F5 Next Gen DDoS防禦新架構

2016/05/25 - 吳冠儀

在DDoS攻擊盛行年代下，企業已發現過去斥資建置的傳統自建型防禦主機，根本無力阻擋數十Gbps的大流量攻擊，而網路業者提供DDoS清洗防護，亦無法有效阻擋不同類型的攻擊流量。相較之下，F5新世代混合型DDoS多重安全防禦架構有其他業者缺乏的三大特性，分別為：採取將L3、L4大量頻寬消耗DDoS攻擊交給雲端防護處理；SSL與L7的資源消耗DDoS攻擊，交給放置於閘道端的自建防護系統；以及藉由自建型防護主機與雲端服務的連動強化防護，自然能在第一時間阻斷各式各樣DDoS攻擊，讓企業免除DDoS的威脅。

傳統的安全產品只能解決有限的安全性問題，其他傳統的保護方法試圖把眾多單獨的產品拼湊到一起，例如拼湊DDoS設備、DNS設備、Web應用防火牆以及負載等化器等。這種方法增加了架構的複雜性和延時，並在網路中添加了故障點。F5提供的是一套動態的、多層次的安全解決方案，這個平臺在一套通用系統架構上以軟體服務方式提供了多重安全解決方案。

F5台灣區總經理張紘綱指出，F5的一體化安全架構不等於One Box，不等於Allin One，不等於UTM。F5的架構核心的基本點是高可用，設備分為兩層，一層設備專門處理網路層，一層處理四到七層，並且點對點之間的高延展性，阻止了單點故障的發生。

從運營上來說，這樣的架構還會明顯降低成本。傳統來說，企業構建三層的防禦體系，要跟很多供應商打交道，像前端的防火牆，中間的IPS/IDS，然後WAF等，運維人員至少要學五、六個廠商的產品解決方案和管理介面。現在F5統一安全架構平臺的綜合性可以減少備件，同時減少培訓並簡化運營。

在全球資安威脅事件不斷發生下，企業資安意識明顯比過去提升許多，公司內部多半都有傳統DDoS防禦主機，但該類設備因缺乏應用程式可視性，只能夠阻擋L3、L4的網路攻擊，以致於在駭客組織走向精準攻擊的趨勢下，無力阻擋針對應用主機、DNS等第七層的攻擊封包。為此，資安人員被迫購買可偵測第七層DDoS攻擊的WAF(Web Application Firewall，網路應用程式防火牆)，又在大流量DDoS攻擊與日俱增下，再搭配網路清洗中心的服務。此種疊床架屋的DDoS防禦架構，很容易各品牌之間相容性的問題，會影響到DDoS攻擊的防禦能力，更因各種產品管理與操作介面迥異，反而徒增資安人員的工作負擔，讓資安預算無法發揮應有效益。

F5在高感知應用的狀態下，與被保護的應用互動，第一次實現防禦體系和防禦物件之間的配合，用最小的技術投入，增加攻擊者的成本，顛覆性的解決用戶防禦成本的困惑。F5可以依附於客戶業務資料存取流程之上，在終端客戶沒有任何覺察下實現終端屬性判斷，阻斷基於應用層的攻擊。以DDoS攻擊為例，第7層DDoS佔比已經超過一半。和網路層的DDoS攻擊不一樣，應用層的DDoS針對企業的弱點，無論是耗盡型的、延遲類的、或利用漏洞和Web應用弱點的。

相較之下，F5 Silverline新世代混合型DDoS防禦架構，整合自家研發的主機防禦、雲端清洗中心，完全不會有前述品牌相容性的問題，尤其在防禦政策一致狀況下，兩者之間的溝通非常順暢，自然能有效阻斷各種類型的DDoS攻擊。以F5 Silverline網路應用程式防火牆為例，便具備偵測與阻斷L3、L4、DNS、L7等不同類型的DDoS攻擊，以及常見SQL 插入式攻擊、OWASP前十大應用程式風險、跨站台指令碼(XSS)到駭客組織慣用的零時網路應用程式攻擊等。

張紘綱解釋，F5 Silverline雲端清洗中心能承受高達2TB的流量，有能力應付動輒超過上百Gbps的攻擊流量。F5資安專家組成的7/24不中斷資安監控平台，能隨時觀察全球網路環境的變化，一旦發現有異常流量發生，便會立即進行分析與找出解決之道。Silverline網路應用程式防火牆更可享有攻擊特徵碼簽章更新的服務，讓企業享有最新情報和技術，確保商業應用服務的穩定與可用性。


圖說：F5 Next Gen DDoS防禦新架構，決戰境外才是有效協助企業免於DDoS攻擊威脅。