概述

互聯網已變得日益復雜，眾多企業面臨著惡意攻擊的威脅。各個企業面臨防御其基礎設施免受網絡安全攻擊，以及針對特定應用層攻擊的挑戰。每年，企業的安全成本耗資達幾百萬美元，其中包括：企業收入銳減、生產效率下降，以及信譽受損。
　　 企業應對這些威脅的傳統方式，是采用防火墻來增強網絡的安全性。然而經證實，這種覆蓋面相對較窄的方式不足以應對需求。盡管傳統的防火墻可以保護企業免受網絡攻擊，但是，它們不足以防御新型應用級攻擊。企業正在尋求更多可靠、可擴展的解決方案，來擴展其安全覆蓋范圍、提高保護的級別。借助應用流量管理解決方案——F5 Networks BIG-IP 系統，企業能夠獲得全面的安全性（無論是網絡級安全，還是應用級安全）。
　　 本白皮書旨在探討 BIG-IP 系統如何提供全面集成的方法，保護系統免受網絡級和應用級的威脅和攻擊，從而增強用戶應用的整體安全性。

挑戰

應用已成為當今企業經營過程的一項核心內容。應用對企業的收入有著直接的影響，因此，保護關鍵業務信息免受惡意攻擊至關重要，這些攻擊通常包括針對應用漏洞的攻擊，以及低級網絡攻擊。企業在實現真正的網絡和應用安全時，面臨著諸多挑戰，因為：
　　 應用漏洞越來越多——當今的安全系統和防火墻并非智能型系統，不能檢測新型的應用層攻擊，也不能單獨防御此類攻擊。這些設備無法確認應用的類型，它們僅是鎖定/解鎖某個地址、端口或資源。這些傳統設備不能對數據包進行深度檢查，不能通過維持會話狀態信息來檢測攻擊，也不能防止應用攻擊的發生。應用攻擊通常包括：注入和執行受到限制的命令，cookie 篡取、獲得非法訪問敏感文檔和用戶信息的權限。這些攻擊會導致損失大量的收入，以及生產效率降低，上述結果反過來還會影響企業的信譽。
　　 網絡漏洞越來越多—— 網絡攻擊變得越來越復雜和廣泛。惡意用戶正在尋找新的突破網站防線、竊取有價值信息、甚至使整個站點停機的方法。諸如拒絕服務攻擊、分布式拒絕服務攻擊、無序包泛濫、TCP 窗口大小篡改等復雜攻擊，正給安全系統抵御大量攻擊帶來巨大的壓力。在發起攻擊之前，黑客和惡意用戶還啟用了站點掃描技術（一種被稱之為 profiling（特性描述）的技術），從似乎無害的源碼（如服務器錯誤代碼、源代碼注釋）當中檢索任意系統或應用信息。
　　 內部安全危害與信息泄露——當今企業所面臨的其中一個最大的威脅是來自企業內部的攻擊。這些攻擊難以檢測和預防，因為企業內部的用戶是可信域中的一部分。當今的安全系統不能靈活地部署安全策略，不能在對企業內部某些關鍵業務流量進行加密的同時，允許其它未加密的非關鍵流量通過。企業正借助其現有解決方案努力部署高效統一的安全策略，使企業的組織機構符合諸如薩班斯 奧克斯利法案、HIPAA 以及 FIPS 等安全監管標準。

解決方案

　BIG-IP 系統可提供范圍廣泛的各種安全服務，在為企業安全提供支持方面發揮著至關重要的作用。BIG-IP 系統可在關鍵網關位置進行部署，它既能添加功能強大的網絡級安全策略，又能過濾最復雜的應用攻擊，從而可保護您最寶貴的資源——支持您的業務正常運行的應用與網絡。作為一款集成 SSL 加密和新興應用安全技術領域的領先產品，BIG-IP 系統能夠使您的站點固若金湯，免受各類攻擊。
功能強大的應用安全性
　　BIG-IP 解決方案能夠對整個應用的有效負載進行深度數據包檢查，從而為企業提供了功能強大的應用級安全性。憑借 BIG-IP 靈活的特性集及其無可比擬的強大功能，管理員能夠輕松管理并控制其應用流量。憑借 BIG-IP 系統全方位的認證、授權、審計，以及有效負載解析特性，在允許進行會話之前，企業就能在網絡邊緣執行安全策略。這些特性包括：
通用檢查引擎和 iRule
　　借助BIG-IP 系統，企業可設置并執行通用應用級安全策略。借助 BIG-IP 全新的增強性通用檢查引擎 (UIE) 和 TCL 規則 (iRule) 能力，企業能夠過濾并阻止應用級攻擊與威脅。借助全新的 UIE 組件，BIG-IP 系統可檢查整個應用的有效負載，同時也可根據連續流靈活地做出轉變、堅持執行、或拒絕執行之決定。通過使用諸如 TCL 等標準編程接口創建 iRule，以及創建與本企業安全方針一致的策略，企業能夠充分利用 BIG-IP 靈活而功能強大的特性。一旦創建上述策略，即可將其分配給各文件，從而借助其全新的 GUI 特性就能實現輕松重復部署。通過整合這兩項特性，企業就具有了無可比擬的對其應用流量進行控制和保護的能力。
認證和授權
　　通過在網絡邊緣提供認證功能，以及針對網絡中的資源又增添一道安全防線，BIG-IP 系統能夠增強應用的安全性。高級客戶認證 (ACA) 模塊可視為站點的“哨所”，它能夠為各種類型的 IP 流量提供認證代理。高級客戶認證模塊可與可插拔模塊 (PAM) 引擎協同工作，借助 RAM，用戶能夠從認證機制庫中進行選擇，ACA 可從服務器卸載關鍵認證流程，并降低一些負載和管理任務（通常它們消耗大量的服務器資源）。ACA 模塊能夠與諸如 LDAP、RADIUS 以及 TACAS+ 等各種授權機制共同工作。
　　 在客戶端對證書進行處理時，在接收證書并轉發數據包至目標服務器之前，BIG-IP 系統可通過證書撤銷列表 (CRL) 或在線證書狀態協議 (OCSP)，了解該證書的撤銷狀態。在網絡層強化進行認證能夠降低應用和服務器的負載，使企業無須花費大量的人力物力對成百上千個應用認證系統單獨進行維護。
應用和內容過濾
　　借助 BIG-IP 系統功能強大的通用檢查引擎、以及其基于策略的 iRule 定制引擎，企業就能有效部署其安全策略。BIG-IP 解決方案具備應用和內容過濾功能，通過對流經服務器的流量進行定義，企業能部署一套積極的安全模型系統。由于具備獨特的對應用中的有效負載進行數據包檢查或會話流檢查的能力，BIG-IP 系統可阻止對記錄/目錄、限制性命令的非法訪問，并能阻止訪問應用服務器上的敏感文檔，同時，還能保護企業的關鍵資產。BIG-IP 系統還能過濾受到限制或黑名單中的網站中的內容，這有助于企業執行其安全策略。
Cookie 加密和認證
　　借助這一功能強大的特性，企業能夠對應用流量中使用的 cookie 進行加密和認證，這就能阻止黑客利用 cookie 來發起應用攻擊。由于支持 cookie 加密和認證特性，因此，黑客將無法讀取 cookie ，從而無法訪問諸如 JSessionID 和用戶 ID 等信息；無法利用這些信息，黑客也將不能對 cookie 進行修改并創建非法會話。通過阻止會話劫持、Cookie 篡改等攻擊（通過改寫 cookie 內容并利用關鍵應用漏洞來實現），BIG-IP 系統能夠為企業運行的狀態應用提供先進的保護功能。
SSL 加速與加密
　　繁重的 SSL 流量會帶來處理瓶頸，累垮最為強大的設備，嚴重影響服務或應用的總體安全性能。同時，不能為 SSL 協議使用的專用密鑰提供保護會使用戶和服務存在安全風險。
　　 BIG-IP 系統的集成 SSL 加速能力能夠強化 SSL 計算資源、使關鍵任務的管理更加集中。BIG-IP 設備可提供市場上最快、最安全的加密算法。通過為企業配備 AES （高級加密標準，一種對稱加密技術，可選擇 128、192 或 256 位塊加密），BIG-IP 系統可提供更高級的保護，它是企業真正的安全技術標準。結合使用 AES 和 SSL 處理，無須任何額外成本，BIG-IP 系統就能提供市場上最安全的 SSL 加密算法。
提高網絡和基礎設施的安全性
　　通過提供功能強大的網絡層安全特性，BIG-IP 系統能夠保護企業資源免受大量攻擊，這將進一步提升企業的安全性。借助 BIG-IP 設備、其獨特的通用檢查引擎，以及可編程 iRule 語言，用戶能夠對網絡有效負載的狀況了然于胸，企業因此能夠智能地管理并部署其安全策略。上述組合能夠阻止一些通用網絡攻擊、Dos（拒絕服務）攻擊、DDos（分布式拒絕服務）攻擊，以及協議篡改攻擊，如果再結合使用 BIG-IP 系統的數據包過濾能力，企業的安全性將獲得前所未有的提升，從而生產效率和收入將提高、擁有成本將下降。BIG-IP 系統能夠提高網絡和基礎設施的安全性，它具備如下特性：
缺省拒絕 (Deny-by-default)
　　BIG-IP 系統是一種缺省設置為拒絕的設備。缺省條件下，管理員未明確允許可通過 BIG-IP 系統的流量類型，均會拒絕通過。這樣，只有您指定的流量才能通過 BIG-IP 系統，從而可提供極高的安全保證。
自動防護
　　BIG-IP 軟件內置眾多流程，能夠保護您的網絡免受通用攻擊類型的攻擊。它將忽略以子網為目的的廣播地址，并且不會對 廣播 ICMP echo 進行應答（這些廣播用于發起 Smurf 和 Fraggle 攻擊）。由于 BIG-IP 設備連接表與現有連接完全一致，因此，諸如局域網攻擊等欺騙連接將無法傳遞至服務器。BIG-IP 系統可不斷進行檢查，實現適當的幀定位，從而可防止諸如 Teardrop、Boink、Bonk、Nestea 等通用碎片攻擊。諸如 WinNuke、Sub7 以及 Back Orifice 遠程控制工具等威脅，都將無法通過缺省的封鎖端口。由于 BiG-IP 能夠重組重疊的 TCP 報文段和 IP 碎片，因此，企業能夠避免近來日益猖獗的一些新型未知攻擊。
SYN CHECK
　　人們熟知的一種拒絕服務攻擊類型為 SYN flood，發起該攻擊旨在耗盡系統資源、使其無法建立合法連接。通過發送 cookie 代表服務器對客戶發出請求，以及不再紀錄尚未完成初始 TCP 握手連接的狀態信息，BIG-IP 系統的 SYN CHECK 模塊能夠降低 SYN flood 帶來的危害。這一獨特特性確保了服務器只處理合法的連接，BIG-IP SYN 隊列資源將不會被耗盡，因此，正常的 TCP 通訊就能繼續進行。SYN CHECK 模塊是 BIG-IP 系統 Dynamic Reaping 模塊的完美補充；同時，Dynamic Reaping 能夠處理已建立連接的 flooding，SYN CHECK 能夠查找處于早期階段的 flooding 連接，從而可防止 SYN 隊列被耗盡。由于 SYN CHECK 能夠與高性能 syn-cache 協同使用，因此企業能夠在不損耗 TCP 報文的情況下，使用 syncookies。
拒絕服務攻擊 (DoS) 和 Dynamic Reaping
　　BIG-IP 軟件含兩項全局設置，具有自適應進行 reap 連接的能力。為了防止拒絕服務 (DOS) 攻擊，企業可分別標出一個低水印閾值和高水印閾值進行 reaping 連接。低水印閾值能夠測定在哪一點之上，reaping 連接（與已定義的時隙接近）中的自適應 reaping 會變得更加活躍。高水印閾值能夠測定何時不再允許通過 BIG-IP 系統建立非連接 (non-established connection)。變量的值代表內存利用率百分比。一旦內存利用率達到此值，連接將不被允許，直到可用內存已降低至低水印閾值范圍。
虛擬服務器上的連接限制
　　借助 BIG-IP 系統，管理員能夠限制并發連接至一臺虛擬服務器的最大數量。這就設置了另一道針對拒絕服務攻擊等類型攻擊的防護屏障。
協議無害處理
　　借助本特性，企業能夠保護自身免受黑客采用 IP 協議篡改發起的攻擊，這種攻擊能夠耗盡服務器的資源并使站點停機。通過在第一道屏障內保護系統資源并終止所有客戶端與服務器間的 TCP 連接，BIG-IP 系統能夠阻止諸如無序包泛濫、MSS tiny packet floods、TCP 窗口篡改等攻擊。BIG-IP 設備能夠對客戶端-服務器間的通訊進行清除處理，查找具有攻擊特征的流量和異常情況，并清除服務器和應用所用流量。
數據包過濾
　　BIG-IP 系統的增強數據包過濾引擎提供深層數據包檢查功能，管理員可根據高級數據包過濾規則接收、丟棄或拒收（使用諸如“administratively prohibited”等代碼發回）流量。數據包過濾規則具有對第四層進行過濾的能力，允許可信流量通過，并能根據安全策略處理其它特定流量類型。企業現在能夠在 IPV4 或 IPV6 條件下使用數據包過濾功能來提供基本的防火墻保護能力，并能添加另一道安全屏障。這種過濾基于數據包的源或目標 IP 地址，源或目標端口號（支持該端口的協議），以及諸如 UDP、TCP 或 ICMP 等數據包類型。數據包過濾能夠保護系統免遭 IP 欺騙和 bogus TCP flag（偽裝 TCP 標記）的攻擊。
審計和日志記錄
　　由于出現異常或參數無效（如 Land 攻擊，Smurf 攻擊、校驗和出差、IP 協議號或版本未經處理，等等），一些數據包可能會被丟棄，BIG-IP 系統功能強大的日志記錄功能能夠將與此有關的事件記錄下來。通過對嘗試發起攻擊的源 IP 地址，所用端口、以及嘗試攻擊的頻率進行監控，BIG-IP 設備的安全報告功能能夠標識出任何收到的對服務和端口的訪問企圖。在找出安全網絡中的漏洞方面，這一信息能夠起到非常重要的作用，能夠幫助確定攻擊的來源。除了添加了一些新的用于通用內容交換的規則和變量以外，規則的語法也得到了進一步的擴充，其中包括兩個新的規則聲明：log 和 accumulate。借助上述功能，企業就能利用 iRule 來調用日志記錄或系統日志信息，并向管理員實時發出威脅告警。
帶寬調整
　　借助這一全新功能，企業能夠有效而靈活地保護系統免受帶寬濫用攻擊。結合使用帶寬類型與帶寬過濾模塊，企業現在就能實現對自身的保護，避免處于流量峰值狀態，并免受定期濫用用戶型攻擊或可拖垮網絡資源的網絡攻擊。企業能夠設定流量和應用的限定條件，控制這些資源以哪一個速率達到峰值狀態，這樣就能識別并阻止試圖累垮網絡資源的通用安全攻擊。
避免信息泄露
　　采用 BIG-IP 系統，那些可利用安全漏洞獲取的企業寶貴信息將得到保護。黑客以掃描或分析 Web 站點以獲得 IT 基礎設施線索而臭名昭著。此類用戶通過分析流量特征、檢查錯誤代碼來查找漏洞，通過充分利用這些漏洞，他們就能發起攻擊。違反安全規則的內部用戶訪問的行為也日益成為一個常見問題，因為該網絡內部的惡意用戶嘗試非法獲取某些敏感數據。BIG-IP 系統為企業提供了一款不可或缺的工具，借助這一工具，就能阻止對敏感和關鍵信息的訪問，還能在需要時有所選擇地實施加密。BIG-IP 設備能夠使信息免于泄露，它具有如下特性：
資源隱藏
　　借助 BIG-IP 系統，企業能夠保護其自身系統免受黑客進行站點掃描或其它類似應用，或進行有關查找漏洞線索的行為。通過對資源進行隱藏，BIG-IP 設備能夠刪除敏感信息（這些信息通常與服務器有關，包括如下內容：網頁中的錯誤代碼、源代碼注釋，包含相關服務器和應用重要信息的服務器標頭等）。結合使用功能強大的通用檢查引擎以及靈活的 iRules ，BIG-IP 系統就能阻止/過濾任何與站點有關的敏感信息，并能保護企業免受惡意用戶的攻擊。
安全網絡地址轉換 (NAT) 和端口映射
　　BIG-IP 系統能夠對設備所用的地址和端口進行轉換，并解析為可廣而告之給外部用戶的地址和端口。通過轉換這些地址，管理員就永遠不會擔心其 BIG-IP 設備資源的泄露，這就降低了黑客獲得訪問服務器權限的機會。BIG-IP 系統包含一個稱為智能安全網絡地址轉換（智能 SNAT）的特性，該特性與 NAT 類似，能夠使服務器同時具有一個不公開的 IP 址和一個公開的 IP 地址，這就能安全地與外部互聯網進行連接。然而，智能 SNAT 與 NAT 不同，它允許管理員分配或映射一個單獨的 IP 地址至一組節點，或整個子網，或 VLAN。智能 SNAT 還能根據 IP 數據包數據中的任何一個部分，映射至一個 IP 地址。通過 BIG-IP 的通用檢查引擎，企業現在就能根據 IP 數據包數據中的任何一個部分，智能映射 IP 地址。缺省條件下，SNAT 地址只能用來啟動出站連接。在缺省條件下，定向至 SNAT 地址的入站初始連接，將被 BIG-IP 系統阻止，這就提供了另一道安全屏障。
可選內容加密
　　借助 BIG-IP 解決方案，企業能夠靈活地根據其應用安全策略和標準需求，對所選的數據進行加密，企業現在能夠對其敏感應用數據進行保護，能夠構建一套通用的安全策略，能夠在一處中心位置在不同需求間謀求一套折衷策略。企業現在能夠在清晰可見的通道下傳遞非關鍵流量，并有所選擇地對敏感流量（如賬號和密碼）加密，這就使其能夠符合諸如薩班斯 奧克斯利法案、HIPAA 以及 FIPS 等安全監管標準。
擴充現有安全解決方案
　　防火墻、入侵檢測系統 (IDS) 以及 VPN 設備是企業內部以及外部保護系統免受安全威脅的第一道防線。這些設備在網絡安全中的重要作用決定了其必須符合如下特性：在所有時間均可用、功能合理、并能快速做出響應。通過將 BIG-IP 設備添加至安全基礎設施，企業就能擴展其現有解決方案，極大地提升其可擴展性及可用性。上述目標可通過采用一些 BIG-IP 系統的高級特性來實現，這些高級特性能夠滿足企業安全基礎設施方面的需求，可實現可靠和無縫的集成。這些特性包括：
高級負載平衡算法——BIG-IP 軟件提供范圍廣泛的各種負載平衡算法供管理員選擇，其中一些算法對諸如防火墻、VPN 或 IDS 系統等設備尤其具有重要價值。BIG-IP 系統有幾種高級算法，如 Predictive、Observed、Dynamic Ratio，用戶在選用時需考慮一項或多項動態因素（如：當前連接數）。為了在處理速度、內存及連接類型有顯著差異的設備間實現負載平衡，這些算法提供了一種更加出色、一致的利用資源的辦法，能夠實現最大的投資回報、提升安全設備的性能，并提高用戶防護其網絡的能力。
高級透明狀態檢查能力
　　憑借 BIG-IP 系統透明狀態檢查能力，通過透明節點就能對擁有別名的目標地址進行檢查。在透明模式下，監控人員可透過節點檢查關聯（通常為防火墻）至目標節點的地址為哪一個地址。換言之，如果在負載平衡池中有兩個防火墻，最初的服務器或內部 BIG-IP 對兒將用作通過專用防火墻的目標節點。如果目標節點未響應，防火墻（而非最初的服務器）將標為停機，業務將轉發至運行狀態良好的資源節點。
高級應用狀態檢查能力
BIG-IP 系統的擴展應用驗證 (EAV) 特性，可用于提高透明狀態檢查的精度。EAV 用于進行狀態檢查，通過遠程運行應用，可驗證節點中的某項應用。如果應用并非像預期那樣在預定時間做出響應，那么，BIG-IP 系統會將該請求轉發給運行狀況良好的設備。
高級持續能力
　　當負載平衡客戶端連接通過安全設備隊列時，至關重要的一點是，具有相同會話標識的所有數據包將被發送到同樣的設備上。借助 BIG-IP 解決方案，管理員將擁有眾多維持持續性的手段，可確保所有連接針對相同節點具有相同的會話標識，但這一能力并非平衡負載。BIG-IP 通用的持續性為用戶帶來了靈活性，用戶可持續保持其應用有效負載的任意部分。
任意 IP
　　借助任意 IP 業務特性，BIG-IP 系統能夠負載平衡協議，而不僅僅是 TCP 和 UDP。例如，在定義與 VPN 設備池相關的虛擬服務器以支持 IPSEC 業務負載平衡時，管理員可使用該特性。
動態連接重新綁定
　　對于與集群中的其它設備共享會話表的安全設備而言，BIG-IP 設備可動態連接重新綁定該設備。如果集群中的某個成員連接失敗，則動態連接重新綁定便會將所有連接從失效節點立即轉移至同一個池中運行狀態好的節點。因為其它節點共享會話表，因此，新選定的節點能夠實現對現有連接的認證與許可，同時不會被用戶中斷或受到干擾。
上級節點域 (Last hop pool)
　　通過在負載平衡安全設備時采用上級節點域，可確保響應連接的路徑（從資源節點到客戶端）與源請求路徑（從客戶端到資源節點）相同。借助 BIG-IP 的這一特性，管理員可手工標注上級節點域成員，或允許系統利用自動上級節點域特性自動確定上級節點。
VLAN 鏡像
　　BIG-IP 系統改進的 VLAN 鏡像特性能夠將從 VLAN 收到的數據包復制，并將該副本發送至另一個 VLAN 或 VLAN 集中。無論數據包中的目標 MAC 地址為何處，VLAN 鏡像配置條件下源 VLAN 收到的所有業務，均會按這種方式處理。從 BIG-IP 系統發送至指定 VLAN 的數據包，不會被鏡像。在這種情況下，對于這些 VLAN 而言，BIG-IP 形如一臺網絡集線器。該特性適用于用來負載平衡入侵檢測系統的帶外配置。BIG-IP 系統經過改進的 VLAN 鏡像功能，可提供更出色的性能，使企業用戶為其 IDS 設備增添加擴展性及冗余特性。
克隆池
　　BIG-IP 系統改進的克隆池特性可復制由池進行處理的所有業務，復制目標為裝有 IDS 或探測設備的克隆池。對于標準負載平衡池而言，用戶可對克隆池進行配置。當標準負載平衡池收到連接時，它會通過選定普通池來選擇一個普通連接，然后從克隆池中也選擇一個克隆節點。克隆節點會收到一份通過該普通池的所有業務的副本。BIG-IP 系統中改進的克隆池特性，可為采用 IDS 設備的企業提供更出色的性能和可擴展性。
客戶端 SSL 代理
　　客戶端 SSL 代理特性可終止 SSL 連接、對請求加密、以明文發送請求至最終目標。在終止 SSL 連接的過程中，代理可執行所有的認證驗證功能，這些功能常由目標 Web 服務器來完成，此外，還包括加密與解密功能。當該特性與克隆池或 VLAN 鏡像功能組合使用時，企業就能提高其 IDS 設備的工作效率，但這會造成無法處理加密數據。
集成控制
　　借助 F5 的 iControl API（應用編程接口），BIG-IP 系統正在整合所有防護相關應用。借助 iControl，通過創建、編輯或刪除 iRule（通用檢查引擎要求使用 iRule），其它設備技術可納入到 BIG-IP 系統之中。借助 iControl，這些變化能夠立即反映出來，從而更快地采用保護措施。這一功能可用于保護 Web 服務、移動應用，以及幾乎任何基于 IP 的應用。