返回
F5 新型数据防火墙(下一代防火墙)

F5 新型数据防火墙(下一代防火墙)

ID:37638600

大小:1.69 MB

页数:12页

时间:2019-05-27

F5 新型数据防火墙(下一代防火墙)_第1页
F5 新型数据防火墙(下一代防火墙)_第2页
F5 新型数据防火墙(下一代防火墙)_第3页
F5 新型数据防火墙(下一代防火墙)_第4页
F5 新型数据防火墙(下一代防火墙)_第5页
资源描述:

《F5 新型数据防火墙(下一代防火墙)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、白皮书新型数据中心防火墙如今,位于数据中心边界的大量传统状态安全设备都面临着日趋复杂、频繁和多样化的网络攻击。以F5BIG-IPLTM本地流量管理器所提供的防火墙服务为基础的全新的数据中心架构,既能够有效地抵御现代攻击,又可以节省大量的建设成本(CapEx)。LoriMacVittie高级技术营销经理DavidHolmes高级技术营销经理白皮书新型数据中心防火墙目录简介3防火墙的限制4新型数据中心架构6本地应用协议的流畅性8高级DNS保护9高级web应用保护9Web接入管理10累计收益10总结112白皮书新型数据中心防火墙简介在大部分企业中,防火墙都是网络与应用

2、服务的第一道防线。防火墙一直是构建传统网络安全架构的首要基础。对关键业务服务的有效保护主要是通过简单而强大的访问控制工具——数据中心防火墙所进行的访问控制来完成的。传统架构已经走向成熟,因此许多安全标准都要求部署经认证的防火墙。例如,任何处理信用卡号的数据中心均必须符合支付卡行业(PCI)标准,而该标准要求安装一个网络防火墙。PCI行业审计师所参考的公认标准是国际计算机安全协会(ICSA)的网络防火墙标准,该标准定义了可用于处理信用卡的少数防火墙。这一合规性要求强调了使用成熟的数据中心防火墙架构的重要性。但成熟意味着使用时间较长,而数据中心防火墙已经开始显露出自

3、身在检测和抵御现代攻击方面的局限性。针对应用层或网络层的攻击正在导致这些昂贵的状态防火墙发生故障,并且此类攻击的数量正在不断上升。由攻击引起的防火墙故障10080(%)64%6058%42%4036%受调查者的数量200网络层应用层报告故障(由攻击引起)的比例未报告故障的比例图1:在AppliedResearch公司于2011年进行的调查中,很多受调查者都表示他们遇到过因应用层或网络层攻击而引起的状态防火墙故障。11AppliedResearch公司2011年ADC安全研究3白皮书新型数据中心防火墙如果考虑到攻击者所面临的有利情形,这些防火墙故障更加令人担忧。虽

4、然匿名攻击和LulzSec攻击已得到行业的密切关注并且需要攻击者进行预先规划,但现在的许多攻击都不需要进行这样的准备,因为攻击者可以利用所创建的庞大资源池来攻击所选定的目标。由于缺少有力的法律监督,因此中国和印度等新兴的技术强国构建了大量能够随时被租用的僵尸网络。在国家和企业之间就通过诉讼方式禁用这些网络达成共识之前,攻击者将继续利用这些资源池发起更多攻击。现在,这些日趋多样化且涉及多个网络堆栈层的攻击引发防火墙故障的频率十分惊人。因此,仅部署传统的防火墙服务已经无法有效地检测攻击并防止业务中断。让应用层具备阻止攻击(利用应用层的协议与行为)的能力很有必要。防火

5、墙的限制在传统意义上,选择数据中心防火墙时需考虑的因素包括认证、开支和性能。认证标准可能需要部署特定的防火墙才能符合规定,这样就限制了设备的选择范围。在设备上,采购人员会衡量其余的两个因素:价格与性能。然而,通过对这些参数进行新的分析,我们发现了一种新的模式。防火墙根据数据吞吐量(如1Gbps或4Gbps)进行划分,这样可以很轻松地确保采购与入站管路大小的一致。但将较高的数据吞吐量作为衡量标准并不准确。在分布式拒绝服务(DDoS)攻击中,至关重要的不只是较高的数据吞吐量,还包括设备如何处理并发连接以及每秒连接数。例如,一个价格为50,000美元的典型传统防火墙需

6、要10Gbps的吞吐量,这应该足以应对中小型攻击。但这种类型的防火墙只能处理100万至200万条并发连接。众所周知,维基解密(WikiLeaks)在2010年受到了一次大规模攻击,攻击者只使用一个僵尸网络就轻松生成了超过200万条并发连接,翻过了整个美国的防火墙。并发连接性能较高(每秒处理400万至1000万条连接)的传统防火墙的价格也更高,需要100,000美元至150,000美元。每秒连接数也是这样。传统防火墙在进行状态检查时,会影响建立每个TCP会话的性能。这就限制了防火墙处理入站连接的性能。价格为50,000美元的典型传统防火墙每秒可处理50至100,0

7、00条新连接。4白皮书新型数据中心防火墙攻击者非常清楚这些防火墙限制,现代攻击就是通过利用这些限制来进行的。不幸的是,行业分析家指出,由此导致的防火墙故障并不少见。事实上,这些故障很可能是2011年9月的安全调查中仅8%的受调查者表示防火墙等传统的安全措施不足2以确保网络安全的原因。因此,越来越多的企业在卸载数据中心防火墙,而更多的企业选择直接折旧,而不会进行更新。1-7层现代威胁的范围现代威胁缓解应用XXS、SQL注入、数据泄露和垃圾邮件应用攻击10大OWASP风险演示SSL,XMLencryption,images会话套接字(Socket)、RPC、NetB

8、IOS鉴权和SNMP?应

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。