F5 Networks 安全解决方案:帮助企业应对新的安全
作者:管理员发布于:2020-05-18 00:00:00
随着网络攻击的频率和性质不断发生变化,企业IT 部门发现有效解决安全问题的难度来越大。目前网络攻击逐渐呈现出复杂、多层次的威胁特征,针对于4‐7 层的应用层攻击越来越多的出现在企业中,给很多IT 部门管理者造成很大的困扰。
一方面,面对新的持续性的高级网络威胁,IT 部门很难有效的发现这些攻击特征。诸如网络防火墙、IPS 和防毒系统这样的传统安全解决方案通常部署在独立设备之上,在面对这些高级网络威胁时,这种静态方法并不利于IT 安全策略的实施,而保护应用、用户和数据就无从谈起,换句话说,传统的安全防御思路根本无从应对这些新的威胁和新的挑战。
此外,新的安全攻击多是复杂的多层攻击,使用多个攻击向量将目标锁定在网络以及基础应用和数据上。一个攻击可能通过拒绝(DoS)攻击锁定网络层,然后通过Web 浏览器锁定应用漏洞。这使得IT 部门很难掌握攻击行为,原本的第三层IP 层的攻击,对于IT 部门来说,是可视的,可管的,但针对4‐7 层的应用攻击,传统网络防火墙等解决方案就显得力不从心。
因此,对于企业IT 部门来说,他们需要能够提供跨层可视性、4‐7 层检测能力,以及对应用的具有保护能力的安全解决方案。而这也已经得到了业界的普遍认可。
“如今,严重的非法行为都是通过利用Web 应用实现的。虽然Web 应用防火墙已经取得了明显进步,但是单层解决方案不足以抵御今天的复杂攻击。对于IT 机构而言,关键的是采用专门的安全保护方法,同时保护网络和应用。”
我们都非常清楚,解决安全问题需要全方位的思考。对于目前的安全威胁现状和传统的防御理念,F5 网络作为一家知名IT 公司,有着不同的看法。
F5 Networks 负责安全与战略解决方案的运营网络高表示:“F5 正在用实际行动努力改变企业用户的传统安全防御理念。F5 目前为用户提供的价值要体现在4‐7 层的IT架构中,我不得不说,过去20 年的安全防御体系都是围绕第三层IP
层进行的,虽然IP 层很重要,但至少在今天看来IP 层出现的弱点——不了解用户、不了解应用、不了解会话,使得针对4‐7 层的攻击更加复杂。而F5 的优势就在于4‐7 层灵活管理,这也是为什么F5通过开发一系列安全产品,用事实改变目前的安全现状。”
实际上,F5 期望的不仅仅是解决目前新的安全难题,这家公司更加希望做到4‐7 层的灵活架构和业务集成。F5 在安全方面希望做到以下三点:
1、 更好帮助客户了解4‐7 层的IT 架构
2、 让用户了解DNA(动态、网络、架构)的信息。
3、 F5 所提供的服务必须要让用户得到更好的体验。
F5 要做的事情,就是让企业IT 架构实现应用与用户之间的对接,而安全在这其中就显得格外重要。即使你的IT 架构实现了可用性和快速交付,但你没有对应用进行相关的保护,那么这样的IT 架构还存在很大的缺陷。也就是说,安全、快速、高可用这三者对于企业IT 部门来说必须兼顾。
在谈到安全永远是一攻一防的矛盾体时,他认为所谓的安全是与过去比,与过去比你才知道现在是安全的,因为你永远也无法预知未来会怎样,会有什么攻击出现,这时,你就只能用现有的技术保护自己。而当有新的威胁出现时,企IT 部门需要做的其实是“反映”,换句话说,攻和防之间是一个平衡问题,关键是看企业的反映速度有多快,攻击和防御的时间差有多少。据介绍,F5 目前要求做到的是“零日”威胁,意思就是从发现威胁到打齐补丁的时间差不超过一天。
实际上,安全问题就是一个悖论,怎样做都无法保证企业满意。当威胁发生时,F5 公司的观点是不要试图找到与攻击相关的所有连接,那样容易发生其他的攻击事件,而F5 的做法是利用对4‐7 层的可视性,可控性,让企业有充分的时间做出相关的反映。
这也是F5 公司的安全理念:为企业用户提供4‐7 层的安全保护,因为F5 对企业用户的应用更加了解。
问题出来了,既然F5 可以提供4‐7 层的安全防护,那么面对国内外众多知名的、专业的安全公司,F5 的安全解决方案优势在哪里呢?
显然,这是很多企业CIO 想知道答案的问题。过去十年F5 一直致力于帮助实现可靠,快速交付和易管理的IT 架构。其实,F5 在安全方面也一直努力着,比如一如既往地给企业用户提供网络层防火墙等安全模块。而面对现在新的安全威胁和挑战,F5 早就为此做好了充分准备,因为没有任何一家专业安全公司比我们更了解企业的应用现状。过去的十年我们一直在深入了解企业的应用,试问谁能比我们更加了解企业应用面临的安全问题呢?
专业安全公司的安全解决方案固然能够解决用户面临新的安全挑战,但这无疑给企业整个IT 架构带来管理的复杂性,从而影响企业管理成本增加,这并非危言耸听,而是事实。F5 的安全解决方案给企业带来的价值是整合技术、使IT 架构灵捷可靠,应用安全运行,最终会促使管理成本下降。
“最终还是那句话,安全、快速、高可用这三者对于企业IT 部门来说必须得到兼顾。而F5 恰巧十多年一直在为此而努力着。”
“未来在F5 的产品中加入更多的管理功能,来适应市场的新发展。我们希望客户能够具有更强大的管理功能,将软件和系统整合在一起来管理,这样更加方便他们实现管理动态、灵活的数据中心。”
我们不妨看看F5 安全解决方案有哪些技术优势:
网络安全层面的挑战:为了保证应用的安全,企业可以尝试追踪并修补明显的漏洞。也可以部署单独的解决方案,专用于保护应用安全,但这些解决方案并不能增强性能或简化控制。
F5 的安全解决方案:F5® BIG‐IP® 本地流量管理器™ (LTM) 应用交付控制器有助于企业保证基于网络的应用与数据的安全,同时提供一个战略控制点,提高应用性能。
一方面BIG‐IP LTM 作为一个安全代理,用于防止基于网络的SYN 泛洪和其它网络拒绝服务 (DoS) 以及分布式拒绝服务 (DDoS) 攻击,而且它提供了控制功能,用于定义和执行基于L4 的过滤规则,以提高网络防护能力。
此外,BIG‐IP LTM 还使您能够有选择地加密数据, 以保护并优化企业的通信。通过使用强大的安全套接层 (SSL) 加密、位加密和4096 密钥长度而支持先进的加密标准算法,BIG‐IP LTM 作为您的关键业务资源的网关。BIG‐IP LTM 可用在灵活的多解决方案设备平台上,或者作为虚拟版本而运行。
Web 接入管理层面的安全挑战:为了保证用户轻松地接入关键的Web 应用,许多企业创建了安全性的网络。网络管理员需要更好地了解并控制网络中日益增多的应用接入用户。然而,这一要求可导致企业的IT 基础设施复杂性升高,扩展难度增大,而且费用昂贵。
F5 的安全解决方案:BIG‐IP® 接入策略管理器™ (APM) 是一个灵活的高性能接入与安全解决方案,提供了基于策略并具有上下文感知能力的用户接入,同时可以简化验证、授权和计费 (AAA) 管理。通过在BIG‐IP 上直接实现AAA 控制,您可以整合接入基础设施,降
低验证和授权成本,并同时支持数千个用户,同时保证每秒数百个用户登录。BIG‐IP APM 可作为灵活的多解决方案BIG‐IP LTM 和BIG‐IPLTM 虚拟版本平台上的一个产品模块。
应用安全方面的挑战:随着网络上的应用流量不断增加,敏感数据面临着遭受针对企业应用的漏洞攻击的风险。因此,恢复流程、法律费用以及知识产权数据丢失所带来的财务影响会非常严重。许多管理员认为他们的网络是安全的,因为他们部署了防火墙,但是,黑客可能攻击应用层,因为该层存在更大的漏洞。
F5 的安全解决方案:BIG‐IP® 应用安全管理器™ (ASM) 是一个Web 应用防火墙,可显著减少和控制数据、知识产权和Web应用丢失或损坏的风险。BIG‐IP ASM 提供了应用和网站防护,例如防止7 层DDoS 等新的Web 威胁。此外,BIG‐IP ASM 为您提供了
完整的攻击专家系统,并且可以满足关键的法规要求。
远程接入方面的安全挑战:IT 部门必须支持不断增多的移动员工的要求。保证这些用户通过不同设备并在不同位置安全、无缝地接入应用和数据变得越来越具有挑战性。IT 部门可以部署不同厂商的孤立解决方案,以促进接入、加速和优化。但随着用户数量的增多,这种孤岛式方法不仅复杂、灵活性低,而且难以管理。随着新威胁不断出现,防止未授权的接入和攻击也变得日益困难。这种费用高昂且容易出错的环境限制了成功的远程接入,并阻碍了业务增长。
F5 的安全解决方案:BIG‐IP® Edge Gateway™是一种企业接入解决方案,它将针对远程用户的SSL 虚拟专网 (VPN) 远程接入、安全、应用加速和可用性服务结合在一起。BIG‐IP Edge Gateway 将身份管理融入网络中,以LAN 的速度提供具有上下文感知的、基于策略的、安全的远程应用接入。作为行业中安全的加速接入解决方案,BIG‐IP Edge Gateway 可帮助接入关键业务应用和网络的用户实现高的性能。借助BIG‐IP Edge Gateway,客户可以轻松地使用户通过任何网络或移动设备(包括Apple iPhone、Apple iPad、Andriod、Windows Mobile 和Windows Phone 设备)更快地远程接入企业应用和数据。
