白皮书保护企业网络周边安全——部署F5的BIG-IP系统,确保为企业提供广泛的应用及网络安全综述如今,随着互联网的复杂性日益增加,企业的漏洞也面临越来越多的恶意攻击。企业组织也不得不寻找各种方法保护他们的基础架构与应用层免受攻击。每年,由于网络安全漏洞使公司遭受上百万的美元的收入、生产力及声誉损失。过去,企业一直习惯于利用防火墙来提高企业网络安全。但是,这已经不能再满足当今网络的需要了。虽然防火墙可以阻止对企业网络的攻击,但却不能阻止对企业应用层的攻击。因此,企业开始寻找更可靠、且可扩展的解决方案来保护他们的网络安全,并提高保护级别。作为应用流量管理解决方案,F5公司的BIG-IP®系统可为企业提供最佳的解决方案,使企业网络具备网络及应用层的双重安全。本《白皮书》旨在说明BIG-IP系统是如何为企业提供全面及完整的网络及应用安全解决方案,防止潜在的应用及网络层威胁与攻击,增强企业网络的全面安全。应用挑战现在,应用系统已经成为企业商业活动的核心。鉴于其对企业收入的直接影响性,除防止一些低级网络攻击外,保护企业应用系统漏洞及关键信息免受恶意攻击是至关重要的。目前,企业若想获得真正的网络及应用安全,面临着众多的挑战,这是因为:应用系统漏洞日益增多:——现今的安全系统与防火墙已不能够检测出、也无法抵挡各种新型应用层攻击了。这些安全设备都忽视了应用层安全,而仅仅实现对某一地址、端口或资源的锁定或解锁。他们无法对数据包进行深层检查,且无法保持会话状态信息以检测并保护应用系统免受攻击。应用层攻击通常表现为注入及执行受限命令、cookie篡改、或非法获取敏感文件或用户信息。这些攻击将导致企业收入及生产力的巨大损失,给企业的声誉带来极大的负面影响。日益增多的网络漏洞——网络攻击日趋普遍、日渐复杂。恶意攻击的方法也不断翻新,他们穿过网站的防御系统,盗取有价值的信息、甚至击溃整个网站。诸如拒绝服务(DoS)、分布式拒绝服务(DDoS)、无序包泛滥(outoforderpacketfloods)及TCP窗口尺寸干预(TCPwindowsizetampering)等复杂的攻击对企业的安全系统构成极大的压力,他们必需保护企业应用免受海量攻击而导致的网络瘫痪。黑客与恶意攻击者通常在开始攻击前,首先扫描网站(即:攻击信息归档[profiling]),从看似无害的资源中获取系统或应用信息,如服务器错误代码及源代码注释等。内部安全漏洞与信息漏洞——目前,企业面临的最大威胁之一就是来自企业内部的安全攻击。由于内部用户是受信任域的一部分,因此很难被检测并防止此类攻击。现在的安全系统都无法为企业提供灵活的安全策略部署,在允许其它无需加密的非关键流量通过的同时,对企业内部的某些商业关键流量进行加密。因此,企业用户一直在寻找一种有效又统一的安全策略,可利用现有的解决方案,使企业网络的安全性达到诸如:Sarbanes-Oxley,HIPAAandFIPS等国际安全标准。解决方案BIG-IP系统为企业用户提供多种安全服务,在增强企业网络的安全性中起到至关重要的作用。将BIG-IP系统部署在通往企业重要资源(支持公司业务运行的应用及网络)的关键网关处,即可为企业网络增加强大的网络级安全策略,同时过滤最复杂的应用攻击。作为集成的SSL加密及一系列应运而生的应用安全技术领域的领导者,BIG-IP系统可加固企业网络安全,抵挡各种类型的攻击。强大的应用安全BIG-IP解决方案可对整个应用系统的有效载荷进行深层数据包检查,从而大大增强了企业应用层的安全性。利用其灵活性与无可比拟的能力,为网络管理员提供管理与控制应用流量的强大工具。全面认证、授权、审计及有效载荷的解析功能,使企业在允许某个会话前,在其网络边缘处执行安全策略。性能如下:通用检查引擎与iRules™企业用户可利用BIG-IP系统来设置与执行普通的应用层安全策略。利用BIG-IP的新型及增强的通用检查引擎(UIE)与TCL规则(iRules)能力,企业用户可过滤及阻止应用层攻击与威胁。新型通用检查引擎使BIG-IP系统在连续应用流的基础上对全部应用有效载荷进行检查,为决策(如:交换、持续或拒绝)提供更多的灵活性。企业用户可以使用标准编程接口,如TCL语言,来建立iRules,创建与企业安全方针一致的安全策略,从中体验它的灵活性和强大的功能。设定安全策略后,就可以把它分配给某一个简档(一个图形用户界面(GUI)的新功能,可以简化部署并且能够重复利用)。二者共同使用即可为企业的应用流量提供无可比拟的控制与保护。认证与授权BIG-IP系统可利用网络边缘的认证功能,将网络周边的安全提高一个级别,从而增强了企业应用的安全性。高级客户机认证(ACA)模块为各种类型的IP流量提供一个认证代理,起到网站岗哨的作用。与(可提供认证机制库的)可插入认证模块(PAM)引擎联合使用,ACA模块可卸载服务器的关键认证处理,以降低消耗服务器资源的认证管理。ACA模块兼容各种授权机制,如LDAP,RADIUS及TACACS+。在递交客户证书时,BIG-IP系统可在接收证书并将数据转向一个目标服务器前,利用证书撤消清单(CRL)或在线证书验证状态协议(OCSP),对该证书的撤消状态进行评估。BIG-IP设备还可担当凭证管理中心(CA)的角色。通过其密钥管理系统(KMS),BIG-IP可为企业用户提供一个集中且简单的方法来生成管理与执行客户机/服务器的密钥与证书。在网络层巩固与执行认证可降低应用与服务器的负荷,并可使企业无需再逐个为成百上千的应用部署认证系统,且省时省力。应用与内容过滤BIG-IP系统,利用其强大的通用检查引擎及可自定义的基于策略的iRules引擎,为企业用户提供一种功能强大的执行安全策略的方法。BIG-IP解决方案中提供的应用与内容过滤功能使企业用户可通过定义穿梭于其服务器的流量,执行积极的安全模块。利用此独特的功能,对应用有效载荷内部的数据包及会话流进行深层检查,因此,BIG-IP系统可在保护企业重要资产的同时,不仅可阻止对记录/目录、受限命令的非法访问,还可阻止对应用服务器中敏感文件的非法访问。同时,BIG-IP系统还可根据受限或黑名单中的网站列表对内容进行过滤,并协助企业用户执行安全策略。Cookie加密与认证此强大的功能使企业用户可以对应用流量中的cookies进行加密及认证,如此可阻止黑客获取cookies来发动应用攻击。激活cookies加密与认证,黑客就无法通过读取cookies而获取JSessionIDs及用户身份信息,并随后更改cookies以建立非法会话。BIG-IP系统为企业的有状态应用系统提供出色的保护,使其免受会话劫持、及cookies篡改等利用cookies内容重写对关键应用漏洞发起的攻击。SSL加速与加密繁重的SSL流量会导致处理瓶颈,即使是功能最强大的设备也会因此而瘫痪,从而导致服务或应用的整个安全性能遭受巨大的影响。另外,若无法保护应用在SSL协议中的私人密钥,就会导致将用户与服务安全置于危险境地。BIG-IP系统中使用的集成的SSL加速模块,不仅可增强SSL计算资源,还可集中密钥管理。BIG-IP设备拥有市场上最快最安全的加密运算法则。BIG-IP系统向企业用户提供高级加密标准(AES)及一种128、192或256位(可选的)区块加密的对称加密法,以此来进一步提高企业网络安全保护级别,并使其获得符合企业需要的真正的安全性。通过AES及SSL处理,BIG-IP系统在无需额外增加成本的基础上,为用户提供目前市场上最安全的SSL加密运算法则。日益增强的网络及基础架构安全BIG-IP系统为企业用户提供强大的网络层安全,进一步提高其安全性,保护其免受最严重的网络攻击。BIG-IP设备拥有独特的UIE及可编程的iRules语言,为企业用户提供针对网络有效载荷的完整可视性,以便使用户更为简便的管理及执行其安全策略。除对普通网络攻击、DoS、DDoS攻击、及协议篡改攻击的防御外,再加上BIG-IP系统的数据包过滤功能,为企业用户提供无与伦比的安全性,从而在促进企业生产力与收入提高的同时,又降低了拥有成本。BIG-IP系统依靠下列特性提高了网络及基础架构的安全性:缺省的拒绝访问BIG-IP系统是一种缺省的拒绝访问设备,如非管理员指定类型的流量,BIG-IP系统将拒绝其通过。如此可极大的增加网络的安全性,而只有符合管理员指定类型的流量可通过BIG-IP系统。自动防御BIG-IP的软件拥有无数的内置程序,可保护企业网络免受普通攻击。它可忽视直接子网广播,且不响应常用于Smurf及Fraggle攻击的广播ICMP请求。BIG-IP设备的连接表与现有连接保持一致,如此,诸如LAN攻击等中的虚假连接就无法传递给服务器。BIG-IP系统可查验帧定位的正确性,以防止普通片段储存攻击(Teardrop,Boink,Bonk及Nestea)。此外,通过端口的缺省封锁即可阻止其它攻击(WinNuke,Sub7,与BackOrificeusage)。由于BIG-IP可重新组合TCP重叠片段及IP碎片,企业网络可阻止日趋普遍的新型未知攻击。SYNCHECK™SYNflood是拒绝服务攻击中的一种,此类型的攻击旨在耗尽系统资源,使其无法建立合法连接。BIG-IP系统的SYNCHECK的特性就是代表服务器发送cookies至请求客户机、不记录连接的状态信息使其无法完成初期的TCP交握,以此来减缓SYNfloods攻击的影响。此独特的性能确保服务器仅处理合法连接,且不消耗BIG-IP的SYN队列,如此,即可继续正常的TCP通讯了。SYNCHECK的特性是BIG-IP系统DynamicReaping特性的补充,在DynamicReaping处理已经建立的连接的泛滥时,SYNCHECK处理新建连接的泛滥,以防止SYN队列被耗尽。SYNCHECK与高性能的syn-cache一起使用,企业用户即可在不损失TCP选项的情况下使用syncookies。DoS与DynamicReapingBIG-IP软件中有两个全局设置,提供了在特定情况下清除相应连接的功能。为防止拒绝服务(DoS)攻击,企业用户可以指定一个低临界值与一个高临界值。一旦到达低临界值,系统开始清除接近超时时间的连接。到达高临界值,系统不在接受新建连接请求,只允许已经建立的连接通过BIG-IP系统。这个临界值为内存的利用率,一旦内存利用率达到此临界值,就不再接受连接请求了,直到内存利用率降到低临界值以下。虚拟服务器上的连接限制BIG-IP系统允许网络管理员限制虚拟服务器上最大并发连接数。这样另一防御层即可抵御诸如拒绝服务(DoS)等攻击。协议无害处理此功能使企业用户得以保护他们的网络免受利用IP协议篡改发起的攻击,以防止服务器资源耗尽及网站瘫痪。BIG-IP系统作为安全防御的第一线,可阻止包括无序包泛滥、MSStinypacketfloods、TCP窗口尺寸干预等攻击,切断客户机与服务器间的TCP连接。BIG-IP设备可过滤客户机与服务器间的通讯,查找入侵攻击样式及异常,并对服务器与应用的流量进行过滤。数据包过滤BIG-IP系统的增强数据包过滤引擎可对数据包进行深层检查,并在高级数据包过滤器规则基础上,使网络管理员可以接入、丢弃或拒绝(将“管理员禁止”的各种代码退还给发送源)流量。数据包过滤器规则可执行第四层过滤,根据安全策略允许受信任流量通过,及处理其它特定的流量类型。现在,企业用户可使用兼容IPV4或IPV6的数据包过滤器,不仅能提供基本的防火墙功能,还进一步提高周边安全。根据数据包的源或目的IP地址、源或目的端口号(支持端口的协议)、及数据包类型(UDP、TCP或ICMP)对数据包进行过滤。数据包过滤可保护企业网络免受IP欺骗(IPSpoofing)、伪造TCP标记攻击等入侵攻击。审计与日志BIG-IP系统强大的日志功能可记录由于意外环境或无效参数(如:陆地攻击(Landattack)、Smurf攻击、badchecksums、未经处理的IP协议数或版本等)而导致的数据丢弃的相关事件