第十三章 F5 新型数据防火墙(下一代防火墙).pdf

白皮书 新型数据中心防火墙 如今，位于数据中心边界的大量传统状态安全设备都面临 着日趋复杂、频繁和多样化的网络攻击。以F5 BIG-IP LTM 本地流量管理器所提供的防火墙服务为基础的全新的数据 中心架构，既能够有效地抵御现代攻击，又可以节省大量 的建设成本(CapEx)。 Lori MacVittie 高级技术营销经理 David Holmes 高级技术营销经理 白皮书 新型数据中心防火墙 目录 简介 3 防火墙的限制 4 新型数据中心架构 6 本地应用协议的流畅性 8 高级DNS保护 9 高级 应用保护 web 9 Web接入管理 10 累计收益 10 总结 11 2 白皮书 新型数据中心防火墙 简介 在大部分企业中，防火墙都是网络与应用服务的第一道防线。防火墙一直是构建传 统网络安全架构的首要基础。对关键业务服务的有效保护主要是通过简单而强大的 访问控制工具——数据中心防火墙所进行的访问控制来完成的。 传统架构已经走向成熟，因此许多安全标准都要求部署经认证的防火墙。例如，任 何处理信用卡号的数据中心均必须符合支付卡行业(PCI)标准，而该标准要求安装 一个网络防火墙。 行业审计师所参考的公认标准是国际计算机安全协会 PCI (ICSA) 的网络防火墙标准，该标准定义了可用于处理信用卡的少数防火墙。这一合规性要 求强调了使用成熟的数据中心防火墙架构的重要性。 但成熟意味着使用时间较长，而数据中心防火墙已经开始显露出自身在检测和抵御 现代攻击方面的局限性。针对应用层或网络层的攻击正在导致这些昂贵的状态防火 墙发生故障，并且此类攻击的数量正在不断上升。 由攻击引起的防火墙故障 100 ) 80 % ( 64% 量 58% 数 60 的 者 40 42% 36% 查 调 受 20 0 网络层 应用层 报告故障 由攻击引起 的比例 未报告故障的比例 ( ) 图 在 公司于 年进行的调查中，很多受调查者都表示他们遇到过因应用层或网络 1: Applied Research 2011 1 层攻击而引起的状态防火墙故障。 1 Applied Research公司2011年ADC安全研究 3 白皮书 新型数据中心防火墙 如果考虑到攻击者所面临的有利情形，这些防火墙故障更加令人担忧。虽然匿名攻 击和LulzSec攻击已得到行业的密切关注并且需要攻击者进行预先规划，但现在的 许多攻击都不需要进行这样的准备，因为攻击者可以利用所创建的庞大资源池来攻 击所选定的目标