确保基于标准的合规性的同时，通过消除防火墙设备和升级以及最大限度利用其它数据中心资源来显著降低资本支出。这种新型数据中心防火墙架构在网络边界拥有全代理、高连接能力的ADC。

灵活的企业正在通过添加安全服务来应对现代数据中心威胁的三个主要因素:

1.   传统的网络***

2.   HTTP和DNS上的复杂DDoS***

3.   应用级漏洞

新型数据中心防火墙模式通过一种全面的集成式解决方案来应对上述每个因素。流量管理和网络防火墙服务由BIG-IP LTM进行管理。通过部署BIG-IP GTM可以执行DNSSEC和DNS  Express，从而保护关键的DNS 服务免受DDoS 和劫持***；通过部署BIG - IP ASM可以提供面向10大OWA SP***的Web 应用防火墙服务；最后，通过部署BIG - IP APM来提供安全的Web访问管理和面向应用的SSO，以确保解决方案的完整。因此，BIG - IP LTM 是一个能够为网络堆栈提供全方位保护的现代威胁缓解平台。

以F5产品为中心的安全解决方案支持企业实施一个全面且可扩展的安全战略，从而帮助缓解如今最具挑战性的***，同时保持足够的灵活性，以应对未来定会出现的那些***。

关于 F5 Networks

F5 Networks  (NASDAQ: FFIV) 让互联世界更完美的运行。随着语音、数据、视频流量、移动员工和应用的迅猛增长，F5在满足企业和机构IT需求的同时，帮助其把握巨大的潜在机遇—包括数据中心、网络和云。全球大型企业、服务提供商、政府机关及消费品牌都依赖于F5提供的智能服务架构，为互联世界的人们交付并保护应用与服务。如欲了解更多信息，敬请访问官网：www.f5.com.cn

如果您想了解更多F5相关资讯，请点击链接注册，我们会于定期将F5最新资讯及优惠活动信息告知您。感谢您对F5的关注与支持！

F5官方网站注册链接：  

http://interact.f5.com/2013Q2PPCADCSEMandHotlineCNJan-Mar_RegistrationPage.html