F5 Next Gen DDoS防御新架构

2016/05/25 - 吴冠仪

在DDoS攻击盛行年代下，企业已发现过去斥资建置的传统自建型防御主机，根本无力阻挡数十Gbps的大流量攻击，而网络业者提供DDoS清洗防护，亦无法有效阻挡不同类型的攻击流量。相较之下，F5新时代混合型DDoS多重安全防御架构有其他业者缺乏的三大特性，分别为：采取将L3、L4大量带宽消耗DDoS攻击交给云端防护处理；SSL与L7的资源消耗DDoS攻击，交给放置于闸道端的自建防护系统；以及藉由自建型防护主机与云端服务的连动强化防护，自然能在第一时间阻断各式各样DDoS攻击，让企业免除DDoS的威胁。

传统的安全产品只能解决有限的安全性问题，其他传统的保护方法试图把众多单独的产品拼凑到一起，例如拼凑DDoS设备、DNS设备、Web应用防火墙以及负载等化器等。这种方法增加了架构的复杂性和延时，并在网络中添加了故障点。F5提供的是一套动态的、多层次的安全解决方案，这个平台在一套通用系统架构上以软件服务方式提供了多重安全解决方案。

F5台湾区总经理张紘纲指出，F5的一体化安全架构不等于One Box，不等于Allin One，不等于UTM。F5的架构核心的基本点是高可用，设备分为两层，一层设备专门处理网络层，一层处理四到七层，并且点对点之间的高延展性，阻止了单点故障的发生。

从运营上来说，这样的架构还会明显降低成本。传统来说，企业构建三层的防御体系，要跟很多供应商打交道，像前端的防火墙，中间的IPS/IDS，然后WAF等，运维人员至少要学五、六个厂商的产品解决方案和管理界面。现在F5统一安全架构平台的综合性可以减少备件，同时减少培训并简化运营。

在全球网安威胁事件不断发生下，企业网安意识明显比过去提升许多，公司内部多半都有传统DDoS防御主机，但该类设备因缺乏应用程序可视性，只能够阻挡L3、L4的网络攻击，以致于在黑客组织走向精准攻击的趋势下，无力阻挡针对应用主机、DNS等第七层的攻击封包。为此，网安人员被迫购买可侦测第七层DDoS攻击的WAF(Web Application Firewall，网络应用程序防火墙)，又在大流量DDoS攻击与日俱增下，再搭配网络清洗中心的服务。此种叠床架屋的DDoS防御架构，很容易各品牌之间兼容性的问题，会影响到DDoS攻击的防御能力，更因各种产品管理与操作界面迥异，反而徒增网安人员的工作负担，让网安预算无法发挥应有效益。

F5在高感知应用的状态下，与被保护的应用互动，第一次实现防御体系和防御物件之间的配合，用最小的技术投入，增加攻击者的成本，颠覆性的解决用户防御成本的困惑。F5可以依附于客户业务数据存取流程之上，在终端客户没有任何觉察下实现终端属性判断，阻断基于应用层的攻击。以DDoS攻击为例，第7层DDoS占比已经超过一半。和网络层的DDoS攻击不一样，应用层的DDoS针对企业的弱点，无论是耗尽型的、延迟类的、或利用漏洞和Web应用弱点的。

相较之下，F5 Silverline新时代混合型DDoS防御架构，整合自家研发的主机防御、云端清洗中心，完全不会有前述品牌兼容性的问题，尤其在防御政策一致状况下，两者之间的沟通非常顺畅，自然能有效阻断各种类型的DDoS攻击。以F5 Silverline网络应用程序防火墙为例，便具备侦测与阻断L3、L4、DNS、L7等不同类型的DDoS攻击，以及常见SQL 插入式攻击、OWASP前十大应用程序风险、跨站台指令码(XSS)到黑客组织惯用的零时网络应用程序攻击等。

张紘纲解释，F5 Silverline云端清洗中心能承受高达2TB的流量，有能力应付动辄超过上百Gbps的攻击流量。F5网安专家组成的7/24不中断网安监控平台，能随时观察全球网络环境的变化，一旦发现有异常流量发生，便会立即进行分析与找出解决之道。Silverline网络应用程序防火墙更可享有攻击特徵码签章更新的服务，让企业享有最新情报和技术，确保商业应用服务的稳定与可用性。


图说：F5 Next Gen DDoS防御新架构，决战境外才是有效协助企业免于DDoS攻击威胁。