觀點

F5 Networks經認證的防火牆可協助公開網站抵禦大規模網路攻擊

2012 / 02 / 20
本篇文章內容由廠商提供,不代表資安人科技網觀點
F5 Networks經認證的防火牆可協助公開網站抵禦大規模網路攻擊

(台北訊2012年2月)全球應用交付網路(Application Delivery Networking; ADN)領導廠商F5 Networks宣佈最新版本的F5 BIG-IP 產品家族已經通過 ICSA 實驗室認證做為網路防火牆,能夠協助客戶保護它們的的公開網站服務免受現今大規模網路攻擊。與業界類似的解決方案相較,這款新認證的解決方案能夠以同樣成本處理八倍的流量。

F5台灣暨香港區董事總經理許卉嫻表示:「F5提供了一組全新的、智慧的解決方案來保護公開網站資產和 DNS 服務,使其免受網路攻擊。許多全球最大最知名的公司正在使用F5的BIG-IP解決方案來保護它網路資產,以免因為巨大流量成為惡意攻擊的目標。這一解決方案的另一優勢在於它能夠提供比傳統防火牆更高的性價比。」

F5解決方案的獨特優點是能夠在BIG-IP 應用交付控制器 (ADC) 上部署絕佳安全功能。BIG-IP應用交付控制器提供業界領先的智慧流量管理和優化功能,此次認證的防火牆解決方案是 F5 全面性安全架構的主體,可支援客戶部署統一的安全戰略。企業客戶能夠領先在單一、靈活、可擴展的BIG-IP平臺上保護其網路、資料、協定、應用和使用者。

詳細資訊

傳統網路防火牆的漏洞是導致服務中斷和資料外洩的主要原因,進而嚴重影響業務收入、損害公司聲譽和帶來監管罰責風險。

傳統的安全解決方案嘗試將網路防火牆、DDoS 設備、DNS 設備、網路應用防火牆和基本 ADC 等產品合併使用。這種部署方式不僅增加了網路複雜性,而且還會導致網路延遲和多點故障。更嚴重的是這些不同的解決方案無法收集來自不同攻擊向量的資訊,留下安全盲點並使企業無法提供完整的防護。

Infonetics 首席安全分析師 Jeff Wilson 表示:「許多企業發現流量採用 SSL 加密後,通過 TCP/IP 第三層或第四層的網路防火牆時他們無法有效防禦應用層攻擊。由於缺乏檢查整個協定堆疊所需的可視性和智慧性,傳統的防火牆無法防禦現今日益複雜的大規模分散式攻擊。此外,針對當前 DDoS 攻擊中常見的每秒數百萬次請求,許多網路防火牆的連接能力也遠遠不足。」

應用與服務的最佳防護方案

BIG-IP 解決方案大大超越了傳統網路防火牆的種種限制,支援客戶:
- 將硬體和維運成本降低多達 50%
- 全面執行安全偵測服務,防禦超過 30 種網路和應用層的 DDoS 攻擊
- 針對尚未顯現的安全漏洞的威脅快速回應新安全政策,降低風險
- 防止惡意網路攻擊所造成的收入損失以及對公司信譽的損害

BIG-IP 平臺第 11.1 版包括眾多模組,可作為獨立或分層解決方案進行部署,提供強化的DNS 伺服器保護、高度可擴展的網路存取管理能力和單點登錄服務。此外,它還能動態建置應用安全政策支援客戶從漏洞掃描工具獲取的資料。

F5防火牆解決方案的優越特性:

- 高度擴展性 - BIG-IP 設備每秒能夠支援 280 萬條連接,是現有解決方案 8 倍。目前現有的解決方案每秒僅能支持 36 萬條連接。
- 高延展、高適應性平臺 – 使用 F5事件驅動式(event-driven) iRules?描述語言智慧型的設定功能,讓企業的網路與應用團隊可快速建構新的服務,完成最佳的攔截、重組與導引應用流量傳遞。
- 漏洞評估 –BIG-IP Application Security Manager? 領先的網路應用掃描工具,包括 WhiteHat Sentinel、IBM Rational AppScan、Qualys QualysGuard WAS 和 Cenzic Hailstorm,降低存取和移轉時的漏洞威脅。

- DNS 保護 – BIG-IP Global Traffic Manager? 提供了出色的安全性、可擴展性、性能和控制能力,有助於保護 DNS 基礎設施免受可能導致 DNS 中斷和降低生產力的攻擊(如 DDoS、DNS 回應劫持和快取記憶體下毒等)。

- 高效能與靈活存取 – F5 VIPRION 高效能主機上的 BIG-IP Access Policy Manager 能夠充分採用全球最快的 ADC優勢,提供端點檢測、多重用戶身份驗證、L3–L7 存取控制和單點登錄等功能。

- 情境感知– 由於 BIG-IP 熟悉應用協議,因此能夠檢測出異常的應用行為和阻斷對應的流量。

- 專業認證 – ICSA 實驗室專精於安全解決方案認證,全球客戶均可依賴其獨立、客觀的評估和產品保證。客戶可以信賴經過 ICSA 認證的 BIG-IP 產品,滿足特定和客觀的測試標準並提供強大的安全保障。

- 龐大的社群參與 – F5 的 DevCentral? 線上社群彙集全球超過 90,000 名應用開發人員、網路和IT專業人員,提供了大量實用的解決方案,協助解決不同團隊之間常存在的認知差異。

這次網路防火牆的認證與BIG-IP V11版本的發佈是建構在F5 的動態資料中心願景,BIG-IP V11是以一個統合的平台協助保護Web 2.0應用與資料、維護DNS基礎設施安全、以及建立集中化的應用存取和政策管控。同時,首次在ADC範疇獲得認證的新網路防火牆,讓F5 針對 BIG-IP 網路應用防火牆和 SSL VPN 解決方案的現有之ICSA 實驗室認證更充實圓滿。

證言

FishNet Security 解決方案架構副總裁 Dan Thormodsgaard 表示:「我們的客戶包括能源、金融服務、政府、醫療和零售業等,日益攀升的 web、網路、DDoS 和 DNS 攻擊已經成為他們最憂心的安全問題。BIG-IP 為我們提供了一個單一平臺以交付應用和快速回應阻擋不斷變化的威脅,為我們的客戶提供了更高的價值。高效能資料中心防火牆服務和單一平臺 ADC 的智慧整合,能夠有效防止新一波瞬息萬變的強烈攻擊。」

全球領先的 IT 安全供應商 Integralis 的解決方案總監 Alastair Broom 表示:「我們的客戶告訴我們,應用程式、DNS 和網路的攻擊是他們主要的安全考量。將高性能資料中心防火牆服務作為 BIG-IP 應用交付網路平臺的一部分,有可能引起有急迫網路需求的企業對 F5產生強烈的興趣,將有效的反制措施放到正確的位置,來保護他們以防禦當今兇猛的網路攻擊。”

ICSA 實驗室技術計畫經理 Brian Monkman 表示:「F5 的 BIG-IP 一款最近通過認證的網路防火牆產品,證明了 F5 正積極致力於成為應用交付網路領域的安全領導廠商。」

上市情況

BIG-IP 資料中心防火牆解決方案現已上市,採用最新的BIG-IP 11.1版本。該解決方案基於 BIG-IP Local Traffic Manager? (LTM),可根據客戶需求而靈活拓展多個BIG-IP 軟體模組。為了幫助企業提供額外的DNS 基礎設施保護,BIG-IP LTM 還可以與 DNS Services 模組以及 F5 的其它相關 ADC 產品共同部署。

BIG-IP 產品家族經過 ICSA 實驗室的網路防火牆認證,由多個產品組成,包括 BIG-IP LTM、Global Traffic Manager?, Access Policy Manager, Application Security Manager?, WebAccelerator? 和 WAN Optimization Manager?。這些產品現已上市,可共同部署。

支援資源

- F5 BIG-IP Data Center Firewall – 概述 
- BIG-IP Data Center Firewall Solution – SlideShare Presentation 
- High Performance Firewall for Data Centers – 解決方案報告 
- The New Data Center Firewall Paradigm – 白皮書 
- Vulnerability Assessment with Application Security – 白皮書 
- F5 Security Vignette: Hacktivism Attack – 影片 
- F5 Security Vignette: DNSSEC Wrapping – 影片