BIG-IP Advanced Firewall Manager یا به اختصار BIG-IP AFM راهکاری امنیتی بوده که به منظور حفاظت از دیتاسنترها در مقابل طیف گستردهای از تهدیدات طراحی شده است. این راهکار با قابلیتهای بسیار متنوع و گسترده به یکی از برجستهترین سرویسهای امنیتی تبدیل شده است. در قسمت اول، دوم و همچنین سوم از این سری مقالات شماری از مزایای استفاده از این سرویس مورد بررسی قرار گرفت در این مقاله نیز به شرح پارهای دیگر از قابلیتهای بیشمار این سرویس میپردازیم.
افزایش مقیاسپذیری، عملکرد و قابلیت اطمینان
BIG-IP AFM با سرعت و توان عملیاتی بسیار بالا، مقیاسپذیری و عملکرد را افزایش داده و الزامات فایروال را برآورده مینماید. یک پلتفرم F5 ، جهت مقابله با حجیمترین حملات، بیش از 576 میلیون اتصال همزمان، 640 گیگابایت توان عملیاتی و 8 میلیون اتصال در هر ثانیه را کنترل مینماید و هنگامی که با افزونگی سختافزاری، همزمانسازی، صحت عملکرد مانیتورینگ و قابلیتهای Failover/Failback، یکپارچه میگردد، منجر به افزایش دسترسپذیری و قابلیت اطمینان خواهد شد.
این سرویس از سیستمهایی استفاده مینماید که F5 ScaleN آنها دارای تکنولوژی Virtual Clustered Multiprocessing (vCMP) بوده و در نتیجه به Cloud و توسعهدهندگان سرویسهای ارتباطاتی و شرکتها، رویکرد مقرون به صرفهتری برای مدیریت و پیادهسازی فایروال در مقیاس بزرگ ارائه میدهد. مدیران شبکهها با استفاده از vCMP به آسانی میتوانند چندین فایروال را درون یک دستگاه واحد یکپارچه نمایند و نسبت به فایروالها، منابع BIG-IP AFM را به روشی منعطفتر و مجزا به مشتریان، گروهها، برنامهها و سرویسها تخصیص دهند. تکنولوژی vCMP، از محیط ایزوله شده فایروال متراکم و کلاستربندی فایروال Guest پشتیبانی مینماید تا مدیریت و نگهداری را تسهیل نموده و ثبات توان عملیاتی زیرساخت فایروال را تضمین نماید.
حفاظت از برنامهی تجمیعشده با BIG-IP AFM
BIG-IP AFM به منظور حفاظت از برنامههای کاربردی، اصلیترین قسمت راهکارهای ارائه شده توسط F5 میباشد که قابلیتهای فایروال شبکه را با مدیریت ترافیک، امنیت Applicationها و امنیت DNS ترکیب مینماید. میتوان این راهکارها را درون یک پلتفرم BIG-IP واحد تجمیع نمود تا پیچیدگیهای مدیریتی و سربار را کاهش و همزمان عملکرد و مقیاسپذیری را نیز افزایش داد. حفاظت تجمیعی ساخته شده بر روی BIG-IP Local Traffic Manager یا به اختصار LTM موجب فراهم نمودن انعطافپذیری بالای برنامههای سازمانی خواهد شد که به صورت گستردهای بر روی سیستمهای شرکت پیادهسازی شدهاند. در نتیجه این برنامهها در هر کجا که مستقر شوند، برای محافظت از برنامه های مرکز داده اینترنتی، ایدهآل خواهند بود.
راهکارهای F5 BIG-IP برای محافظت از برنامه
راهکارهای F5 برای حفاظت از برنامهها، از ماژول های BIG-IP زیر تشکیل شده اند:
لازم به ذکر است که راهکار F5 برای حفاظت از برنامههای کاربردی، عملکردهای کلیدی شبکه و امنیت را در یک پلتفرم واحد گردآوری مینماید.
- BIG-IP Advanced Firewall Manager یا به اختصار AFM : این راهکار پیشرفتهی امنیت شبکه، هستهی اصلی راهکار امنیت برنامه F5 را تشکیل میدهد و موجب فراهم نمودن قابلیت دید کامل SSL و همچنین لایهی شبکه و کاهش حملات Session-Layer خواهد شد.
- BIG-IP Local Traffic Manager یا به اختصار LTM: مدیریت ترافیک پیشرفته، تعدیل کنندهی بار و ارائه برنامه فراهم مینماید.
- BIG-IP Application Security Manager یا به اختصار ASM: این ماژول امنیت برنامه، Scrap نمودن وب و جلوگیری از Bot شدن و کاهش حملات HTTP DDoS را ارائه میدهد.
- F5 WebSafe و MobileSafe: در برابر تهدیدات هدفمند آنلاین و برنامههای بانکی مخصوص تلفن همراه کاربران، از شبکه محافظت مینماید.
- BIG-IP DNS (که قبلا تحت عنوان (Global Traffic Manager (GTM شناخته میشد): ارتقاء مقیاس و ایمنسازی زیرساختهای DNS در هنگام وقوع حملات DDoS و آنلاین نگهداشتن برنامههای بینالمللی را ممکن میسازد.
- IP Intelligence و Geolocation: این خدمات اضافی، برای افزودن امنیت مربوط به ساختار، اعتبارIP و اطلاعات موقعیت جغرافیایی را در اختیار مدیران شبکه قرار میدهد.
محافظت از محیط ارائه دهنده سرویس
BIG-IP AFM با مقیاس بینظیر و عملکرد بالا، برای توسعه دهندگان سرویسهای ارتباطاتی و Cloud، ایدهآل میباشد و همچنین در Service Providerها، به تضمین عملکرد بالا کمک نموده و همزمان هم از شبکه و هم از مشترکین در مقابل حملات محافظت میکند.
BIG-IP AFM در شبکههای سیار، اساس راهکار فایروال F5 S/Gi را تشکیل میدهد و در زیرساخت Gi در شبکههای 3G و رابط SGi شبکههای4G/LTE مستقر میباشد. راهکار فایروال S/Gi باعث اجرا شدن Perimeterهای شبکه شده و به ارائهدهندگان سرویس، حفاظت از زیرساختهای سیار و مقیاسپذیری و انعطافپذیری برای اجرای سرویس پیشرفته ارائه مینماید.
ویژگی ها و مشخصات BIG-IP AFM
BIG-IP Advanced Firewall Manager، راهکار امنیتی Stateful و Full-Proxy بوده که به صورت پیشرفته از شبکه محافظت مینماید و دارای قابلیتهایی بوده که آن را نسبت به فایروالهای قدیمی برجسته میسازد.
| امنیت | |
| تشخیص پروتکل | بله- SYN/ ICMP/ ACK/ UDP/ TCP/ IP**/ DNS/ ARP |
| محافظت در برابر حملاتِ DDoS و DoS | بله- L3، L4، SSL، DNS، HTTP، Flood، Sweep |
| تنظیمات Threshold نمودن خودکار DDoS | بله |
| Remotely Triggered Black Hole Filtering | بله |
| پروکسی SSH | بله |
| حفاظت از سوءاستفاده از پورت | بله |
| Reverse Proxy | بله |
| IP Reputation* And Geolocation | بله- شامل شناسایی پروکسیهای Tor، بدافزار و سرورهای دستور و کنترل (C&C) |
| مدیریت مرکزی w/RBAC | بله- با مدیریت متمرکز BIG-IQ |
| گزارشگیری SNMP | بله |
| فرایند Sampling ترافیک DDoS | بله |
* دارای Licenseهای مجزا
** پشتیبانی از IPv4 و IPv6
| IPsec | |
| Site-To-Site | بله |
| روشهای Keying | Internet Key Exchange (IKEv1 و IKEv2) دستی، |
| روشهای احراز هویت | کلید به اشتراک گذاشته شده، RSA Signature |
| گروههای Diffie-Hellman | 1، 2، 5، 14، 15، 16، 17، 18 |
| الگوریتمهای رمزگذاری | 3DES, AES-128, AES-192, AES-256, AES-GCM-128, AES-GCM-2556 |
| الگوریتمهای Hash/HMAC | SHA-1, AES-GMAC-128, AES-GMAC-192, AES-GMAC-256 |
| ویژگیهای پلتفرم | |
| Multi-Tenancy | بله- با vCMP |
| دسترسپذیری بالا | بله- به صورت active-passive یا active-active |
| SSL VPN | |
| دسترسی از راه دور | بله – با BIG-IP APM |
دسترسپذیری BIG-IP AFM
چنانچه در جدول زیر درج شده است، BIG-IP Advanced Firewall Manager به منظور توانمندسازی فایروال تحویل برنامه خاص، با دیگر ماژولها همراه شده است.
| نام Bundle | BIG-IP AFM | BIG-IP LTM | BIG-IP ASM | BIG-IP APM | BIG-IP
APM Lite (10 کاربر) |
| Application Delivery Firewall
(فایروال تحویل برنامه) |
+ | + | + | ||
| Application Delivery Firewall with Application Security
(فایروال تحویل برنامه همراه با امنیت برنامه) |
+ | + | + | + | |
| Application Delivery Firewall with Access Management
(فایروال تحویل برنامه همراه با مدیریت دسترسی) |
+ | + | + | + | |
| Application Delivery Firewall with Application Security and Access Management
(فایروال تحویل برنامه همراه با امنیت برنامه و مدیریت دسترسی) |
+ | + | + | + | + |
| Advanced Firewall Manager Add-On (برای سیستمهایی که در حال حاضر دارای BIG-IP LTM میباشند) | + |
لازم به ذکر است که تمامی Licenseهای BIG-IP AFM شامل پروتکل امنیت، Routing و حداکثر SSL میباشند و همچنین هوش IP و Geolocation به صورت افزوده شده برای همه بستهها (Bundles) موجود میباشد.
BIG-IP Advanced Firewall Manager به منظور یکپارچه شدن باBIG-IP Local Traffic Manager بر روی هر پلتفرم BIG-IP به صورت ماژول Add-On موجود میباشد.
ــــــــــــــــــــــــــــــــــ
معرفی قابلیتهای BIG-IP Advanced Firewall Manager – قسمت اول
معرفی قابلیتهای BIG-IP Advanced Firewall Manager – قسمت دوم
معرفی قابلیتهای BIG-IP Advanced Firewall Manager – قسمت سوم
معرفی قابلیتهای BIG-IP Advanced Firewall Manager – قسمت چهارم (پایانی)
