高防火墙管理器.pdf

BIGBIG- -IP IP 高级防火墙管理器高级防火墙管理器 产品介绍产品介绍 目录目录 2 以新应用为中心的 网络的安全性 4 BIG-IP AFM 的特性和规格 6 BIG-IP AFM 的可用性 7 BIG-IP AFM 平台 7 VIPRION 平台 8 F5 服务 8 更多信息 保护数据中心和应用保护数据中心和应用 企业依靠应用来支持内部员工的办公和外部客户的访问同时，应用和托管应用的 数据中心日益受到复杂、有针对性的攻击的威胁 F5® BIG-IP® 高级防火墙管理器TM (AFM) 是一款高性能、全代理的状态网络防火墙该防火墙可用于保护数据中心，使其免于受到基于部署最为广泛的协议（包括 HTTP/S、SMTP、DNS 和 FTP）的进入网络的入站威胁通过根据其要保护的应用来调整防火墙策略，BIG-IP AFM 简化了应用部署、安全保护和监控凭借其出色的可扩展性、安全性和简单性，BIG-IP AFM 成为 F5 应用交付防火墙解决方案的核 心主要优势主要优势 根据网络需求进行扩展 Meet借助基于 F5 业经验证的 TMOS® 架构、硬件系统和虚拟版本而构建的解决方案，满足严苛的数据中心可扩展性需求。

利用全代理防火墙提供保护 在将入站客户端连接转发至服务器之前，终止入站客户端连接，并检查其是否包含安全威胁 简化防火墙部署 利用以应用本身为导向的防火墙策略，简化安全配置和加速应用部署 针对透明度定制报表功能 快速记录时间并确定每款应用的日志配 置，以便灵活地记录日志目的地和信 息 检查 SSL 会话 完全终止 SSL 连接，以确定可能隐藏 的攻击 – 大规模、高吞吐量地进行这 一操作 确保应用可用性 预防 38 种DoS 攻击模式，确保应用可 用性和详细了解攻击状况对于特定平 台，SYN flood 保护由硬件提供1 产品介绍产品介绍 BIG-IP 高级防火墙管理器 以新应用为中心的网络的安全性 以新应用为中心的网络的安全性 由于在应用交付控制器方面有着深厚的背景，因此 F5 兼具出色的安全性和应用流畅性，能够为服务器和数据中心基础设施提供保护 应用交付防火墙应用交付防火墙 BIG-IP AFM 是 F5 应用交付防火墙解决方案的核心 – 也是行业中首款应用交付防火墙，它将网络防火墙与流量管理、应用安全性、用户访问管理和 DNS 安全性组合在一起通过将数个 BIG-IP® 模块的安全功能整合到单个平台上，F5 应用交付防火墙降低了管理复杂性和开销，并同时保持着出色的性能和可扩展性。

这款应用交付防火墙构建在 BIG-IP® 本地流量管理器之上，是市场份额最高的流量管理解决方案，能够为部署最为广泛的企业应用提供最高的应用流畅性而这，又转变为高级安全功能，例如异常延迟条件的特定应用检测 F5 应用交付防火墙在单个 平台上汇集了主要的网络 功能和安全功能 One Platform ICSA-Certified Traffic Application Access DDoS SSL DNS Firewall Management Security Control Mitigation Inspection Security 以下 BIG-IP 模块互相配合使用，构建了一款全面的应用交付防火墙解决方案： • BIG-IP 高级防火墙管理器 (AFM)—构成了 F5 应用交付防火墙解决方案核心的高级网络防火墙它能够提供大规模的全面 SSL 可见性，以及网络层和会话层分布式拒绝服务 (DDoS) 缓解 • BIG-IP 本地流量管理器 (LTM)—提供了高级的流量管理、负载均衡和应用交付 • BIG-IP® 应用安全管理器™ (ASM)—提供了应用安全性、Web 信息抓取和自动程序预防，以及 HTTP DDoS 缓解。

• BIG-IP® 访问策略管理器® (APM)—提供了访问管理、安全的远程访问和用户环境 • BIG-IP® 广域流量管理器™ (GTM)—能够防御 DNS 攻击（如 DNS DDoS 和欺骗）的大规模 DNS 解决方案此外，它还能够利用 DNSSEC 提供高性能 DNS 响应签名 (response signing) • IP 智能和地理定位—这些附加服务能够提供 IP 信誉和地理定位信息，提高环境感知安全性 以应用为中心的防火墙策略以应用为中心的防火墙策略 通过将应用交付、应用安全性、用于访问和防火墙策略组合在一起，BIG-IP AFM 加快了应用部署，简化了防火墙策略保证 2 产品介绍产品介绍 BIG-IP 高级防火墙管理器 BIG-IP AFM 围绕应用本 身来确定防火墙策略的方 向—大大简化了安全操 作 借助 BIG-IP AFM，您可以提高防火墙策略与应用本身的逻辑一致性，而不必构建基于分布或基于分段的僵化防火墙策略对于 IT 企业的运营来说，这带来了多重 优势最直接的是，应用团队与网络/安全团队之间的交互得到了最大程度地减少和优化有关应用参数（包括服务器寻址、SSL 卸载和访问策略）的详细信息现在 与安全参数（包括防火墙策略、SSL 检查和记录）紧密地联系在一起。

过去，要查找特定应用服务器的适用 IP 地址，需要将应用映射到分区，或遍历整个防火墙策略电子数据表如今，这样的日子是一去不复返了 此外，由于应用的配置与相关防火墙策略相统一，因此应用的移除也得以加速应 用被移除后，过时的防火墙策略也同时被移除 全代理安全性全代理安全性 与传统防火墙不同，BIG-IP 基于全代理架构这意味着，在将入站客户端连接转 发至服务器之前，BIG-IP 会将这些连接完全终止，检查其是否包含可能的安全威胁在确定不存在任何威胁后，才会将其转发至服务器 在相反方向，服务器到客户端的通信也被代理安装有 BIG-IP AFM 的 F5 应用交 付防火墙解决方案会过滤返回的数据，看是否存在敏感信息 – 例如会泄露网络信息进行侦查攻击的协议响应代码和私人数据（如信用卡号或社会保险号） iRules 的安全可扩展性的安全可扩展性 所有 BIG-IP 模块均可从 F5 iRules® 的功能和可扩展性中获益F5 iRules® 是一种脚本语言，包含可直接在数据平面的有效载荷上运行的 APIF5 DevCentralTM是一个拥有超过 100,000 名 F5 用户的社区，能够为用户创建和共享 iRules 提 供环境。

利用 iRules，管理员可灵活地扩展 BIG-IP AFM 的功能过去，DevCentral 为客户提供了重要的附加安全功能，其中包括下列 iRule 解决方案：3 产品介绍产品介绍 BIG-IP 高级防火墙管理器 iRule 解决方案解决方案 透明的 Web 应用自动程序保护 阻止来自自动程序（会攻击联系表）的非法请求 分布式 Apache 杀手 (Killer) 拒绝会造成 Web 服务器拒绝服务 (DoS) 的应用请求 iRules 的 DNS 黑洞 预防员工访问 DNS 级的已知恶意网站 抵御字典攻击 利用指数级退避算法限制过多的登录尝试 SSL 重协商 DoS 攻击 断开每分钟重新协商 SSL 会话超过五次的连接 B BI IG G- -I IP P A AF FM M 的特性和规格的特性和规格 BIG-IP 高级防火墙管理器是一款全代理状态防火强，能够提供高级网络保护 防火墙防火墙 协议异常检测 是 L4 DoS 和 DDoS 保护 是 SSL DoS 和 DDoS 保护 是 DNS 和 DDoS 保护 是—含 BIG-IP GTM HTTP DoS 和 DDoS 保护 是—含 BIG-IP ASM 覆盖的 DoS 攻击类型 38 SSL 检查 是 IP 声誉和地理定位 是—包括识别 Tor 出口节点/匿名代理、恶意软件和命令与控制 (C&C) 服务器（单独许 可） IPsec 站点到站点 是 密钥输入 (keying) 方法 手动、互联网密钥交换 v1 (IKEv1) 身份验证方法 预共享密钥、RSA 签名 Diffie-Hellman 组 1, 2, 5, 14, 15, 16, 17, 18 加密算法 3DES、AES-128、AES-192、AES-256、AES- GCM-128、AES-GCM-256 哈希/HMAC 算法 SHA-1、AES-GMAC-128、AES-GMAC-192、AES- GMAC-256 4 产品介绍产品介绍 BIG-IP 高级防火墙管理器 平台特性平台特性 多租户 是—需要vCMP功能模块 高可用性 是—主动-被动或主动-主动 SSL VPN 远程访问 是—需要 BIG-IP APM 扩展和性能扩展和性能 VIPRION 4800 (8 x B4300) VIPRION 4480 (4 x B4300) VIPRION 2400 (4 x B2100) BIG-IP 11050/11000 BIG-IP 10200v 最大防火墙吞吐量 640Gbps 320Gbps 160Gbps 44Gbps/24 Gbps 80 Gbps 每秒连接数 880 万 480 万 180 万 110 万 850,000 最大并发连接数 2.88亿 1.44亿 4800万 2400 万/3000万 3600 万 BIG-IP 8950/8900 BIG-IP 4200v BIG-IP 6900 BIG-IP 3900 最大防火墙吞吐量 20Gbps/ 12 Gbps 10Gbps 6 Gbps 4Gbps 每秒连接数 810,000/ 360,000 250,000 250,000 158,000 最大并发连接数 1200 万 1000万 600 万 600 万 BIG-IP 2200S BIG-IP 2000S BIG-IP 3600 BIG-IP 1600 最大防火墙吞吐量 5 Gbps 2.5Gbps 2 Gbps 1 Gbps 每秒连接数 135,000 67,000 59,000 36,000 最大并发连接数 500 万 250 万 300 万 300 万 5 产品介绍产品介绍 BIG-IP 高级防火墙管理器 B BI IG G- -I IP P A AF FM M 的可用性的可用性 BIG-IP 高级防火墙管理器可与其它模块绑定在一起，支持特定的应用交付防火墙 使用案例，如下所示。

捆绑包名称捆绑包名称 BIG-IP AFM BIG-IP LTM BIG-IP ASM BIG-IP APM BIG-IP APM- lite (10 users) 应用交付防火墙 ✓ ✓ ✓ 应用交付防火墙和应用安全性 ✓ ✓ ✓ ✓ 应用交付防火墙和访问管理 ✓ ✓ ✓ ✓ 应用交付防火墙、 应用安全性和访问管理 ✓ ✓ ✓ ✓ ✓ 高级防火墙管理器 插件（针对已经安装了 BIG-IP LTM 的系统） ✓ 注：所有 BIG-IP AFM 许可均包含协议安全性、路由和最大 SSLIP 智能和地理定位插件面 向所有捆绑包提供 6 7 产品介绍产品介绍 BIG-IP 高级防火墙管理器 BIG-IP AFM 平台 BIG-IP AFM 平台 BIG-IP 高级防火墙管理器可作为一个插件模块提供，以与任意 BIG-IP 平台或 BIG-IP LTM 虚拟化版本 (VE) 上的 BIG-IP 本地流量管理器集成有关物理规 格的详细信息，请参阅《BIG‑ IP 系统硬件数据表》 11000 系列 4000 系列 10000 系列 8900 系列 3900 系列 3600 系列 6900 系列 2000 系列 1600 系列 BIG-IP AFM VE VIPRION 平台 VIPRION 平台 BIG-IP 高级防火墙管理器也可作为模块化 VIPRION® 系统上 BIG-。