在第三阶段,F5提供了一种可以采用白名单机制的Web应用安全防范手段。它采用四种类型来定义一个白名单:访问的URL是谁、文件类型是什么、参数是什么、cookie是什么。F5在这四种类型上设置了一系列安全规则,只有符合这些安全规则的访问才允许通过,这其实是结合了防火墙与IPS的优势,使安全与性能得到了两全。当然,F5也提供基于黑名单的安全防范,这就类似一个IPS,F5与著名安全组织WhiteHat合作,由其提供应用攻击代码来设置和更新攻击库。
紧贴服务器破解加密攻击
F5并非传统的安全厂商,众所周知,它是以负载均衡起家的,但杨明非很自信地告诉记者,F5目前在安全市场所占的份额位居前列,这源于F5安全设备特有的SSL加密内容攻击防护,而这个功能又基于F5的负载均衡设备的位置——它离服务器最近。
什么是SSL加密攻击?SSL是Secure Socket Layer(安全套接层协议)的缩写,可以在Internet上提供内容加密传输。随着计算机网络技术的发展,方便快捷的互连网使人们渐渐习惯了从Web页上收发E-mail、购物和交易,这时Web页面上需要传输重要或敏感的数据,例如用户的银行帐户、密码等。现行网上银行和电子商务等大型的网上交易系统普遍采用HTTP和SSL相结合的方式。服务器端采用支持SSL的Web服务器,用户端采用支持SSL的浏览器实现安全通信。
但SSL只是起到保护Web传输的保密性。换句话说,我们不能信任Web浏览器所做的安全检查工作,通过SSL加密连接不会对提交到应用程序的数据内容造成任何的影响。黑客完全可以把攻击代码以SSL加密的形式畅通无阻地通过防火墙、IPS等安全设备,因为它们要么是不能识别Web应用,要么就是不能识别在加密状态下的Web应用,这就是所谓的SSL加密攻击。
SSL只能在服务器上解密,而F5的设备是离服务器最近的。F5通过内置的硬件SSL芯片把SSL卸载,就是明码了,这时再做应用安全就可行了,这是由F5的位置决定的。
应用提速无需增加带宽
目前很多企业部署了不少IT应用,如SAP、微软、Siebel、Oracle等公司出产的应用套件,当这些IT应用被部署到Web架构上,会出现速度迟缓的现象。很多公司把这归咎于带宽不够高,却不知这是因为应用自身的复杂阻碍了其在网络的传输速度,单纯增加带宽,就如单纯增大水管,却不增加水的流速一样无济于事。
据杨明非介绍,F5可以在4个方面对Web应用提速:
一是降低网络传输的压力,其中最典型的一个技术就是压缩。F5的加速技术可以把100K的页面压缩到20K在广域网上传输,一些标准的浏览器如IE、火狐可以自动解压,这一过程都在后台进行,前台浏览者感觉不出任何变化。该项技术也适用于手机浏览,如UCWEB,对于低带宽高延迟的Web应用加速特别有效。
二是降低服务器的压力,比较典型的技术是连接聚合。每个人访问网站都会建立一个TCP连接,这个TCP连接是不断建立又关闭的,当快速建立又关闭的时候,对服务器的压力很大。而且服务器能够维持的并发连接是有限的,比如IIS服务器,它的标准并发连接是2048个,阿帕奇服务器是1024个,如果一个网站有几万个并发连接,单个服务器就崩溃了。但是把这些短连接汇聚到一起,集中F5的设备上,通过F5与服务器建立平滑的长连接,就解决了不断增大的并发连接。比如说前台有15万个并发连接,经过F5的优化,在服务器上只有不到5000个并发连接,而且在此过程中,每个人的请求是不会被丢掉的。
