F5套用安全管理器

保護網路與套用，提高用戶接入能力，最佳化性能，並降低管理複雜性。

特性

· 防止入侵，並保護敏感數據

· 簡化接入控制、套用安全與規範監管管理

· 通過自動接入與更高性能提高工作效率

· 通過整合與簡化安全管理而降低成本

保證網路安全性、快速和可用性對於業務的成功至關重要。安全違規可能導致工作效率降低、失去機會和成本升高。這些有害的情況也會損害企業的信譽，並降低客戶的信任度。

對驅動業務發展的基於網路的套用提供保護

挑戰

許多網路級安全威脅與套用所使用的相同協定的不正當使用直接相關。為了保證套用的安全，可以嘗試追蹤並修補明顯的漏洞。也可以部署單獨的解決方案，專用於保護套用安全，但這些解決方案並不能增強性能或簡化控制。

主要優勢

· 控制惡意攻擊，同時支持合法用戶

· 防止敏感信息和通信受到安全威脅

· 利用高可用的套用提高工作效率

解決方案

圖1：BIG-IP本地流量管理器通過物理平台或虛擬版本而實現高可用性，並防止基於網路的威脅。

BIG-IP本地流量管理器提供網路安全保護

F5 BIG-IP本地流量管理器 (LTM) 套用交付控制器有助於基於網路的套用與數據的安全，同時提供一個戰略控制點，提高套用性能。從強大的網路級和協定級安全到套用攻擊過濾，BIG-IP LTM為套用提供了一套安全服務。

BIG-IP LTM作為一個安全代理，用於防止基於網路的SYN泛洪和其它網路拒絕服務 (DoS) 以及分散式拒絕服務 (DDoS) 攻擊，而且它提供了控制功能，用於定義和執行基於L4的過濾規則，以提高網路防護能力。

憑藉行業領先的加密能力，BIG-IP LTM能夠有選擇地加密數據， 以保護並最佳化通信。通過使用強大的安全套接層 (SSL) 加密、位加密和4096密鑰長度而支持先進的加密標準算法，BIG-IP LTM作為關鍵業務資源的網關。BIG-IP LTM可用在靈活的多解決方案設備平台上，或者作為虛擬版本而運行。

提供網路與套用接入，同時保證安全

挑戰

提供網路與套用接入對於提高員工的工作效率和提供有價值的客戶服務至關重要。為了保證用戶輕鬆地接入關鍵的Web套用，例如針對內部的OSS系統，或者針對合作夥伴的CRM接入，許多運營商創建了安全性最低的網路訪問方式。儘管這些系統可以自動記錄用戶的IP位址，或簡單的用戶身份認證，但無法根據身份分配訪問許可權，因此絕對無法保障安全。

網路管理員需要更好地了解並控制網路中日益增多的套用接入用戶。然而，這一要求可導致IT基礎設施的複雜性升高，擴展難度增大，而且費用昂貴。

主要優勢

· 增強網路中的身份識別和動態接入控制能力

· 確保強大的終端安全

· 簡化驗證，整合基礎設施，並降低成本

· 提供高性能、擴展性和靈活性

解決方案

圖2：BIG-IP可視策略編輯器有助於創建接入策略

BIG-IP可視策略編輯器有助於創建接入策略

BIG-IP接入策略管理器 (APM) 是一個靈活的高性能接入與安全解決方案，提供了基於策略並具有上下文感知能力的用戶接入，同時可以簡化驗證、授權和計費 (AAA) 管理。通過在BIG-IP上直接實現AAA控制，可以整合接入基礎設施，降低驗證和授權成本，並同時支持數千個用戶，同時保證每秒數百個用戶登錄。BIG-IP APM可作為靈活的多解決方案BIG-IP LTM和BIG-IP LTM虛擬版本平台上的一個產品模組。

高性能的安全規範監管

挑戰

隨著網路上的套用流量不斷增加，敏感數據面臨著遭受針對企業套用的漏洞攻擊的風險。因此，恢複流程、法律費用以及智慧財產權數據丟失所帶來的財務影響會非常嚴重。許多管理員認為他們的網路是安全的，因為他們部署了防火牆，但是，黑客很可能攻擊套用層，因為該層存在更大的漏洞。

最近的研究表明：

· 75%的黑客攻擊發生在套用層1

· 96.85%的網站存在被攻擊的漏洞2

· 一旦發生違規，數據違規的平均總成本將達到每條記錄202美元，而內部惡意員工或者前任員工的違規成本則達到每條記錄225美元3

主要優勢

· 提高安全性，同時降低規範監管成本

· 確保套用可用性，並提高性能

· 以最少量的配置獲得現成的套用安全策略

· 更靈活地處理不斷變化的威脅

解決方案

圖3：BIG-IP ASM提供了全面的Web套用攻擊防護

BIG-IP ASM提供了全面的Web套用攻擊防護

BIG-IP套用安全管理器 (ASM) 是一個先進的Web套用防火牆，可顯著減少和控制數據、智慧財產權和Web套用丟失或損壞的風險。BIG-IP ASM提供了無與匹敵的套用和網站防護，例如防止7層DDoS等最新的Web威脅。此外，BIG-IP ASM提供了完整的攻擊專家系統，並且可以滿足關鍵的法規要求。

利用BIG-IP ASM，企業將從完整的解決方案中獲益，降低對多個設備的需求，降低維護和管理成本，並且提高關鍵業務套用和流程的機密性、可用性和完整性。BIG-IP ASM可用作靈活的多解決方案BIG-IP LTM平台上的一個產品模組，也可以用在獨立設備。

針對HTTP(s)、SMTP和FTP協定的安全檢查服務

挑戰

如果環境不僅需要3層和4層檢查服務，則在部署包含全部特性的Web套用防火牆時可能不具備所需的專業知識和管理能力。

作為一個替代方案，協定安全服務為HTTP(s)、SMTP和FTP協定提供了強大的防護能力，只需最少的配置。

主要優勢

· 全面防護HTTP攻擊

· 阻止垃圾訊息的SMTP安全

· 集中的FTP安全管理

解決方案

圖4：BIG-IP協定安全模組為HTTP(s)、SMTP和FTP協定提供了強大的安全服務

BIG-IP協定安全模組提供強大安全服務

BIG-IP 協定安全模組 (PSM) 非常適合要求檢查服務的環境，因為在該環境中，部署包含全面特性的Web套用伺服器所需的管理費用不足，或者需要保證其它協定的安全。協定規範檢查服務可以在每個虛擬伺服器上實施，並且在幾分鐘內即可配置完成。通過對HTTP(s)、FTP和SMTP執行協定規範檢查，該服務可以防止那些使用協定操縱技術的攻擊。

提供安全且快速的遠程套用接入

挑戰

IT 部門必須支持不斷增多的移動員工的要求。保證這些用戶通過不同設備並在不同位置安全、無縫地接入套用和數據變得越來越具有挑戰性。IT部門可以部署不同廠商的孤立解決方案，以促進接入、加速和最佳化。

但隨著用戶數量的增多，這種孤島式方法不僅複雜、靈活性低，而且難以管理。隨著新威脅不斷出現，防止未授權的接入和攻擊也變得日益困難。這種費用高昂且容易出錯的環境限制了成功的遠程接入，並阻礙了業務增長。

主要優勢

· 實現卓越的擴展能力，滿意日益增加的移動員工的要求

· 提高管理能力並降低成本

· 通過網路最佳化提高套用性能

· 通過支持在任何地方接入客戶端而提高工作效率

· 通過強大的終端保護能力和精細的接入控制而確保全全性

解決方案

圖5：BIG-IP邊緣網關將接入服務統一到單個易於管理且經過最佳化的網路設備上

F5 BIG-IP邊緣網關將接入服務統一

BIG-IP 邊緣網關是一種企業接入解決方案，它將針對遠程用戶的SSL虛擬專網 (VPN) 遠程接入、安全、套用加速和可用性服務結合在一起。BIG-IP邊緣網關將身份管理融入網路中，以LAN的速度提供具有上下文感知的、基於策略的、安全的遠程套用接入。

作為行業中最安全的加速接入解決方案，BIG-IP邊緣網關可幫助接入關鍵業務套用和網路的用戶實現最高的性能。藉助BIG-IP邊緣網關，客戶可以輕鬆地使用戶通過任何網路或移動設備（包括Apple iPhone、Apple iPad、Andriod、Windows Mobile和Windows Phone設備）更快地遠程接入企業套用和數據。

簡化DNS安全擴展(DNSSEC)技術，並確保全局分布的套用的高可用性

挑戰

域名系統 (DNS) 在網際網路上提供了最基礎但又至關重要的一項功能。如果DNS不運行，則業務也可能無法運作。DNS快取投毒和其它DNS攻擊可威脅本地DNS伺服器的安全，並使黑客能夠劫持DNS回響，將客戶重定向到惡意站點，並且接入私密信息。可以利用域名系統安全 (DNSSEC) 保護業務和Web安全。

主要優勢

· 強大的DNS安全

· 遵從政府DNSSEC法規

· 可選的FIPS密鑰安全

· 通過網路最佳化而最佳化實施，並降低管理成本

· 高可用性和高性能

解決方案

圖6：帶有DNSSEC特性的BIG-IP廣域流量管理器實現安全、動態的DNS回響

帶有DNSSEC特性的BIG-IP廣域流量管理器

帶有DNSSEC特性的BIG-IP廣域流量管理器 (GTM) 提供了以下能力：

· DNS數據來源驗證。解析器可以驗證數據來自權威來源。

· 數據完整性。解析器可以驗證回響在傳送過程中沒有修改。

· 證實域名不存在。在沒有數據可供查詢時，權威伺服器可以提供一個回響，證明沒有數據存在。

F5 DNSSEC保證客戶在要求名稱解析時收到的答案來自可信的域名伺服器。實施BIG-IP GTM DNSSEC特性可以顯著提高DNS安全。BIG-IP GTM有助於遵從全球DNSSEC要求，並保護域名和Web財產不被惡意伺服器用於傳送無效的回響。

F5採用的DNS安全方法，能夠快速且輕鬆地將DNSSEC部署到現有的全球伺服器負載平衡環境中。帶有DNSSEC特性的BIG-IP GTM提供了可擴展、易於管理且安全的DNS基礎設施，能夠應對DNS攻擊。

將企業電子郵件的保護能力擴展到企業網路邊緣

挑戰

在企業網關中，每一封不需要的電子郵件訊息都會消耗昂貴的頻寬和伺服器資源，並且可能對安全產生潛在威脅。在系統容量有限，而且安全威脅不斷增加的情況下，IT部門更難保證業務連續性。企業通常的應對方式是在基礎設施中增加更多的郵件安全網關、防火牆和郵件伺服器，並且購買更多的頻寬滿足電子郵件流量的要求。鑒於這些原因，保證訊息處理成本不超出預算是一項具有挑戰性的任務。

主要優勢

· 將不需要的電子郵件和垃圾訊息顯著減少70%

· 基於實時查詢發件人信譽而採取策略

· 降低總體基礎設施成本

解決方案

圖7：BIG-IP MSM通過使用IP信譽識別垃圾訊息而消除訊息安全問題

F5 BIG-IP MSM通過使用IP信譽識別垃圾訊息

BIG-IP訊息安全模組(MSM) 是一個網路邊緣解決方案，它增加了安全智慧型化，通過在做出流量管理決策時考慮發件人的信譽而管理並過濾收到的電子郵件流量。BIG-IP MSM是業內第一個基於信譽的網路邊緣安全模組。

BIG-IP MSM利用來自Secure Computing的TrustedSource多身份信譽引擎的數據，將企業電子郵件的防護能力擴展到企業網路邊緣。該解決方案為企業應對日益增多的不需要的電子郵件流量提供了極為強大且高效的工具。