如何構建可以抵抗惡意攻擊的數據中心防火牆？

　　
　　伴隨大數據和雲計算技術普遍應用於各行業中，數據中心的重要性更加凸顯，成爲企業業務運營的神經中樞和核心資產。可是當前的網絡安全威脅形勢愈來愈複雜，傳統數據防火牆對於惡意數據攻擊的防禦能力較弱，那麼到底傳統數據中心防火牆有什麼不足之處，以及如何從新構建完善的數據中心防火牆呢？

　　顯而易見的是，在互聯網技術快速發展的時代，也意味着「黑客」或惡意攻擊的破壞性也隨之加強。現現在傳統數據中心防火牆已沒法知足企業安全需求，網絡攻擊大多發生在應用層和網絡層故障，且呈上升趨勢，傳統的防火牆存在着很大的不足之處，包括沒法檢測加密的Web流量；普通應用程序加密後，也能輕易躲過防火牆的檢測；對於Web應用程序防範能力不足；應用防禦特性只適用於簡單狀況；沒法擴展深度檢測功能, 僅部署傳統的防火牆服務已經沒法有效地檢測攻擊並防止業務中斷，可見防火牆故障更加使人擔心，想要確保網絡環境安全，就須要針對數據中心防火牆進行根本性的變革。
　

傳統數據中心防火牆的不足之處

　　爲了應對數據中心的風險問題，知足企業對數據中心的全球需求，並確保數據中心網絡邊界安全，F5提出了新型數據中心防火牆解決方案。以F5 BIG-IP LTM本地流量管理器所提供的防火牆服務爲基礎的全新的數據中心架構，既可以有效地抵禦現代頻繁和多樣化的網絡攻擊，又能夠節省企業分散式購買安全設備帶來的成本。具體來講，F5新型數據中心防火牆解決方案是經過一種全面的集成式平臺解決上述每一個因素。

　　流量管理和網絡防火牆服務由BIG-IP LTM進行管理。經過部署BIG-IP DNS能夠執行DNSSEC和DNS Express，從而保護關鍵的DNS服務免受DDoS和劫持攻擊；經過部署BIG-IP ASM能夠提供面向10大OWASP攻擊的Web應用防火牆服務；最後，經過部署BIG-IP APM來提供安全的Web訪問管理和麪嚮應用的SSO，以確保數據中心防火牆解決方案的完整。所以，BIG-IP LTM是一個可以爲網絡堆棧提供全方位保護的現代威脅緩解平臺。
　　F5新型數據中心防火牆解決方案

　　此外，BIG-IP LTM的本地防火牆服務可提供鏈接能力遠遠高於傳統防火牆的網絡層保護，所以使得這一架構成爲可能。BIG-IP LTM最多可處理4800萬條鏈接，在受到攻擊時能夠經過不一樣的超時行爲、緩衝區大小和其它安全性相關選項對其進行管理。這一能力使得BIG-IP LTM能夠在管理流量衝擊量的同時，執行基於端口和IP的訪問控制服務(一般由狀態防火牆提供)。

　　整體來看，F5新型數據中心防火牆安全解決方案可以在一個全代理架構中出色地抵禦全部這三種類型的攻擊(網絡、DDoS和應用)，是任何的傳統數據中心防火牆都沒法比擬的。F5新型數據中心防火牆可以幫助企業緩解現在最具挑戰性的攻擊，支持企業實施一個全面且可擴展的安全戰略。