应用交付网络安全性.PDFVIP

F5 NETWORKS 应用交付网络的安全性 概述 互联网已变得日益复杂，众多企业面临着恶意攻击的威胁。各个企业面临防御其基础设施免受网 络安全攻击，以及针对特定应用层攻击的挑战。每年，企业的安全成本耗资达几百万美元，其中 包括：企业收入锐减、生产效率下降，以及信誉受损。 企业应对这些威胁的传统方式，是采用防火墙来增强网络的安全性。然而经证实，这种覆盖面相 对较窄的方式不足以应对需求。尽管传统的防火墙可以保护企业免受网络攻击，但是，它们不足 以防御新型应用级攻击。企业正在寻求更多可靠、可扩展的解决方案，来扩展其安全覆盖范围、 提高保护的级别。借助应用交付网络解决方案，企业能够获得全面的安全性（无论是网络级安 全，还是应用级安全）。 本白皮书旨在探讨BIG-IP 系统如何提供全面集成的方法，保护系统免受网络级和应用级的威胁和 攻击，从而增强用户应用的整体安全性。 挑战 应用已成为当今企业经营过程的一项核心内容。应用对企业的收入有着直接的影响，因此，保护 关键业务信息免受恶意攻击至关重要，这些攻击通常包括针对应用漏洞的攻击，以及低级网络攻 击。企业在实现真正的网络和应用安全时，面临着诸多挑战，因为： 应用漏洞越来越多—— 当今的安全系统和防火墙并非智能型系统，不能检测新型的应用层攻 击，也不能单独防御此类攻击。这些设备无法确认应用的类型，它们仅是锁定/解锁某个地址、端 口或资源。这些传统设备不能对数据包进行深度检查，不能通过维持会话状态信息来检测攻击， 也不能防止应用攻击的发生。应用攻击通常包括：注入和执行受到限制的命令，cookie 篡取、获 得非法访问敏感文档和用户信息的权限。这些攻击会导致损失大量的收入，以及生产效率降低， 上述结果反过来还会影响企业的信誉。 网络漏洞越来越多—— 网络攻击变得越来越复杂和广泛。恶意用户正在寻找新的突破网站防 线、窃取有价值信息、甚至使整个站点停机的方法。诸如拒绝服务攻击、分布式拒绝服务攻击、 无序包泛滥、TCP 窗口大小篡改等复杂攻击，正给安全系统抵御大量攻击带来巨大的压力。在发 起攻击之前，黑客和恶意用户还启用了站点扫描技术（一种被称之为profiling （特性描述）的技 术），从似乎无害的源码（如服务器错误代码、源代码注释）当中检索任意系统或应用信息。 内部安全危害与信息泄露—— 当今企业所面临的其中一个最大的威胁是来自企业内部的攻 击。这些攻击难以检测和预防，因为企业内部的用户是可信域中的一部分。当今的安全系统不能 Page 1 F5 NETWORKS 灵活地部署安全策略，不能在对企业内部某些关键业务流量进行加密的同时，允许其它未加密的 非关键流量通过。企业正借助其现有解决方案努力部署高效统一的安全策略，使企业的组织机构 符合诸如萨班斯奥克斯利法案、HIPAA 以及FIPS 等安全监管标准。 解决方案 BIG-IP 系统可提供范围广泛的各种安全服务，在为企业安全提供支持方面发挥着至关重要的作 用。BIG-IP 系统可在关键网关位置进行部署，它既能添加功能强大的网络级安全策略，又能过滤 最复杂的应用攻击，从而可保护您最宝贵的资源——支持您的业务正常运行的应用与网络。作为 一款集成SSL 加密和新兴应用安全技术领域的领先产品，BIG-IP 系统能够使您的站点固若金汤， 免受各类攻击。 功能强大的应用安全性 BIG-IP 解决方案能够对整个应用的有效负载进行深度数据包检查，从而为企业提供了功能强 大的应用级安全性。凭借BIG-IP 灵活的特性集及其无可比拟的强大功能，管理员能够轻松管理并 控制其应用流量。凭借BIG-IP 系统全方位的认证、授权、审计，以及有效负载解析特性，在允许 进行会话之前，企业就能在网络边缘执行安全策略。这些特性包括： 通用检查引擎和iRule 借助BIG-IP 系统，企业可设置并执行通用应用级安全策略。借助BIG-IP 全新的增强性通用 检查引擎(UIE) 和TCL 规则(iRule) 能力，企业能够过滤并阻止应用级攻击与威胁。借助全新的 UIE 组件，BIG-IP 系统可检查整个应用的有效负载，同时也可根据连续流灵活地做出转变、坚持 执行、或拒绝执行之决定