【51CTO.com综合报道】2011年7月26日,F5 Networks, Inc.今天宣布,其第11版BIG-IP?软件具备端到端应用程序访问控制功能,将可以帮助政府机构改善其安全状况,并最大程度地降低网络或应用程序攻击风险。BIG-IP v11中的增强功能特别适用于政府机构和承包商,以及公共部门组织,将能够帮助他们更好地保证其环境的安全,有效抵御网络威胁,同时保持出色服务水平并降低成本。
当前,IT部门正在将越来越多的信息和数据迁移到虚拟环境和云环境中,以降低成本和提升服务水平,但云环境分散的性质使得确保应用和数据的安全成为一项日益艰巨的挑战。例如,与DNS服务和交互式Web 2.0应用相关的攻击正在快速增加。政府机构发现,2010年的网络事故增加了39%1,与2006年的网络攻击数量相比增长了445%2。最近几年,政府机构和公共部门组织还经历了维基解密等的机密信息泄露问题。
政府机构和公共部门组织一方面要抵御日益复杂的攻击的快速扩散,同时还要满足日趋严格的指令和标准的要求。其中包括数据中心整合工作、“云优先”计划以及政府要求,如2002年信息安全管理法案(FISMA)、信息处理标准(FIPS)和域名系统安全扩展(DNSSEC)等。
此外,一些机构还必须在目前预算不足的条件下,做好所有此类工作。传统的静态数据中心解决方案对IT部门造成大量限制。例如,为了防止DNS拒绝服务(DoS)攻击,许多IT部门通过增加更多的DNS服务器来扩展其DNS基础设施。这将提升硬件成本,增加管理复杂性,并加大IT管理开销,但却无法获得所需的性能线性提升效果。
BIG-IP v11:灵活的动态攻击保护和访问控制
美国政府15个执行分支部门中的14个以及众多的国防部和民政机构均采用BIG-IP解决方案来提高应用性能和安全性。通过使用BIG-IP v11,这些组织及其他组织可以在物理环境和虚拟环境中充分利用以应用为中心的应用交付模式。构建于V10具备的广泛功能基础之上,BIG-IP v11提供了更多的服务,可在增强安全性和提高IT效率的同时支持动态数据中心。
例如,通过其独有的分层网络和应用安全基础设施,BIG-IP v11提供了可扩展且灵活受控的全球和本地DNS解决方案、FIPS合规性、以及预配置应用程序以防止安全漏洞的功能。作为应用交付网络的一个战略控制点,BIG-IP v11可帮助组织保证其最新交互式Web应用安全,实现高性能、可扩展的DNS响应,以及改进身份验证、授权和单一登录服务以控制允许用户访问应用程序的方式。
F5产品管理和产品营销副总裁Erik Giesa表示:“BIG-IP v11提供了一个集中的安全控制点,使政府机构和其他组织可以动态地响应不断变化的网络威胁。我们在这一版本中进行了重要的改进。例如,我们在该版本中增加了一个iApps模板,它可以提供正确的配置设置以确保遵守NIST 800-53规定,让用户可以快速轻松地部署新设备,并检查现有设备的配置。我们希望通过BIG-IP v11帮助政府用户改善其安全状况,并进行扩展以支持全球环境,同时显著降低IT基础设施成本和管理成本。”
详细信息
BIG-IP v11提供了许多应用交付、控制和安全方面的增强功能。其中一些最值得注意的改进包括:
·用于统一访问和安全控制的动态服务
BIG-IP v11引入了一个模板驱动的系统iApps,用于实现应用部署的自动化。通过采用iApps技术,组织的IT部门可以应用预先配置并经过批准的安全策略,并将其重复用于每个应用部署,从而帮助减少人为错误。
·高级分析和报告功能
通过iApps分析工具,BIG-IP v11可实时呈现应用性能,帮助IT人员迅速高效地确定安全和性能问题的根本原因。
·成熟的DNS攻击防护
DNS Express是BIG-IP 广域流量管理器(GTM)的一项新功能,是一个高速内存DNS引擎。当BIG-IP GTM位于组织的主要DNS服务器之前时,DNS Express处理DNS请求的速度最高可快十倍,这个速度可以更容易地承受DDoS攻击。与DNSSEC组合后,DNS Express可帮助政府机构成功地应对复杂的攻击,并可将DNS基础设施进行最高达70%整合,从而降低投资成本和运维成本。
·交互式Web 2.0应用保护
通过使用新的JavaScript Object Notation (JSON)解析器,F5BIG-IP应用安全管理器 (ASM)网络应用防火墙可以保护JSON 效负荷以及Asynchronous JavaScript and XML (AJAX) 小插件免受应用程序攻击。如果出现违反策略的情况,BIG-IP ASM 会显示一个包含支持ID的唯一阻止页面,使用户可以联系网络管理员以获得解决方法。
·支持互联网协议版本6和版本4(IPv6 和 IPv4)
BIG-IP v11通过内置的DNS 6到4的转换服务提供对Ipv6的高级支持,并可将通信指向IPv4和IPv6混合环境中的任何服务器。这将使组织可以灵活地在当前支持IPv6设备,同时逐渐将其后端服务器转换到IPv6。
·应用访问和加速远程访问增强功能
包含 BIG-IP Access Policy Manager (APM)的BIG-IP v11提供了一个中心点,可通过该中心点管理身份验证、单一登录以及网络应用的访问控制列表。BIG-IP APM支持站点到站点的IPsec 隧道、应用隧道、Kerberos票据、增强型虚拟桌面、Android 和 iOS客户端以及多域单一登录。此外,APM功能还可应用于BIG-IP Edge Gateway解决方案中,以支持最高达60,000个并发用户。该解决方案组合了BIG-IP Access Policy Manager、BIG-IP WebAccelerator?和BIG-IP WAN Optimization Manager?的功能。
支持证言
Infonetics Research安全业务部首席分析师Jeff Wilson表示:“向云环境迁移可帮助显著降低基础设施和管理成本,并有效改善服务,但它也会带来严重的安全挑战。F5的BIG-IP v11解决了这些挑战,为政府机构配备了适当的工具,使其能按25点IT改革行动计划开展工作,让政府可以充分利用IT来更好地为选民服务。”
Carahsoft是一家IT解决方案提供商,为州和地方政府机构提供解决方案。其总裁 Craig P. Abod 表示:“政府机构面临着越来越大的压力,他们需要达到白宫的网络安全立法日程,提高数据中心效率,并执行25点行动计划以解决IT挑战。F5的BIG-IP v11可以帮助这些机构建立高度安全且可调整的云就绪基础设施,在解决这些挑战的同时,轻松控制用户对于资源的访问。作为F5 Networks的政府合同的整合商和分销商,我们很乐意向我们广大的经销商合作伙伴网络和我们的政府客户提供此解决方案。”
TechValidate统计信息
TechValidate是一个独立的研究组织,它最近分析了从有使用BIG-IP经历的F5政府机构用户和承包商处收集的数据。在回应调查时,用户报告了以下内容:
·政府机构通过F5提高了应用安全性 — 超过一半的IT部门通过部署F5 BIG-IP解决方案增强了应用安全性。(资料来源:TechValidate。TVID: A52-6DD-0BC)
·F5支持满足政府合规和认证要求 — 近一半的IT部门购买了F5 BIG-IP解决方案作为替代解决方案,以满足包括DNSSEC、通用标准、FIPS和IPv6在内的政府法规和认证要求。(资料来源:TechValidate。TVID: 429-105-ACF)
·F5提高了政府机构的应用性能 — 70%的IT部门通过F5 BIG-IP解决方案提高了应用性能。(资料来源:TechValidate。TVID: E90-432-06E)
背景数据:政府机构的安全统计数据
在 2010财年向US-CERT报告的107,439件事故中1:
钓鱼攻击:56,579 件,占52.7%。
病毒/特洛伊木马/蠕虫病毒/逻辑炸弹:11,001 件,占 10.2%
恶意网站:7,971 件,占 7.4%
非网络事故:7,741 件,占 7.2%
违反政策:6,888 件,占 6.4%
设备失窃/丢失:5,395 件,占 5%
可疑网络活动:3,121 件,占 2.9%
有图谋的访问:2,712 件,占 2.5%
社会工程攻击:1,571 件,占 1.5%
其它资源
·BIG-IP v11 信息页面
·BIG-IP v11 DevCentral 页面
·DevCentral 上的 iApps 页面
·F5 iApps:让应用交付超越网络 — 白皮书
·BIG-IP v11 中的高性能 DNS 服务 — 白皮书
·安全、优化的全球企业资源访问 — 白皮书
·利用 F5 BIG-IP ASM 保护 JSON 和 AJAX 消息的安全 — 解决方案概要
产品上市
BIG-IP v11软件以及虚拟版本的F5 BIG-IP 广域网流量管理器、应用安全管理器和WAN Optimization Manager产品将于2011年第三季度上市。