F5防火墙助力公众网站防御大规模网络攻击

F5日前宣布F5®BIG-IP®产品家族的最新版本作为一款网络防火墙已经通过ICSA实验室认证，能够帮助客户保护其面向公众的网站免受大规模网络攻击。与业内相似的解决方案相比，这款新认证的解决方案能够以相同成本处理八倍的流量。

F5亚太区及日本副总裁ChristianHentschel表示：“F5提供了一套全新的、智能的解决方案来保护面向公众的网络资产和DNS服务，使其免受攻击。许多全球最大和最富盛名的品牌正在使用F5的BIG-IP解决方案来保护其流量巨大、经常成为恶意攻击目标的网络资产。这一解决方案的另一优势在于它能够提供相较于传统防火墙更高的性价比。”

F5解决方案的独特之处在于能够在BIG-IP应用交付控制器(ADC)上部署上述安全功能。BIG-IP应用交付控制器因提供行业领先的智能流量管理和优化功能而享有盛名。此次认证的防火墙解决方案是F5全面安全架构的重要部分，可支持客户部署一套统一的安全战略。企业客户能够首次在单个灵活、可扩展的BIG-IP平台上保护其网络、数据、协议、应用和用户。

详细信息

传统网络防火墙的漏洞是导致服务中断和数据泄露的主要原因，从而严重影响业务收入、损害公司声誉和带来监管处罚风险。

传统的安全解决方案尝试将网络防火墙、DDoS设备、DNS设备、网络应用防火墙和基本ADC等产品拼凑在一起。这种部署思路不仅增加了网络复杂性，而且还会导致网络延迟和多点故障。更为糟糕的是，这些不同的解决方案无法集成来自不同攻击向量的信息，从而留下安全盲区并使企业无法提供统一的防护。

Infonetics首席安全分析师JeffWilson表示：“在运行TCP/IP堆栈中第三层或第四层的网络防火墙时，许多企业发现在流量采用SSL加密后，他们无法有效防御应用层攻击。由于缺乏检查整个协议堆栈所需的可视性和智能性，传统的防火墙无法防御如今日益复杂的大规模分布式攻击。此外，针对当前DDoS攻击中常见的每秒数百万次请求，许多网络防火墙的连接能力也远远不足。”

更好的应用和服务保护方法

BIG-IP解决方案大大超越了传统网络防火墙的种种限制，支持客户：

·将硬件和运维成本降低多达50%

·执行全面的检查服务，防御超过30种网络和应用层DDoS攻击

·快速响应不存在安全补丁的新安全威胁，降低风险

·显著减少恶意网络攻击造成的收入损失以及对公司信誉的损害

BIG-IP平台第11.1版包括众多模块，可作为独立或分层解决方案进行部署，提供增强的DNS服务器保护、高度可扩展的网络访问管理能力和单点登录服务。此外，它还支持客户使用从漏洞扫描工具获取的上下文来动态创建应用安全策略。

下列特性令F5防火墙解决方案脱颖而出：

·可扩展的性能-BIG-IP设备每秒能够支持280万条连接，是现有解决方案8倍。现有的领先解决方案每秒仅能支持36万条连接。

·可扩展的适应性平台–使用F5的事件驱动型脚本语言iRules®，应用、安全和网络团队能够快速构建检查、转换和引导应用流量的新服务。

·漏洞评估–BIG-IPApplicationSecurityManager™集成有领先的网络应用扫描工具，包括WhiteHatSentinel、IBMRationalAppScan、QualysQualysGuardWAS和CenzicHailstorm，有助于评估和降低漏洞威胁。

·DNS保护–BIG-IPGlobalTrafficManager™提供了出色的安全性、可扩展性、性能和控制能力，有助于保护DNS基础设施免受可能导致DNS中断和降低生产力的攻击(如DDoS、DNS响应劫持和缓存投毒等)。

·高性能和灵活访问–F5VIPRION®高性能机箱上的BIG-IPAccessPolicyManager®能够充分利用全球最快的ADC，提供端点检测、多重用户身份验证、L3–L7访问控制和单点登录等功能。

·上下文感知–由于BIG-IP熟悉应用协议，因此能够检测出异常的应用行为和阻止相应的流量。

·行业认证–ICSA实验室专注于安全解决方案认证，全球客户均可依赖其独立、客观的评估和产品保证。客户可确信经过ICSA认证的BIG-IP产品能够满足特定和客观的测试标准，提供强大的安全保护。

·庞大的社区–F5的DevCentral™在线社区汇集全球超过90,000名应用开发人员、网络专业人员和IT架构师，提供了大量实用、实际的解决方案，帮助消除不同职能团队之间通常存在的隔阂。

这次网络防火墙的认证与BIG-IPV11版本的发布均基于F5的动态数据中心愿景，BIG-IPV11版侧重于帮助客户以一种集中的方式来保护其Web2.0应用和DNS基础设施，以及控制应用访问和策略。同时，新网络防火墙认证(在ADC上尚属首例)进一步丰富了F5针对BIG-IP网络应用防火墙和SSLVPN解决方案的ICSA实验室认证。

证言

FishNetSecurity解决方案架构副总裁DanThormodsgaard表示：“我们服务于众多行业，包括能源、金融服务、政府、医疗和零售，我们几乎所有的客户首要考虑的事项都包括针对日益增长的web、网络、DDoS和DNS攻击的防御战略。BIG-IP为我们提供了一个通用平台以交付应用和快速响应不断变化的威胁，为我们的客户提供了更高的价值。高性能数据中心防火墙服务和高级平台ADC的统一是一种智能组合，能够有效解决新一波来势汹汹的攻击。”

全球领先的IT安全供应商Integralis的解决方案总监AlastairBroom表示：“我们的客户告诉我们，指向应用、DNS和他们网络资产的攻击是他们面临的主要安全问题。将高性能数据中心防火墙服务作为BIG-IP应用交付控制器平台的一部分共同交付有可能使F5获得客户的广泛青睐，后者正积极寻求有效对策以防御当今凶猛的网络攻击。”

ICSA实验室技术计划经理BrianMonkman表示：“F5的BIG-IP最近作为一款网络防火墙产品而通过认证的事实表明F5正积极致力于成为应用交付控制器领域的安全领导厂商。”

上市情况

BIG-IP数据中心防火墙解决方案现已上市，采用最新的BIG-IP11.1版本。该解决方案基于BIG-IPLocalTrafficManager™(LTM®)，可根据客户需求而扩展以添加多个BIG-IP软件模块。为了帮助企业提供额外的DNS基础设施保护，BIG-IPLTM还可以与DNSServices模块以及F5的其它捆绑ADC产品一同部署。

BIG-IP产品家族经过ICSA实验室的网络防火墙认证，由多个产品组成，包括BIG-IPLTM、GlobalTrafficManager™,AccessPolicyManager®,ApplicationSecurityManager™,WebAccelerator™和WANOptimizationManager™。这些产品现已上市，可一同部署。