بررسی F5 BIG-IP AFM
F5 BIG-IP Advanced Firewall Manager (AFM) یک راه حل امنیتی با عملکرد بالا ، فول پراکسی است که برای محافظت از مراکز داده در برابر تهدیدات ورودی که از طریق پروتکل های گسترده به شبکه وارد می شوند ، طراحی شده است.
کسب و کارها برای بهره وری داخلی و دسترسی مشتری خارجی به برنامه های کاربردی متکی هستند. در عین حال ، برنامه ها و مراکز داده ای که میزبان آنها هستند به طور فزاینده ای در معرض تهدیدات حملات پیچیده و هدفمند قرار دارند. طراحی منحصر به فرد برنامه محور F5 BIG-IP AFM ، حملات سطح شبکه را هدف قرار می دهد. همچنین وضعیت جلسات شبکه را ردیابی می کند ، تاریخچه کاملی از برنامه ها را حفظ می کند و حملات را بر اساس جزئیات دقیق تر از فایروال های سنتی کاهش می دهد.
مزایای کلیدی F5 BIG-IP AFM
- قابلیت انعطاف پهنای باند برای پاسخگویی به میزان تقاضای شبکه
- اطمینان از در دسترس بودن برنامه های کاربردی
- دارای قابلیت یک فایروال برنامه محور و فول پروکسی
- امکان مدیریت کامل جلسات SSL
- رابط کاربری گرافیکی ساده و کارآمد
- امکان سفارشی سازی گزارش ها و نمودارهای سیستم
امنیت Full-Proxy, Application-Centric Security
بر خلاف فایروال های سنتی ، F5 BIG-IP AFM بر اساس ساختار فول پروکسی سیستم عامل F5 TMOS ساخته شده است. کانکشن ورودی مشتری به طور کامل خاتمه می یابد ، از نظر تهدیدات امنیتی بررسی می شود و فقط پس از آن به سرور ارسال می شود، البته با فرض اینکه تهدیدی وجود ندارد.
با قابلیت های فول پروکسی TMOS ، BIG-IP AFM درک عمیقی از پروتکل های ورودی معمول مانند HTTP / S ، DNS ، ICMP و TCP دارد و از مجموعه ای غنی از خدمات پشتیبانی می کند که فایروال سنتی را گسترش می دهد، علاوه بر این ، امکان مشاهده بیشتر در کانکشن ها را فراهم می کند ، اجازه می دهد داده ها قبل از ارسال به سرورها یا موارد دیگر ، دستکاری و اصلاح شوند.
طراحی فول پروکسی امکان خاتمه SSL ، اجرای سیاست های امنیتی و سایر خدمات مرتبط با عملکرد را فراهم می کند – به سازمان ها کمک می کند تا چالش های نوسانات داخل و خارج از مرکز داده را برطرف کنند.
سیاست های امنیتی برنامه محور در F5 BIG-IP AFM
برخلاف اکثر راه حل های فایروال شبکه ، سیاست های امنیتی BIG-IP AFM با برنامه های موجود در جریان های ترافیکی منطبق هستند، اما مشابه راه حل های فایروال برنامه های وب ، BIG-AFM سیاست های امنیتی شبکه را به application برنامه پیوست می کند. جزئیات مربوط به پارامترهای برنامه ، از جمله آدرس دهی سرور ، بارگیری SSL و خط مشی های دسترسی ، را می توان همراه با پارامترهای امنیتی ، از جمله سیاست ها ، بازرسی SSL و ورود به سیستم ، گروه بندی کرد. این شامل اطلاعاتی است که پروتکل های لایه ۷ برای دسترسی خاص به پورت برنامه استفاده می کنند. رویکرد برنامه محوری F5 باعث افزایش کارایی در رفع نگرانی های برنامه و دقت بیشتر در شناسایی تهدیدها و اثربخشی سیاست ها می شود.
قابلیت مشاهده و پایش برنامه F5 BIG-IP AFM
F5 Analytics آمارهای خاص برنامه های کاربردی مانند URL ، توان عملیاتی و تأخیر سرور را که در سطوح مختلف سرویس گزارش شده اند ، ضبط می کند. BIG-IP ASM ادغام با ابزارهای موجود خود را با استفاده از استانداردهای صنعتی مانند sFlow ، SNMP و syslog ساده می کند.
خدمات امنیتی F5
مدیران فناوری اطلاعات برای دفاع در برابر حملات چند لایه ، مانند رویدادهای شبکه و لایه ۷ ، به یک راه حل فایروال شبکه و برنامه وب تلفیقی نیاز دارند. BIG-IP ASM ، همراه با F5 Web Fraud Protection ، BIG-IP AFM ، و BIG-IP DNS ، طیف بزرگی از تهدیدات را تحت پوشش قرار می دهد: کاهش حملات L3-L7 ، محافظت از کلاهبرداری در سمت مشتری و حفاظت از زیرساخت های DNS
| Advanced Firewall Manager Features and Specifications | |
|---|---|
| Security | |
| Protocol anomaly detection | Yes—SYN/ICMP/ACK/UDP/TCP/IP**/DNS/ARP |
| DoS and DDoS protection | Yes—L3, L4, SSL, DNS, HTTP, Flood, Sweep |
| DDoS auto-threshold setting | Yes |
| Remotely triggered black hole filtering (RTBH) | Yes |
| SSH proxy | Yes |
| Port-misuse protection | Yes |
| SSL reverse proxy | Yes |
| IP reputation* and geolocation | Yes—including identifying Tor proxies, malware, and command-and-control (C&C) servers |
| Central management w/RBAC | Yes—with BIG-IQ Centralized Management |
| SNMP reporting | Yes |
| DDoS traffic sampling | Yes |
| IPsec | |
| Site-to-site | Yes |
| Keying methods | Manual, Internet Key Exchange (IKEv1 and IKEv2) |
| Authentication methods | Preshared key, RSA signature |
| Diffie-Hellman groups | ۱, ۲, ۵, ۱۴, ۱۵, ۱۶, ۱۷, ۱۸ |
| Encryption algorithms | ۳DES, AES-128, AES-192, AES-256, AES-GCM-128, AES-GCM-256 |
| Hash/HMAC algorithms | SHA-1, AES-GMAC-128, AES-GMAC-192, AES-GMAC-256 |
| Platform Features | |
| Multi-tenancy | Yes—with vCMP |
| High availability | Yes—active-passive or active-active |
| SSL VPN | |
| Remote access | Yes—with BIG-IP APM |
*Licensed separately
**IPv4 and IPv6 supported
| Scale and Performance | VIPRION 4800 (۸ x B4300/ B4340) |
VIPRION 4480 (۴ x B4300/ B4340) |
VIPRION 2400 (۴ x B2150/ B2250) |
VIPRION 2200 (۲ x B2150/ B2250) |
|---|---|---|---|---|
| Maximum firewall throughput | ۶۴۰ Gbps | ۳۲۰ Gbps | ۱۶۰/۱۶۰/۳۲۰ Gbps | ۸۰/۸۰/۱۶۰ Gbps |
| Connections per second | ۷٫۵ million | ۴٫۸ million | ۱٫۵ million / 3.8 million | ۷۵۰,۰۰۰ / ۱٫۹ million |
| Maximum concurrent connections | ۵۷۶ million | ۱۴۴ million | ۸۸ million / 176 million | ۴۴ million / 88 million |
| Scale and Performance | BIG-IP 10050s/10250v | BIG-IP 7050s/7250v | BIG-IP 5050s/5250v | BIG-IP 4000s/4200v | BIG-IP 2200s/2000s |
|---|---|---|---|---|---|
| Maximum firewall throughput | ۸۰ Gbps | ۴۰ Gbps | ۳۰ Gbps | ۱۰ Gbps | ۵ Gbps |
| Connections per second | ۸۵۰,۰۰۰ | ۳۷۰,۰۰۰ / ۷۵۰,۰۰۰ | ۶۷۰,۰۰۰ / ۳۳۰,۰۰۰ | ۱۳۰,۰۰۰ / ۲۵۰,۰۰۰ | ۱۳۵,۰۰۰ / ۶۷,۰۰۰ |
| Maximum concurrent connections | ۳۶ million | ۲۲ million | ۲۲ million | ۹ million / 10 million | ۵ million / 4.5 Million |
پلتفرم های F5 BIG-IP AFM
دستگاه های جدید BIG-IP iSeries ، قابلیت برنامه ریزی سریع ، آسان و سازگار با اکوسیستم سخت افزاری تعریف شده توسط نرم افزار را دارند. در نتیجه مشتریان می توانند استفاده از ابرهای خصوصی را سرعت بخشیده و داده های مهم را در محیط امن انتقال دهند و از زیرساخت های کاربردی خود به بهینه ترین روش استفاده کنند. راه حل های F5 می توانند از طریق یکپارچه سازی با ابزارهای مدیریت پیکربندی open source و سیستم های ارکستراسیون سریع استفاده شوند.
علاوه بر iSeries ، شرکت F5 ، سیستم شاسی و تیغه مدولار VIPRION را نیز ارائه می دهد که به طور خاص برای عملکرد و مقیاس پذیری خطی بر اساس تقاضا و بدون اخلال در بیزینس سازمان طراحی شده اند. سیستم های VIPRION از فناوری خوشه بندی (clustering) F5’s ScaleN استفاده می کنند ، بنابراین می توانید تیغه ها را بدون پیکربندی مجدد یا راه اندازی مجدد اضافه کنید.
نسخه های مجازی نرم افزار BIG-IP در سرورهای حرفهای اجرا می شوند و از hypervisors و نیازهای عملکردی پشتیبانی می کنند. این نسخه های مجازی، چابکی و جابجاپذیری و استقرار سریع سرویس های برنامه را در مراکز داده و محیط ابری تعریف شده توسط نرم افزار فراهم می کند.
سیستم عامل های F5 را می توان از طریق یک صفحه مانیتور با مدیریت متمرکز BIG-IQ مدیریت کرد.
