详细了解f5新型数据中心防火墙.doc

F5新型数据中心防火墙 新型数据中心防火墙 如今，位于数据中心边界的大量传统状态安全设备都面临 着日趋复杂、频繁和多样化的网络攻击。以F5 BIG-IP LTM 本地流量管理器所提供的防火墙服务为基础的全新的数据 中心架构，既能够有效地抵御现代攻击，又可以节省大量 的建设成本(CapEx)。 简介 在大部分企业中，防火墙都是网络与应用服务的第一道防线。防火墙一直是构建传 统网络安全架构的首要基础。对关键业务服务的有效保护主要是通过简单而强大的 访问控制工具——数据中心防火墙所进行的访问控制来完成的。 传统架构已经走向成熟，因此许多安全标准都要求部署经认证的防火墙。例如，任 何处理信用卡号的数据中心均必须符合支付卡行业(PCI)标准，而该标准要求安装 一个网络防火墙。PCI行业审计师所参考的公认标准是国际计算机安全协会(ICSA) 的网络防火墙标准，该标准定义了可用于处理信用卡的少数防火墙。这一合规性要 求强调了使用成熟的数据中心防火墙架构的重要性。 但成熟意味着使用时间较长，而数据中心防火墙已经开始显露出自身在检测和抵御 现代攻击方面的局限性。针对应用层或网络层的攻击正在导致这些昂贵的状态防火 墙发生故障，并且此类攻击的数量正在不断上升。 图1: 在Applied Research公司于2011年进行的调查中，很多受调查者都表示他们遇到过因应用层或网络层攻击而引起的状态防火墙故障。 如果考虑到攻击者所面临的有利情形，这些防火墙故障更加令人担忧。虽然匿名攻击和LulzSec攻击已得到行业的密切关注并且需要攻击者进行预先规划，但现在的 许多攻击都不需要进行这样的准备，因为攻击者可以利用所创建的庞大资源池来攻 击所选定的目标。由于缺少有力的法律监督，因此中国和印度等新兴的技术强国构 建了大量能够随时被租用的僵尸网络。在国家和企业之间就通过诉讼方式禁用这些 网络达成共识之前，攻击者将继续利用这些资源池发起更多攻击。 现在，这些日趋多样化且涉及多个网络堆栈层的攻击引发防火墙故障的频率十分惊 人。因此，仅部署传统的防火墙服务已经无法有效地检测攻击并防止业务中断。让 应用层具备阻止攻击(利用应用层的协议与行为)的能力很有必要。 防火墙的限制 在传统意义上，选择数据中心防火墙时需考虑的因素包括认证、开支和性能。认证 标准可能需要部署特定的防火墙才能符合规定，这样就限制了设备的选择范围。在 设备上，采购人员会衡量其余的两个因素: 价格与性能。然而，通过对这些参数进 行新的分析，我们发现了一种新的模式。 防火墙根据数据吞吐量(如1 Gbps或4 Gbps)进行划分，这样可以很轻松地确保采 购与入站管路大小的一致。但将较高的数据吞吐量作为衡量标准并不准确。在分布 式拒绝服务(DDoS)攻击中，至关重要的不只是较高的数据吞吐量，还包括设备如 何处理并发连接以及每秒连接数。例如，一个价格为50,000美元的典型传统防火 墙需要10 Gbps的吞吐量，这应该足以应对中小型攻击。但这种类型的防火墙只 能处理100万至200万条并发连接。众所周知，维基解密(WikiLeaks)在2010年受 到了一次大规模攻击，攻击者只使用一个僵尸网络就轻松生成了超过200万条并发 连接，翻过了整个美国的防火墙。并发连接性能较高(每秒处理400万至1000万条 连接)的传统防火墙的价格也更高，需要100,000美元至150,000美元。 每秒连接数也是这样。传统防火墙在进行状态检查时，会影响建立每个TCP会话的 性能。这就限制了防火墙处理入站连接的性能。价格为50,000美元的典型传统防 火墙每秒可处理50至100,000条新连接。 攻击者非常清楚这些防火墙限制，现代攻击就是通过利用这些限制来进行的。不幸的是，行业分析家指出，由此导致的防火墙故障并不少见。事实上，这些故障很可 能是2011年9月的安全调查中仅8%的受调查者表示防火墙等传统的安全措施不足 以确保网络安全2的原因。因此，越来越多的企业在卸载数据中心防火墙，而更多 的企业选择直接折旧，而不会进行更新。 图2: 现代威胁缓解技术无法彻底解决所有威胁，特别是以DDoS为目标的威胁。 传统防火墙部署架构的另一个限制在于它无法应对范围如此广泛、涉及整个网络和 应用生态系统的威胁。过去，用于缓解这些威胁的解决方案一直是单独部署的，这 些解决方案通过特定的技术来应对应用、网络和DDoS攻击等逻辑分组中的攻击。 这些来自多家厂商、相互之间缺乏关联的解决方案会提高管理的整体复杂性，当然 也会大幅增加资本与运营支出。 考虑现代数据中心的边界时，客户往往对于传统防火墙是否值得购买存在疑问，因 为传统防火墙所做的只不过是通过80端口传输流量，并会增加延迟以及带来费用 和风险。灵活的企业，特别是新成立的企业和那些没有PCI需