科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全F5:立足市场 推出可编程防御架构维护企业网络安全

F5:立足市场 推出可编程防御架构维护企业网络安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2015年4月21日与4月23日,F5公司在北京、上海两地成功召开“F5 2015 Agility 高峰论坛”。同时,在此论坛上,F5与曙光举行了战略签约仪式,合作为用户带来更好的产品和解决方案。

来源:ZDNet安全频道【原创】 2015年5月11日

关键字: F5 网络安全 安全架构 曙光

  • 评论
  • 分享微博
  • 分享邮件

2015年4月21日与4月23日,F5公司在北京、上海两地成功召开“F5 2015 Agility 高峰论坛”。此次论坛旨在探讨在IT应用模式发生剧变的今天,网络、应用服务供应商应如何改变单一的服务模式,以求保障客户网络安全以及满足客户需求,并最终提升自己的运营效率与效益。同时,在此论坛上,F5与曙光举行了战略签约仪式,合作为用户带来更好的产品和解决方案。

F5是应用交付网络的厂商,致力于帮助全球大型的企业和服务提供商实现虚拟化、云计算和“随需应变”的IT的业务价值。在2014年的RSA亚太及日本大会上F5表示,“F5在以数据中心为目标的应用交付的市场里已经处于绝对的优势了,现在F5正在向包括安全在内的更多领域迈进,因为那是一个更广阔的蓝海。”F5虽然其一直是一个低调的厂商,但在安全领域却是大刀阔斧。

在“F5 2015 Agility 高峰论坛”上,F5亚太区高级安全架构师金飞,以F5的Reference Architecture参考架构作为引题,表达了F5在安全领域的一些理解,同时分享了F5的案例。

F5:有独到看法,更有可靠行动

F5亚太区高级安全架构师金飞

  • 理解安全:立足市场情况提出独到看法

F5进驻中国15年来,对中国的安全市场也有自己的看法和行动。

安全是在整个IT环境中最重要一个领域,现在的安全跟以往有很大的区别,安全问题日新月异,金飞表示, 其实,黑客才是这个行业的引领者,决定着行业的发展方向。黑客新特点是拥有了统一的攻击平台,他们可以在攻击平台上真正实现发出多层次攻击的流量,这让原本为了“炫技”黑客转为被利益驱动,其攻击行为更有破坏力。这意味着,黑客的攻击方法和热点目标直接引导了安全行业的走向。安全厂商主要的就是跟黑客进行时间赛跑,只有跑赢才能用最小的时间弥补攻击产生的危害。金飞表示,面对业界需要的快速弥补攻击的需求,F5核心竞争力是可编程的防御架构Silverline。

安全另外一个最重要的问题就是应用复杂度。面对BYOD和物联网化,会有越来越多复杂的内容加入到原有的简单架构里,后面的应用服务器也随之复杂起来, IT架构变得非常难于控制,此时若遭受黑客的攻击,那么运维的难度可想而知。诚然,IT基础架构以及用的所有软件体量已经到了超乎想象的情况,其复杂度和代码量都达到了前所未有的高度,再也绝不是简简单单的原代码审计就可以发现攻击、弥补漏洞了,这是为什么现在安全问题变得如此复杂的根源,但如何应对复杂性又是一个问题,我们需要做什么呢?

  • 维护安全:可编程防御架构拿出实用办法

金飞认为,一定要基于原有的知识以及变化,重新思考安全。细化介绍了F5理念,以及F5可编程防御架构的应用。

传统的三层网络防护架构,即便按照我国基本的防护架构构建,设计了防御机制,也不一定安全,因为三层架构只能保证合规,但合规和安全是两个层次的问题。黑客的攻击基本都是用原代码进行的,而用户用策略做的防御抵挡不了混合攻击流量。而如果在防火墙放一层F5的设备,由F5给传统防火墙做均衡,在此同时还能保证系统性能,网络安全就会有大不同。从技术角度来讲,F5是一体化安全架构的理解,完全可以替代所有前面的防御产品和思路,但由于存在合规的需求,并不建议由F5替代三层网络防护架构。

举例来讲,DDos是非常普通的攻击方式,其有一个非常大的特点是,全世界一半以上的DDos(分布式拒绝服务攻击DDoS:Distributed Denial of Service)发起方式来自中国,同时间中国又是全球DDos84%的目标,说明两个问题,一,我们的资源的防护很差,二是我们的商业模式足够丰富,目标足够丰富。DDos目标的行业最大的是银行,银行也是未来信息安全对抗的一个最重要的领域,因为银行同互联网公司只需提供有损服务,只要求保证80%以上的用户上线支撑其商业的模式不同,银行要提供的是无损服务。而七层DDos攻击就像狙击手,有最直接的攻击效果。而F5能在一个平台上解决所有层的DDos攻击。F5的 Advanced Firewall Manager (AFM) 提供62种网络层DDos,相当于F5在中间、服务器之间扮演中间员角色,把所有数据包拆到七层,每一层解决不同的攻击。同时,在F5教育架构里有一个七层防御机制,可以防护掉七层的高层DDos,金飞举例称,七层防御机制的原理是,不管是一个人,还是一个恶意软件通过服务器提出请求,F5都响应,不会提示安装插件和感受任何异样,如果是人控制浏览器就是安全的,如果是恶意软件就能被感知。

F5的思路是,任何针对于数据中心的DDos攻击,对于攻击者来讲,是无限资源的一种攻击模式,而数据中心无论你去怎样扩容,都是有限资源的一种对抗模式。所以基于互联网的这种DDoS攻击是一种有限资源和无限资源的对抗。而F5基于云端的安全服务实际上是提供了一个足够大的资源池,在全世界的四个数据中心可提供最大2TB级的带宽容量,以按需分配的引导模式,把流量引导到云端平台清洗,最后把干净的安全的流量返回到用户本地的数据中心,变成了无限资源对无限资源的制衡。

F5的可编程防御架构,就运用了原来是做负载均衡的iRules(F5基于TCL语言的定制脚本扩展模块)来做安全,用来抵御这种特征攻击,拥有有独到的优越性。同时,金飞表示,F5是软件的公司,其最有价值不是任何一款产品,而是操作系统,但F5的软件和硬件非常容易剥离,其软件和硬件相辅相成,相得益彰。

  • 面向市场:主动服务客户满足用户需求

F5在安全服务上也做的很及时,会在安全漏洞发生的第二天,主动向全行业的客户,无论地域,用推送式的服务提供iRules脚本,用户只需部署脚本在设备上,就可以迅速且有效的阻断这种攻击。

F5作为在华耕耘多年、并且深受用户信任一线厂商,同样也积极顺应市场变化,金飞表示,云实际上是一个虚拟化的过程,对于防御架构来讲,最重要的就是防御架构能不能虚拟化,能不能融入到云的环境当中,融入到公有云、私有云或者混合云的混合架构中,这是对于原有的安全厂商最大的挑战。F5未来也将顺应云服务发展,将其作为一个重要的发展方向。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章