BIG-IP v10.1的Web安全创新

　　针对以上问题，F5在 BIG-IP v10.1中提出了创新的Web 安全功能，并将这些强大的功能融入到了其最新发布的四款产品当中。通过将 BIG-IP 作为基础架构中的战略控制点，用户可以依靠 BIG-IP 服务动态地应对和解决任何安全威胁，同时确保实现业务连续性和卓越的最终用户体验。借助 F5 iRules™ 脚本语言和 Quova 高级 IP 地理定位数据的强大组合，用户将能够在应用交付控制器上制定更加智能的环境敏感型流量管理决策。这标志着应用交付控制器市场的智能流量管理能力达到了一个全新的水平。

　　F5产品管理高级总监 Jason Needham

　　F5产品管理高级总监Jason Needham向我们介绍了这些创新点，其中包括：

　　1、确保用户获得值得信赖的、正确DNS响应。BIG-IP广域网流量管理器(GTM )不但能够提供最值得信赖的DNS解决方案，而且仍然保留有传统的动态广域网流量分配功能。BIG-IP GTM采用少有的动态安全签名策略，可保护用用户的DNS基础架构远离各种攻击的破坏，例如可将用户重新导向至敌对站点的DNS高速缓存中毒攻击(DNS Cache Poisoning)。该独特特性将帮助美国政府机构满足强制性的DNSSEC 2009法规遵从要求，减少管理成本，维持动态DNS解决方案独有的高度灵活性。

　　2、简化的PCI法规遵从标准实施。用户可借助 BIG-IP 带有应用安全管理器(ASM)软件模块的应用交付控制器上构建 PCI 法规遵从功能。当前的 ASM 模块可提供新的 PCI 法规遵从报告，完整地描述遵从性状态。卓越的 PCI 法规遵从性报告功能可帮助用户验证他们是否符合 PCI DSS 1.2 的要求。如果不符合，BIG-IP ASM 可提供必要补救步骤，帮助用户满足法规要求。借助可读策略，审计人员可在法规遵从流程中远程查看相关策略，更加快速地提供响应。这种特性可确保企业迅速降低风险，满足法规要求，轻松进行管理。

　　3、更好地防御自动扫描器和 Bot 程序(僵尸程序)。为了帮助企业保护重要的 IP信息，阻止可扫描已知漏洞的 bot 程序攻击网站，F5 对 BIG-IP ASM 功能进行了扩展，解决了 web 信息抓取等其它业务问题。该特性可阻止数据提取和滥用现象的发生，消除它们对企业收入的影响，同时还可显著降低用户的诉讼成本。

　　4、有关所有安全违规的集成和综合报告。ASM 的新型 Attack Expert System 对所有网站攻击都进行了解释，每份违规报告均对 ASM 解决方案所执行的检查进行了详细描述。ASM 解决方案定位表格报告可帮助用户确定攻击的起源国家，以及违规行为、严重程度和 IP 地址等。该要点综述提供详细深入的报告，帮助企业迅速排除风险，轻松进行管理。

　　5、通过集中控制投资成本和运维成本并降低风险。新的 IP 定位数据库现已与 F5 TMOS 体系架构集成，BIG-IP 客户能够根据其用户的 IP 地址准确判断用户位置。企业可通过实施基于位置的安全策略确保遵守贸易限制，例如 IP 限制——从优异到州级，或单一IP地址——降低风险和成本。