F5DDoS防护战略及可靠和安全的配置.pdfVIP

F5DDoS防护战略及可靠和安全的配置

F5公司针对DDoS的安全解决方案是本文重点介绍的，F5BIG-IP本地流量管理器(LTM)11.1版本通过了

ICSA网络防火墙认证。这一关键认证的重要意义在于，BIG-IPLTM、BIG-IPGTM广域网流量管理器和BIG-

IPASM应用安全管理器部署在数据中心的边界，能够维持整个企业的安全状况与合规性。

随着DDoS攻击开始被有组织犯罪以发起网络攻击为威胁成为敲诈勒索小公司钱财的手

段，这个技术肮脏的一面开始显现。这些罪行日益增长的共性与英国国家高科技犯罪中心

的成立相吻合。虽然中心的任务是找到罪魁祸首的黑客，但是问题最终却是通过提升服务

器来解决，让网络罪犯无法攻克性能更强的服务器。

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式，通过使网络或应用

过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求，使服务器超负荷。阻

断某一用户访问服务器阻断某服务与特定系统或个人的通讯。而且攻击可以从更远的地方

或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

毫不夸张地说，DDoS促使了大量僵尸网络的形成。

在RSA2012大会展示的最新安全产品中，F5公司的访问策略管理器排名第一。此外，

F5应用安全方面知名产品还有F5BIG-IP应用安全管理器(ASM)，是一个先进的Web应用防

火墙，可显著减少和控制数据、知识产权和Web应用丢失或损坏的风险。F5BIG-IPASM提

供了无与匹敌的应用和网站防护，例如防护7层DDoS等最新的Web威胁，提供了完整的攻

击防御系统，并且可以满足关键的法规要求。

F5公司针对DDoS的安全解决方案是本文重点介绍的，F5BIG-IP本地流量管理器(LTM)

在11.1版本中提供了ICSA网络防火墙认证。这一关键认证的重要意义在于，BIG-IPLTM、

BIG-IPGTM广域网流量管理器和BIG-IPASM应用安全管理器放置在数据中心的边界，能维

持整个企业的安全状况与合规性。

你理解了DoS攻击的话，DDoS的原理就很简单。DDoS就是利用更多的傀儡机来发起进

攻，以比从前更大的规模来进攻受害者。一旦遭受DDOS攻击，被攻击主机上有大量等待的

TCP连接或应用访问连接、网络中充斥大量的无用数据包造成网络堵塞、受害主机没法正

常响应服务请求甚至可能死机。

F5BIG-IPLTM产品部署在主机前面，首当其冲接受正常客户端和非正常客户端的访

问，那么通过在LTM上面加固参数，就可以很好地应对DDOS的攻击。也就是说，在保护后

台服务器的同时，还能很好地提供服务。

由于BIG-IPLTM本身具有ICSA认证，因此可以将并行防火墙(三明治中的肉)折旧并淘

汰掉，从而在维持相同的整体能力、合规性和攻击防御能力的同时，大幅减少设备的数

量。BIG-IPLTM的本地防火墙服务可提供连接能力远远高于传统防火墙的网络层保护，因

此使得这一些成为可能。BIG-IPLTM最多可处理4800万条连接，在受到攻击时可以通过不

同的超时行为、缓冲区大小和其它安全性相关选项对其进行管理。

事实上，面对当前DDoS众多伪造出来的地址则很多企业显得没有办法，所以，在业界

对于防范DDoS攻击来说，大家颇感无力，防御也变得更加困难，如何采取措施有效的应对

呢？

F5BIG-IPLTM作为一个安全代理，用于防止基于网络的SYNflood和其它网络拒绝服务

(DoS)以及分布式拒绝服务(DDoS)攻击，而且它提供了控制功能，用于定义和执行基于L4

的过滤规则，以提高网络防护能力。

凭借行业领先的加密能力，BIG-IPLTM还使您能够有选择地加密数据，以保护并优化

您企业的通信。通过使用最强大的安全套接层(SSL)加密、位加密和4096密钥长度而支持先

进的加密标准算法，BIG-IPLTM作为您的关键业务资源的网关。BIG-IPLTM可用在灵活的多

解决方案设备平台上，或者作为虚拟版本而运行。

F5DDoS防御的全局配置

为什么F5BIG-IPLTM仅仅作为代理机制存在的设备，就能够扛住凶猛的DDoS攻击了

呢？我们不妨看看下面的全局配置。这里为大家介绍一下F5在防御DDoS方面的全局参数

配置，全局参数设定和配置包括动态删除连接表项、SYNCookie启动阀值、最