隨著網(wǎng)絡(luò)攻擊的頻率和性質(zhì)不斷發(fā)生變化，企業(yè)IT部門發(fā)現(xiàn)有效解決安全問題的難度越來越大。目前網(wǎng)絡(luò)攻擊逐漸呈現(xiàn)出復(fù)雜、多層次的威脅特征，針對于4-7層的應(yīng)用層攻擊越來越多的出現(xiàn)在企業(yè)中，給很多IT部門管理者造成很大的困擾。

一方面，面對新的持續(xù)性的高級網(wǎng)絡(luò)威脅，IT部門很難有效的發(fā)現(xiàn)這些攻擊特征。諸如網(wǎng)絡(luò)防火墻、IPS和防毒系統(tǒng)這樣的傳統(tǒng)安全解決方案通常部署在獨立設(shè)備之上，在面對這些高級網(wǎng)絡(luò)威脅時，這種靜態(tài)方法并不利于IT安全策略的實施，而保護(hù)應(yīng)用、用戶和數(shù)據(jù)就無從談起，換句話說，傳統(tǒng)的安全防御思路根本無從應(yīng)對這些新的威脅和新的挑戰(zhàn)。

此外，新的安全攻擊多是復(fù)雜的多層攻擊，使用多個攻擊向量將目標(biāo)鎖定在網(wǎng)絡(luò)以及基礎(chǔ)應(yīng)用和數(shù)據(jù)上。一個攻擊可能通過拒絕服務(wù)（DoS）攻擊鎖定網(wǎng)絡(luò)層，然后通過Web瀏覽器鎖定應(yīng)用漏洞。這使得IT部門很難掌握攻擊行為，原本的第三層IP層的攻擊，對于IT部門來說，是可視的，可管的，但針對4-7層的應(yīng)用攻擊，傳統(tǒng)網(wǎng)絡(luò)防火墻等解決方案就顯得力不從心。

因此，對于企業(yè)IT部門來說，他們需要能夠提供跨層可視性、4-7層檢測能力，以及對應(yīng)用的具有保護(hù)能力的安全解決方案。而這也已經(jīng)得到了業(yè)界的普遍認(rèn)可。

Gartner研究副總裁Greg Young曾表示："如今，最嚴(yán)重的非法行為都是通過利用Web應(yīng)用實現(xiàn)的。雖然Web應(yīng)用防火墻已經(jīng)取得了明顯進(jìn)步，但是單層解決方案不足以抵御今天的復(fù)雜攻擊。對于IT機構(gòu)而言，最關(guān)鍵的是采用專門的安全保護(hù)方法，同時保護(hù)網(wǎng)絡(luò)和應(yīng)用。"

我們都非常清楚，解決安全問題需要全方位的思考。對于目前的安全威脅現(xiàn)狀和傳統(tǒng)的防御理念，F(xiàn)5網(wǎng)絡(luò)作為一家知名IT公司，有著不同的看法。

F5 Networks 負(fù)責(zé)安全與戰(zhàn)略解決方案的運營網(wǎng)絡(luò)高級副總裁Manny Rivelo先生表示："F5正在用實際行動努力改變企業(yè)用戶的傳統(tǒng)安全防御理念。F5目前為用戶提供的價值主要體現(xiàn)在4-7層的IT架構(gòu)中，我不得不說，過去20年的安全防御體系都是圍繞第三層IP層進(jìn)行的，雖然IP層很重要，但至少在今天看來IP層出現(xiàn)的弱點--不了解用戶、不了解應(yīng)用、不了解會話，使得針對4-7層的攻擊更加復(fù)雜。而F5的優(yōu)勢就在于4-7層靈活管理，這也是為什么F5通過開發(fā)一系列安全產(chǎn)品，用事實改變目前的安全現(xiàn)狀。"

[[78315]]

F5 Networks運營網(wǎng)絡(luò)高級副總裁Manny Rivelo先生

實際上，F(xiàn)5期望的不僅僅是解決目前新的安全難題，這家公司更加希望做到4-7層的靈活架構(gòu)和業(yè)務(wù)集成。用Manny Rivelo先生的話說，F(xiàn)5在安全方面希望做到以下三點：

1、更好幫助客戶了解4-7層的IT架構(gòu)

2、讓用戶了解DNA（動態(tài)、網(wǎng)絡(luò)、架構(gòu)）的信息。

3、F5所提供的服務(wù)必須要讓用戶得到更好的體驗。

換句話說，F(xiàn)5要做的事情，就是讓企業(yè)IT架構(gòu)實現(xiàn)應(yīng)用與用戶之間的對接，而安全在這其中就顯得格外重要。即使你的IT架構(gòu)實現(xiàn)了可用性和快速交付，但你沒有對應(yīng)用進(jìn)行相關(guān)的保護(hù)，那么這樣的IT架構(gòu)還存在很大的缺陷。也就是說，安全、快速、高可用這三者對于企業(yè)IT部門來說必須兼顧。

在談到安全永遠(yuǎn)是一攻一防的矛盾體時，Manny Rivelo先生也有不同的觀點，他認(rèn)為所謂的安全是與過去比，與過去比你才知道現(xiàn)在是安全的，因為你永遠(yuǎn)也無法預(yù)知未來會怎樣，會有什么攻擊出現(xiàn)，這時，你就只能用現(xiàn)有的技術(shù)保護(hù)自己。而當(dāng)有新的威脅出現(xiàn)時，企業(yè)IT部門需要做的其實是"反映"，換句話說，攻和防之間是一個平衡問題，關(guān)鍵是看企業(yè)的反映速度有多快，攻擊和防御的時間差有多少。據(jù)介紹，F(xiàn)5目前要求做到的是"零日"威脅，意思就是從發(fā)現(xiàn)威脅到打齊補丁的時間差不超過一天。

實際上，在51CTO.com記者看來，安全問題就是一個悖論，怎樣做都無法保證企業(yè)滿意。當(dāng)威脅發(fā)生時，F(xiàn)5公司的觀點是不要試圖找到與攻擊相關(guān)的所有連接，那樣容易發(fā)生其他的攻擊事件，而F5的做法是利用對4-7層的可視性，可控性，讓企業(yè)有充分的時間做出相關(guān)的反映。

這也是F5公司的安全理念：為企業(yè)用戶提供4-7層的安全保護(hù)，因為F5對企業(yè)用戶的應(yīng)用更加了解。

問題出來了，既然F5可以提供4-7層的安全防護(hù)，那么面對國內(nèi)外眾多知名的、專業(yè)的安全公司，F(xiàn)5的安全解決方案優(yōu)勢在哪里呢？

顯然，這是很多企業(yè)CIO想知道答案的問題。不過在Manny Rivelo先生看來，這并不是難以回答，他強調(diào)說，過去十年F5一直致力于幫助實現(xiàn)可靠，快速交付和易管理的IT架構(gòu)。其實，F(xiàn)5在安全方面也一直努力著，比如一如既往地給企業(yè)用戶提供網(wǎng)絡(luò)層防火墻等安全模塊。而面對現(xiàn)在新的安全威脅和挑戰(zhàn)，F(xiàn)5早就為此做好了充分準(zhǔn)備，因為沒有任何一家專業(yè)安全公司比我們更了解企業(yè)的應(yīng)用現(xiàn)狀。過去的十年我們一直在深入了解企業(yè)的應(yīng)用，試問誰能比我們更加了解企業(yè)應(yīng)用面臨的安全問題呢？

Manny Rivelo先生認(rèn)為，專業(yè)安全公司的安全解決方案固然能夠解決用戶面臨新的安全挑戰(zhàn)，但這無疑給企業(yè)整個IT架構(gòu)帶來管理的復(fù)雜性，從而影響企業(yè)管理成本增加，這并非危言聳聽，而是事實。F5的安全解決方案給企業(yè)帶來的價值是整合技術(shù)、使IT架構(gòu)靈捷可靠，應(yīng)用安全運行，最終會促使管理成本下降。

"最終還是那句話，安全、快速、高可用這三者對于企業(yè)IT部門來說必須得到兼顧。而F5恰巧十多年一直在為此而努力著。" Manny Rivelo先生如是說。

F5總裁兼CEO John McAdam先生也曾談到這樣的觀點"未來在F5的產(chǎn)品中加入更多的管理功能，來適應(yīng)市場的新發(fā)展。我們希望客戶能夠具有更強大的管理功能，將軟件和系統(tǒng)整合在一起來管理，這樣更加方便他們實現(xiàn)管理動態(tài)、靈活的數(shù)據(jù)中心。"

我們不妨看看F5安全解決方案有哪些技術(shù)優(yōu)勢：

網(wǎng)絡(luò)安全層面的挑戰(zhàn)：為了保證應(yīng)用的安全，企業(yè)可以嘗試追蹤并修補明顯的漏洞。也可以部署單獨的解決方案，專用于保護(hù)應(yīng)用安全，但這些解決方案并不能增強性能或簡化控制。

F5的安全解決方案：F5 BIG-IP本地流量管理器(LTM) 應(yīng)用交付控制器有助于企業(yè)保證基于網(wǎng)絡(luò)的應(yīng)用與數(shù)據(jù)的安全，同時提供一個戰(zhàn)略控制點，提高應(yīng)用性能。

一方面BIG-IP LTM作為一個安全代理，用于防止基于網(wǎng)絡(luò)的SYN泛洪和其它網(wǎng)絡(luò)拒絕服務(wù)(DoS)以及分布式拒絕服務(wù)(DDoS)攻擊，而且它提供了控制功能，用于定義和執(zhí)行基于L4的過濾規(guī)則，以提高網(wǎng)絡(luò)防護(hù)能力。

此外，BIG-IP LTM還使您能夠有選擇地加密數(shù)據(jù)， 以保護(hù)并優(yōu)化企業(yè)的通信。通過使用最強大的安全套接層 (SSL) 加密、位加密和4096密鑰長度而支持先進(jìn)的加密標(biāo)準(zhǔn)算法，BIG-IP LTM作為您的關(guān)鍵業(yè)務(wù)資源的網(wǎng)關(guān)。BIG-IP LTM可用在靈活的多解決方案設(shè)備平臺上，或者作為虛擬版本而運行。

Web接入管理層面的安全挑戰(zhàn)：為了保證用戶輕松地接入關(guān)鍵的Web應(yīng)用，許多企業(yè)創(chuàng)建了安全性最低的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員需要更好地了解并控制網(wǎng)絡(luò)中日益增多的應(yīng)用接入用戶。然而，這一要求可導(dǎo)致企業(yè)的IT基礎(chǔ)設(shè)施復(fù)雜性升高，擴展難度增大，而且費用昂貴。

F5的安全解決方案：BIG-IP接入策略管理器(APM) 是一個靈活的高性能接入與安全解決方案，提供了基于策略并具有上下文感知能力的用戶接入，同時可以簡化驗證、授權(quán)和計費(AAA)管理。通過在BIG-IP上直接實現(xiàn)AAA控制，您可以整合接入基礎(chǔ)設(shè)施，降低驗證和授權(quán)成本，并同時支持?jǐn)?shù)千個用戶，同時保證每秒數(shù)百個用戶登錄。BIG-IP APM可作為靈活的多解決方案BIG-IP LTM和BIG-IP LTM虛擬版本平臺上的一個產(chǎn)品模塊。

應(yīng)用安全方面的挑戰(zhàn)：隨著網(wǎng)絡(luò)上的應(yīng)用流量不斷增加，敏感數(shù)據(jù)面臨著遭受針對企業(yè)應(yīng)用的漏洞攻擊的風(fēng)險。因此，恢復(fù)流程、法律費用以及知識產(chǎn)權(quán)數(shù)據(jù)丟失所帶來的財務(wù)影響會非常嚴(yán)重。許多管理員認(rèn)為他們的網(wǎng)絡(luò)是安全的，因為他們部署了防火墻，但是，黑客可能攻擊應(yīng)用層，因為該層存在更大的漏洞。

F5的安全解決方案：BIG-IP應(yīng)用安全管理器(ASM) 是一個先進(jìn)的Web應(yīng)用防火墻，可顯著減少和控制數(shù)據(jù)、知識產(chǎn)權(quán)和Web應(yīng)用丟失或損壞的風(fēng)險。BIG-IP ASM提供了應(yīng)用和網(wǎng)站防護(hù)，例如防止7層DDoS等最新的Web威脅。此外，BIG-IP ASM為您提供了完整的攻擊專家系統(tǒng)，并且可以滿足關(guān)鍵的法規(guī)要求。

遠(yuǎn)程接入方面的安全挑戰(zhàn)：IT 部門必須支持不斷增多的移動員工的要求。保證這些用戶通過不同設(shè)備并在不同位置安全、無縫地接入應(yīng)用和數(shù)據(jù)變得越來越具有挑戰(zhàn)性。IT部門可以部署不同廠商的孤立解決方案，以促進(jìn)接入、加速和優(yōu)化。但隨著用戶數(shù)量的增多，這種孤島式方法不僅復(fù)雜、靈活性低，而且難以管理。隨著新威脅不斷出現(xiàn)，防止未授權(quán)的接入和攻擊也變得日益困難。這種費用高昂且容易出錯的環(huán)境限制了成功的遠(yuǎn)程接入，并阻礙了業(yè)務(wù)增長。

F5的安全解決方案：BIG-IP Edge Gateway是一種企業(yè)接入解決方案，它將針對遠(yuǎn)程用戶的SSL虛擬專網(wǎng) (VPN) 遠(yuǎn)程接入、安全、應(yīng)用加速和可用性服務(wù)結(jié)合在一起。BIG-IP Edge Gateway將身份管理融入網(wǎng)絡(luò)中，以LAN的速度提供具有上下文感知的、基于策略的、安全的遠(yuǎn)程應(yīng)用接入。作為行業(yè)中最安全的加速接入解決方案，BIG-IP Edge Gateway可幫助接入關(guān)鍵業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)的用戶實現(xiàn)最高的性能。借助BIG-IP Edge Gateway，客戶可以輕松地使用戶通過任何網(wǎng)絡(luò)或移動設(shè)備（包括Apple iPhone、Apple iPad、Andriod、Windows Mobile和Windows Phone設(shè)備）更快地遠(yuǎn)程接入企業(yè)應(yīng)用和數(shù)據(jù)。

下面這段視頻或許能夠讓你的企業(yè)更加了解，F(xiàn)5的安全解決方案優(yōu)勢：

在51CTO.com記者看來，企業(yè)用戶要考慮到未來2年甚至更長時間的網(wǎng)絡(luò)及安全需求。但在企業(yè)IT應(yīng)用迅速增加、移動互聯(lián)網(wǎng)、動態(tài)數(shù)據(jù)中心快速發(fā)展的今天，如果只根據(jù)當(dāng)前需求部署相應(yīng)的解決方案，用戶就會因此變得極為被動。著眼未來，避免搭建復(fù)雜的IT基礎(chǔ)架構(gòu)，面對日益增加的安全威脅及問題，前瞻性的部署十分重要。或許F5的安全解決方案能夠使企業(yè)IT部門獲得新的防御思路。