【IT168专稿】日前，F5发布了BIG-IP v10.1解决方案，该方案将Web安全功能、流量管理与控制、无线等功能集成到一起，被业界认为标志着应用交付网络进入了大融合时代。

　　应用交付认知仍不足 安全问题最受关注

　　F5在此之前公布了一项来自 Frost & Sullivan 公司的调查结果，该调查是2009 年第四季度，Frost & Sullivan 公司对澳大利亚、中国大陆、中国香港、印度、新加坡以及韩国等国家和地区的大型企业进行的此项调查，旨在了解他们对于应用交付、应用安全性、应用加速以及云计算等问题上所持的态度。

　　调查结果显示，亚太地区 (APAC) 的首席信息官和高级 IT 决策者对应用交付的认识仍然存在不足。

　　F5中国区技术总监 吴静涛

　　如上图所示，在提到应用交付网络时，最先联想到的仍然是服务器负载均衡，其次是业务应用的可用性，网络安全问题在第三位。显然，业界对应用交付网络的认知还停留在一个较为初级的阶段，并且，对于目前最大的安全问题——Web安全，用户并没有将之与网络安全区别开来，而是混为一谈。

　　而在应用交付所关注的问题的调查中，安全问题是其最大的担心，其次是可用性，性能反而排名的第三位，这种比例在不同的行业中有所不同，如上图。

　　另外，首席信息官和高级 IT 决策者认识到了 Web 应用在推动其业务发展中的重要性，同时也十分清醒地意识到 Web 攻击的严重性，因此对于安全性极为关注。然而，此次调查也发现了另一个问题，即被调查者对基于网络的防火墙与Web 应用防火墙的功能的认识上存在混淆。

　　如上两个数据所示，相当多的用户认为Web安全和传统的网络安全问题是一样的，从而可以用传统的基于网络的防火墙解决。吴静涛说，实际上传统的网络防火墙都是基于网络七层架构的三层和四层。传统的网络防火墙的机制是对传输的数据包的包头进行检测，如果发现带有病毒特征的数据包，就进行拦截，传统网络防火墙并不会对第七层的应用采取措施。

　　但是，黑客攻击的手段和目的已经发生了很大的变化，在几年之前，很多黑客进行的攻击都带有炫耀的目的，攻击手段也多集中在四层。但是现在的黑客攻击往往都带有很强的功利目的，就是为了获取用户服务器、电脑中的关键数据，例如银行账号密码、公司的机密信息等。这些攻击往往都是在第七层也就是应用层发生，例如这些黑客往往采用“delete、update、drop、insert、alter”等sql语句入侵，这些非法的请求都隐藏在了具体的某个应用当中。显然，并不对应用检测的传统防火墙包括IDS/IPS根本就不能判断出这些病毒木马信息。传统的防火墙在基于Web的攻击方面就成了“聋子的耳朵——摆设”。显然，企业对应用安全性问题的认识仍然不足。61% 的被调查者认为，网络防火墙能够防范 Web 攻击，而 23% 的被调查者指出，他们当前部署的 IDS/IPS 即可有效防范 Web 攻击。

　　但是，相对于对网络防火墙与Web 应用防火墙的认识误区相比，Web攻击已经非常严重，如图所示，总体情况有75.6%的人认为Web攻击非常严重，认为不严重的只有17.1%。每个领域对Web攻击的认识情况也有所不同，最严重的行业则是IT/服务业，这也和各行业与Web的依赖程度不同有关系。

　　BIG-IP v10.1的Web安全创新

　　针对以上问题，F5在 BIG-IP v10.1中提出了创新的Web 安全功能，并将这些强大的功能融入到了其最新发布的四款产品当中。通过将 BIG-IP 作为基础架构中的战略控制点，用户可以依靠 BIG-IP 服务动态地应对和解决任何安全威胁，同时确保实现业务连续性和卓越的最终用户体验。借助 F5 iRules™ 脚本语言和 Quova 高级 IP 地理定位数据的强大组合，用户将能够在应用交付控制器上制定更加智能的环境敏感型流量管理决策。这标志着应用交付控制器市场的智能流量管理能力达到了一个全新的水平。

　　F5产品管理高级总监 Jason Needham

　　F5产品管理高级总监Jason Needham向我们介绍了这些创新点，其中包括：

　　1、确保用户获得值得信赖的、正确DNS响应。BIG-IP广域网流量管理器(GTM )不但能够提供最值得信赖的DNS解决方案，而且仍然保留有传统的动态广域网流量分配功能。BIG-IP GTM采用少有的动态安全签名策略，可保护用用户的DNS基础架构远离各种攻击的破坏，例如可将用户重新导向至敌对站点的DNS高速缓存中毒攻击(DNS Cache Poisoning)。该独特特性将帮助美国政府机构满足强制性的DNSSEC 2009法规遵从要求，减少管理成本，维持动态DNS解决方案独有的高度灵活性。

　　2、简化的PCI法规遵从标准实施。用户可借助 BIG-IP 带有应用安全管理器(ASM)软件模块的应用交付控制器上构建 PCI 法规遵从功能。当前的 ASM 模块可提供新的 PCI 法规遵从报告，完整地描述遵从性状态。卓越的 PCI 法规遵从性报告功能可帮助用户验证他们是否符合 PCI DSS 1.2 的要求。如果不符合，BIG-IP ASM 可提供必要补救步骤，帮助用户满足法规要求。借助可读策略，审计人员可在法规遵从流程中远程查看相关策略，更加快速地提供响应。这种特性可确保企业迅速降低风险，满足法规要求，轻松进行管理。

　　3、更好地防御自动扫描器和 Bot 程序(僵尸程序)。为了帮助企业保护重要的 IP信息，阻止可扫描已知漏洞的 bot 程序攻击网站，F5 对 BIG-IP ASM 功能进行了扩展，解决了 web 信息抓取等其它业务问题。该特性可阻止数据提取和滥用现象的发生，消除它们对企业收入的影响，同时还可显著降低用户的诉讼成本。

　　4、有关所有安全违规的集成和综合报告。ASM 的新型 Attack Expert System 对所有网站攻击都进行了解释，每份违规报告均对 ASM 解决方案所执行的检查进行了详细描述。ASM 解决方案定位表格报告可帮助用户确定攻击的起源国家，以及违规行为、严重程度和 IP 地址等。该要点综述提供详细深入的报告，帮助企业迅速排除风险，轻松进行管理。

　　5、通过集中控制投资成本和运维成本并降低风险。新的 IP 定位数据库现已与 F5 TMOS 体系架构集成，BIG-IP 客户能够根据其用户的 IP 地址准确判断用户位置。企业可通过实施基于位置的安全策略确保遵守贸易限制，例如 IP 限制——从优异到州级，或单一IP地址——降低风险和成本。