lixiarini 发表于 2015-10-10 10:52:23

畅谈网络安全之道

摘要: 习近平在访美前夕接受华尔街日报采访时谈及网络安全问题,并表明中国也是网络安全的受害者,并正面临诸多挑战。对于企业来讲,传统的安全防护手段已经不能适应新形势下的发展要求。针对此热点话题,我们有必要再次提及F5网络安全解决方案如何帮助企业应对新挑战!中国互联网安全现状然而,中国网络安全形势不容乐观,据《2014年我国互联网网络安全态势报告》显示:2014年CNCERT通报的漏洞事件达9068起,较2013年增长3倍。互联网金融,手机支付时代的到来使基础网络和新型网络产品带来的漏洞风险日益上升。如今,很多企业都将应用架设在web平台上,为用户提供更为方便、快捷的服务支持,例如网上银行、网上购物等。这些应用在功能和性能上,都在不断的完善和提高。然而树大必招风,互联网火了,随之而来的是各种形形色色、种类繁多的攻击,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。很多恶意攻击者出于不良的目的对Web服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益,让被攻击者蒙受巨大损失。 F5网络安全之道
F5作为应用交付网络领域的领先厂商,近几年来正逐步从自己熟悉的应用交付领域不断向安全领域拓展,并开始在数据中心防火墙服务、应用安全、DNS安全等领域逐步收获市场认可。2015年F5继续挺进Gartner WAF魔力象限紧逼魁首。2014年2015年统一安全架构优势和传统的安全厂商相比,F5最大的优势是其他厂商无可比拟的架构上的优势。F5的架构可以兼容很多个产品,比如让负载均衡和WAF结合,把DDoS防护、DNS安全、安全接入等融合到一个统一的平台里,同时还可以融合围绕应用交付的优化、加速、加解密、SSL卸载等功能。传统的安全产品只能解决有限的安全性问题,其他传统的保护方法试图把众多单独的产品拼凑到一起,例如拼凑起DDoS设备、DNS设备、Web应用防火墙以及负载均衡器等。这种方法增加了架构的复杂性和延时,并在网络中添加了故障点。F5提供的是一套动态的、多层次的安全解决方案,这个平台在一套通用系统架构上以软件服务方式提供了多重安全解决方案。F5的一体化安全架构不等于One Box,不等于Allin One,不等于UTM。F5的架构核心的基本点是高可用,设备分为两层,一层设备专门处理网络层,一层处理四到七层,并且链路和链路之间也是冗余的,不会出现单点故障。从运营上来说,这样的架构还会明显降低成本。传统来说,企业构建三层的防御体系,要跟很多供应商打交道,像前端的防火墙,中间的IPS/IDS,然后WAF等,运维人员至少要学五六个厂商的产品解决方案和管理界面。现在F5统一安全架构平台的综合性可以减少备件,同时减少培训并简化运营。具备全面安全防护能力F5在高感知应用的状态下,与被保护的应用互动,第一次实现防御体系和防御对象之间的配合,用最小的技术投入,增加攻击者的成本,颠覆性的解决用户防御成本的困惑。F5可以依附于客户业务数据流之上,在终端客户没有任何觉察下实现终端属性判断,阻断基于应用层的攻击。F5具有对应用协议的深刻理解,恰恰在应用层攻击盛行的当下发挥出优势。以DDoS攻击为例,7层DDoS占比已经超过一半。和网络层的DDoS攻击不一样,应用层的DDoS针对企业的弱点,无论是耗尽型的、延迟类的、或利用漏洞和Web应用弱点的,它已经成为非常有效的狙杀工具。应用层攻击也呈现出了新的趋势,对攻击者来说可能需要的资源为0。以某视频网站为例,一个很有意思的视频放在网上,短时间会带来非常大的流量访问。因为此视频网站在头像介绍这个模块下存在存储漏洞,黑客可以在里面存储一个执行脚本,当页面被访问打开的时候这个脚本会被执行一次。比如,黑客注册这个视频网站,在头像放入一个指定的攻击目标脚本,然后用他的账户发布一个热门视频,视频假如是30分钟,每一秒这个脚本会运行一次。这就是利用别的网站漏洞打击他想要的目标,受害企业看到的是视频网站大量的攻击,其实真正的攻击者隐藏了。三层防护体系针对应用层DDoS攻击显然捉襟见肘。F5的位置在所有的防护体系后面,应用服务器前端,由于我们特殊的位置有对所有的数据包筛查的能力,可以给用户一个平台,在这个平台上具有比对手更快的响应能力,有更直接的阻断攻击的方法。不只是大企业才可以负担的消费很多人会说,F5的方案虽然非常完整,能够满足各种规模企业的需求,但是相较于友商价格偏高。因此他们认为,对于成本有限的中小企业来说,F5只是大企业才能玩得起的设备。而真相往往恰好相反。对 业来说,面对有限的人力资源和资本,F5的整合方案反而更有优势。F5把用户所需的所有应用交付功能(如应用安全、应用加速、负载均衡、流量控制、访问控制等)打包到一个整合的硬件平台,而这些功能是通过License激活。企业未激活的license不需要付费;到企业想扩展的时候,可以开启license,直接无缝应用。在F5看来,企业在搭建IT后台时,不能像打补丁一样地只解决今天的问题,而是要考虑到明天及以后企业的需求。正是因为将企业可能有的需求都综合在一块,为企业考虑明天的问题,所以拥有这么多功能的F5总体算起来其实并不贵。F5的机会在云端无论是降低成本还是提升架构的灵活性,F5在安全领域拥有无限可能的施展空间。随着云时代的逐步到来,F5将拥有更大的商业机会。在未来,随着各种云的增多,如何实现虚拟化环境下防御体系的感知,在云状态下部署安全防护是未来的方向。在北美,很多客户开始向虚拟化环境转换。一般企业有一条物理的链路,比如前面是传统防火墙、IPS、WAF,后面是数据库。然后它们会建一个并行的资源池。当物理链路上的流量超过50%的时候,自动在虚拟池里建一条链路,虚拟出F5的前端的负载均衡,防火墙、IPS等,然后把50%的流量切过去。这个虚拟池可以动态的感知物理链路里面的负载,目前市场上只有F5具备这样的能力。F5安全性服务可以由专用硬件提供(即由多种设备及机架系统提供),也可以由基于软件的虚拟版本提供。并且,F5提供了大量API,iRules,iControl,iCall,iApp,可以实现软件定义的防御体系。
页: [1]
查看完整版本: 畅谈网络安全之道