[产品及应用下载][F5][白皮书]V9White_Papenh.docx

《[产品及应用下载][F5][白皮书]V9White_Papenh.docx》由会员分享，可在线阅读，更多相关《[产品及应用下载][F5][白皮书]V9White_Papenh.docx（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、白皮书保护企业网网络周边边安全部署署F5的的BIGG-IPP系统，确确保为企企业提供供广泛的的应用及及网络安安全综述如今，随着着互联网网的复杂杂性日益益增加，企企业的漏漏洞也面面临越来来越多的的恶意攻攻击。企企业组织织也不得得不寻找找各种方方法保护护他们的的基础架架构与应应用层免免受攻击击。每年年，由于于网络安安全漏洞洞使公司司遭受上上百万的的美元的的收入、生生产力及及声誉损损失。过去，企业业一直习习惯于利利用防火火墙来提提高企业业网络安安全。但但是，这这已经不不能再满满足当今今网络的的需要了了。虽然然防火墙墙可以阻阻止对企企业网络络的攻击击，但却却不能阻阻止对企企业应用用层的攻攻击。因因此，

2、企企业开始始寻找更更可靠、且且可扩展展的解决决方案来来保护他他们的网网络安全全，并提提高保护护级别。作作为应用用流量管管理解决决方案，FF5公司司的BIIG-IIP系系统可为为企业提提供最佳佳的解决决方案，使使企业网网络具备备网络及及应用层层的双重重安全。本白皮书书旨在在说明BBIG-IP系系统是如如何为企企业提供供全面及及完整的的网络及及应用安安全解决决方案，防防止潜在在的应用用及网络络层威胁胁与攻击击，增强强企业网网络的全全面安全全。应用挑战现在，应用用系统已已经成为为企业商商业活动动的核心心。鉴于于其对企企业收入入的直接接影响性性，除防防止一些些低级网网络攻击击外，保保护企业业应用系系统

3、漏洞洞及关键键信息免免受恶意意攻击是是至关重重要的。目目前，企企业若想想获得真真正的网网络及应应用安全全，面临临着众多多的挑战战，这是是因为：应用系统漏漏洞日益益增多：现今今的安全全系统与与防火墙墙已不能能够检测测出、也也无法抵抵挡各种种新型应应用层攻攻击了。这这些安全全设备都都忽视了了应用层层安全，而而仅仅实实现对某某一地址址、端口口或资源源的锁定定或解锁锁。他们们无法对对数据包包进行深深层检查查，且无无法保持持会话状状态信息息以检测测并保护护应用系系统免受受攻击。应应用层攻攻击通常常表现为为注入及及执行受受限命令令、coookiie篡改改、或非非法获取取敏感文文件或用用户信息息。这些些攻击

4、将将导致企企业收入入及生产产力的巨巨大损失失，给企企业的声声誉带来来极大的的负面影影响。日益增多的的网络漏漏洞网络攻攻击日趋趋普遍、日日渐复杂杂。恶意意攻击的的方法也也不断翻翻新，他他们穿过过网站的的防御系系统，盗盗取有价价值的信信息、甚甚至击溃溃整个网网站。诸诸如拒绝绝服务（DoS）、分布式拒绝服务（DDoS）、无序包泛滥（out of order packet floods）及 TCP 窗口尺寸干预（TCP window size tampering）等复杂的攻击对企业的安全系统构成极大的压力，他们必需保护企业应用免受海量攻击而导致的网络瘫痪。黑客与恶意攻击者通常在开始攻击前，首先扫描网站

5、（即：攻击信息归档profiling），从看似无害的资源中获取系统或应用信息，如服务器错误代码及源代码注释等。内部安全漏漏洞与信信息漏洞洞目前前，企业业面临的的最大威威胁之一一就是来来自企业业内部的的安全攻攻击。由由于内部部用户是是受信任任域的一一部分，因因此很难难被检测测并防止止此类攻攻击。现现在的安安全系统统都无法法为企业业提供灵灵活的安安全策略略部署，在在允许其其它无需需加密的的非关键键流量通通过的同同时，对对企业内内部的某某些商业业关键流流量进行行加密。因因此，企企业用户户一直在在寻找一一种有效效又统一一的安全全策略，可可利用现现有的解解决方案案，使企企业网络络的安全全性达到到诸如：S

6、arrbannes-Oxlley, HIIPAAA annd FFIPSS等国际际安全标标准。解决方案BIG-IIP系统统为企业业用户提提供多种种安全服服务，在在增强企企业网络络的安全全性中起起到至关关重要的的作用。将将BIGG-IPP系统部部署在通通往企业业重要资资源（支支持公司司业务运运行的应应用及网网络）的的关键网网关处，即即可为企企业网络络增加强强大的网网络级安安全策略略，同时时过滤最最复杂的的应用攻攻击。作作为集成成的SSSL加密密及一系系列应运运而生的的应用安安全技术术领域的的领导者者，BIIG-IIP系统统可加固固企业网网络安全全，抵挡挡各种类类型的攻攻击。强大的应用用安全BIG

7、-IIP解决决方案可可对整个个应用系系统的有有效载荷荷进行深深层数据据包检查查，从而而大大增增强了企企业应用用层的安安全性。利利用其灵灵活性与与无可比比拟的能能力，为为网络管管理员提提供管理理与控制制应用流流量的强强大工具具。全面面认证、授授权、审审计及有有效载荷荷的解析析功能，使使企业在在允许某某个会话话前，在在其网络络边缘处处执行安安全策略略。性能能如下：通用检查引引擎与iiRulles企业用户可可利用 BIGG-IPP系统来来设置与与执行普普通的应应用层安安全策略略。利用用BIGG-IPP的新型型及增强强的通用用检查引引擎（UUIE）与与TCLL规则（iRules）能力，企业用户可过滤及

8、阻止应用层攻击与威胁。新型通用检查引擎使BIG-IP系统在连续应用流的基础上对全部应用有效载荷进行检查，为决策（如：交换、持续或拒绝）提供更多的灵活性。企业用户可以使用标准编程接口，如TCL语言，来建立iRules，创建与企业安全方针一致的安全策略，从中体验它的灵活性和强大的功能。设定安全策略后，就可以把它分配给某一个简档(一个图形用户界面（GUI）的新功能，可以简化部署并且能够重复利用)。二者共同使用即可为企业的应用流量提供无可比拟的控制与保护。认证与授权权BIG-IIP系统统可利用用网络边边缘的认认证功能能，将网网络周边边的安全全提高一一个级别别，从而而增强了了企业应应用的安安全性。高级客

9、户机认证(ACA)模块为各种类型的IP流量提供一个认证代理，起到网站岗哨的作用。与（可提供供认证机机制库的的）可插插入认证证模块(PAMM)引擎擎联合使使用，AACA模模块可卸卸载服务务器的关关键认证证处理，以以降低消消耗服务务器资源源的认证证管理。AACA模模块兼容容各种授授权机制制，如LLDAPP, RRADIIUS 及 TAACACCS+。在递交客户户证书时时，BIIG-IIP系统统可在接接收证书书并将数数据转向向一个目目标服务务器前，利利用证书书撤消清清单(CCRL)或在线线证书验验证状态态协议 (OCCSP)，对该该证书的的撤消状状态进行行评估。BBIG-IP设设备还可可担当凭凭证管

10、理理中心(CA)的角色色。通过过其密钥钥管理系系统（KKMS），BBIG-IP可可为企业业用户提提供一个个集中且且简单的的方法来来生成管管理与执执行客户户机/服服务器的的密钥与与证书。在在网络层层巩固与与执行认认证可降降低应用用与服务务器的负负荷，并并可使企企业无需需再逐个个为成百百上千的的应用部部署认证证系统，且且省时省省力。应用与内容容过滤BIG-IIP系统统，利用用其强大大的通用用检查引引擎及可可自定义义的基于于策略的的iRuuless引擎，为为企业用用户提供供一种功功能强大大的执行行安全策策略的方方法。BBIG-IP解解决方案案中提供供的应用用与内容容过滤功功能使企企业用户户可通过过定

11、义穿穿梭于其其服务器器的流量量，执行行积极的的安全模模块。利利用此独独特的功功能，对对应用有有效载荷荷内部的的数据包包及会话话流进行行深层检检查，因因此，BBIG-IP系系统可在在保护企企业重要要资产的的同时，不不仅可阻阻止对记记录/目目录、受受限命令令的非法法访问，还还可阻止止对应用用服务器器中敏感感文件的的非法访访问。同同时，BBIG-IP系系统还可可根据受受限或黑黑名单中中的网站站列表对对内容进进行过滤滤，并协协助企业业用户执执行安全全策略。Cookiie加密密与认证证此强大的功功能使企企业用户户可以对对应用流流量中的的coookiees进行行加密及及认证，如如此可阻阻止黑客客获取cco

12、okkiess来发动动应用攻攻击。激激活coookiies加加密与认认证，黑黑客就无无法通过过读取ccookkiess而获取取JSeessiionIIDs及及用户身身份信息息，并随随后更改改coookiees以建建立非法法会话。BBIG-IP系系统为企企业的有有状态应应用系统统提供出出色的保保护，使使其免受受会话劫劫持、及及coookiees篡改改等利用用coookiees内容容重写对对关键应应用漏洞洞发起的的攻击。SSL加速速与加密密繁重的SSSL流量量会导致致处理瓶瓶颈，即即使是功功能最强强大的设设备也会会因此而而瘫痪，从从而导致致服务或或应用的的整个安安全性能能遭受巨巨大的影影响。另另外

13、，若若无法保保护应用用在SSSL协议议中的私私人密钥钥，就会会导致将将用户与与服务安安全置于于危险境境地。BIG-IIP系统统中使用用的集成成的SSSL加速速模块，不不仅可增增强SSSL计算算资源，还还可集中中密钥管管理。BBIG-IP设设备拥有有市场上上最快最最安全的的加密运运算法则则。BIIG-IIP系统统向企业业用户提提供高级级加密标标准（AAES）及及一种1128、1192或或2566位（可可选的）区区块加密密的对称称加密法法，以此此来进一一步提高高企业网网络安全全保护级级别，并并使其获获得符合合企业需需要的真真正的安安全性。通通过AEES及SSSL处处理，BBIG-IP系系统在无无需

14、额外外增加成成本的基基础上，为为用户提提供目前前市场上上最安全全的SSSL加密密运算法法则。日益增强的的网络及及基础架架构安全全BIG-IIP系统统为企业业用户提提供强大大的网络络层安全全，进一一步提高高其安全全性，保保护其免免受最严严重的网网络攻击击。BIIG-IIP设备备拥有独独特的UUIE及及可编程程的iRRulees语言言，为企企业用户户提供针针对网络络有效载载荷的完完整可视视性，以以便使用用户更为为简便的的管理及及执行其其安全策策略。除除对普通通网络攻攻击、DDoS、DDooS攻击击、及协协议篡改改攻击的的防御外外，再加加上BIIG-IIP系统统的数据据包过滤滤功能，为为企业用用户提

15、供供无与伦伦比的安安全性，从从而在促促进企业业生产力力与收入入提高的的同时，又又降低了了拥有成成本。BBIG-IP系系统依靠靠下列特特性提高高了网络络及基础础架构的的安全性性：缺省的拒绝绝访问BIG-IIP系统统是一种种缺省的的拒绝访访问设备备，如非非管理员员指定类类型的流流量，BBIG-IP系系统将拒拒绝其通通过。如如此可极极大的增增加网络络的安全全性，而而只有符符合管理理员指定定类型的的流量可可通过BBIG-IP系系统。自动防御BIG-IIP的软软件拥有有无数的的内置程程序，可可保护企企业网络络免受普普通攻击击。它可可忽视直直接子网网广播，且且不响应应常用于于Smuurf 及Fraaggl

16、le攻击击的广播播ICMMP请求求。BIIG-IIP设备备的连接接表与现现有连接接保持一一致，如如此，诸诸如LAAN攻击击等中的的虚假连连接就无无法传递递给服务务器。BBIG-IP系系统可查查验帧定定位的正正确性，以以防止普普通片段段储存攻攻击（TTearrdroop, Boiink, Boonk 及Nessteaa）。此此外，通通过端口口的缺省省封锁即即可阻止止其它攻攻击（WWinNNukee, SSub77, 与与Bacck OOrifficee ussagee）。由由于BIIG-IIP可重重新组合合TCPP重叠片片段及IIP碎片片，企业业网络可可阻止日日趋普遍遍的新型型未知攻攻击。SYN

17、 CCHECCKSYN ffloood是拒拒绝服务务攻击中中的一种种，此类类型的攻攻击旨在在耗尽系系统资源源，使其其无法建建立合法法连接。BBIG-IP系系统的SSYN CHEECK的的特性就就是代表表服务器器发送ccookkiess至请求求客户机机、不记记录连接接的状态态信息使使其无法法完成初初期的TTCP交交握，以以此来减减缓SYYN fflooods攻攻击的影影响。此此独特的的性能确确保服务务器仅处处理合法法连接，且且不消耗耗BIGG-IPP的SYYN队列列，如此此，即可可继续正正常的TTCP通通讯了。SSYN CHEECK的的特性是是BIGG-IPP系统DDynaamicc Reeap

18、iing特性的的补充，在在Dynnamiic RReappingg处理已已经建立立的连接接的泛滥滥时，SSYN CHEECK处处理新建建连接的的泛滥，以以防止SSYN队队列被耗耗尽。SSYN CHEECK与与高性能能的syyn-ccachhe一起起使用，企企业用户户即可在在不损失失TCPP选项的的情况下下使用ssynccookkiess。DoS 与与Dynnamiic RReappinggBIG-IIP软件件中有两两个全局局设置，提提供了在在特定情情况下清清除相应应连接的的功能。为为防止拒拒绝服务务（DooS）攻攻击，企企业用户户可以指指定一个个低临界界值与一一个高临临界值。一一旦到达达低临界

19、界值，系系统开始始清除接接近超时时时间的的连接。到到达高临临界值，系系统不在在接受新新建连接接请求，只只允许已已经建立立的连接接通过BBIG-IP系系统。这这个临界界值为内内存的利利用率，一一旦内存存利用率率达到此此临界值值，就不不再接受受连接请请求了，直直到内存存利用率率降到低低临界值值以下。虚拟服务器器上的连连接限制制BIG-IIP系统统允许网网络管理理员限制制虚拟服服务器上上最大并并发连接接数。这这样另一一防御层层即可抵抵御诸如如拒绝服服务（DDoS）等等攻击。协议无害处处理此功能使企企业用户户得以保保护他们们的网络络免受利利用IPP协议篡篡改发起起的攻击击，以防防止服务务器资源源耗尽及

20、及网站瘫瘫痪。BBIG-IP系系统作为为安全防防御的第第一线，可可阻止包包括无序序包泛滥滥、MSSS ttinyy paackeet fflooods、TTCP窗窗口尺寸寸干预等等攻击，切切断客户户机与服服务器间间的TCCP连接接。BIIG-IIP设备备可过滤滤客户机机与服务务器间的的通讯，查查找入侵侵攻击样样式及异异常，并并对服务务器与应应用的流流量进行行过滤。数据包过滤滤BIG-IIP系统统的增强强数据包包过滤引引擎可对对数据包包进行深深层检查查，并在在高级数数据包过过滤器规规则基础础上，使使网络管管理员可可以接入入、丢弃弃或拒绝绝（将“管理员员禁止”的各种种代码退退还给发发送源）流流量。

21、数数据包过过滤器规规则可执执行第四四层过滤滤，根据据安全策策略允许许受信任任流量通通过，及及处理其其它特定定的流量量类型。现现在，企企业用户户可使用用兼容IIPV44或IPPV6的的数据包包过滤器器，不仅仅能提供供基本的的防火墙墙功能，还还进一步步提高周周边安全全。根据据数据包包的源或或目的IIP地址址、源或或目的端端口号（支支持端口口的协议议）、及及数据包包类型（UUDP、TTCP或或ICMMP）对对数据包包进行过过滤。数数据包过过滤可保保护企业业网络免免受IPP欺骗（IP Spoofing）、伪造TCP标记攻击等入侵攻击。审计与日志志BIG-IIP系统统强大的的日志功功能可记记录由于于意外

22、环环境或无无效参数数（如：陆地攻攻击（LLandd atttacck）、Smmurff 攻击击、baad ccheccksuums、未未经处理理的IPP协议数数或版本本等）而而导致的的数据丢丢弃的相相关事件件。BIIG-IIP设备备的安全全报告中中可识别别出任何何服务或或端口所所收到的的未授权权访问企企图的源源IP地地址、所所使用的的端口以以及频次次。该信信息有助助于识别别网络安安全的漏漏洞，并并确定攻攻击来源源。除为为通用内内容转换换设计的的新规则则功能及及变量外外，还进进一步拓拓展了规规则的语语法，包包括两个个新的规规则语句句：loog 和和 acccummulaate。通通过利用用这些功

23、功能，企企业用户户可利用用iRuuless调用日日志记录录或系统统日志信信息，使使网络管管理员对对攻击保保持实时时警惕。流量控制流量控制这这一新特特性为企企业用户户提供了了功能强强大且灵灵活的方方法来抵抵御带宽宽滥用攻攻击。利利用速率率级别与与速率过过滤器，企企业用户户可保护护自己的的网络免免受流量量峰值、非非法滥用用或网络络攻击而而导致的的网络资资源耗尽尽。企业业用户可可定义流流量及应应用限制制，并控控制那些些资源允允许的流流量峰值值速率，从从而识别别并阻止止企图耗耗尽企业业网络资资源的普普通安全全攻击。防止信息泄泄露BIG-IIP系统统保护企企业用户户网络，防防止黑客客利用安安全漏洞洞盗取

24、有有价值的的信息。黑黑客经常常利用扫扫描网站站或网站站攻击信信息归档档来获取取企业基基础架构构信息，他他们分析析流量样样式并检检查漏洞洞的错误误代码，以以便他们们攻击企企业网络络。 企企业的内内部安全全漏洞是是企业面面临的共共同问题题，因此此，黑客客经常试试图在网网络内部部非法获获取敏感感信息。BBIG-IP系系统为企企业提供供了可阻阻止非法法访问敏敏感及关关键信息息的工具具，并可可在需要要时，有有选择的的对流量量进行加加密。BBIG-IP产产品通过过下列特特性阻止止敏感信信息的泄泄露：资源隐藏BIG-IIP系统统使企业业用户得得以阻止止黑客通通过扫描描其网站站及应用用系统来来获取用用户的安安

25、全漏洞洞。BIIG-IIP设备备利用资资源隐藏藏这一特特性，将将包含在在网页、服服务器报报头中关关于服务务器及应应用系统统的错误误代码、以以及源代代码注释释内的服服务器敏敏感信息息全部虚虚拟化并并隐藏。利利用通用用检查引引擎及iiRulles的的灵活性性，BIIG-IIP系统统可阻止止/过滤滤关于网网站的一一任敏感感信息，为为企业提提供无可可比拟的的安全保保护。安全网络地地址转换换（NAAT）与与端口映映射BIG-IIP系统统可将其其所使用用的地址址及端口口转换至至向外界界公布的的地址与与端口，这这样网络络管理员员就不用用担心会会暴露BBIG-IP设设备资源源，从而而降低了了服务器器遭受攻攻击

26、的危危险。BBIG-IP系系统中被被称为智智能安全全网络地地址转换换（智能能SNAAT）的的特性与与NATT类似，为为私网IIP地址址的服务务器提供供一个公公网IPP地址，以以确保其其安全地地连接到到互联网网。但智智能SNNAT又又不同于于NATT，智能能SNAAT允许许网络管管理员将将一组节节点、整整个子网网或VLLAN映映射成一一个IPP地址。除除此之外外，智能能SNAAT还可可基于IIP数据据包数据据中的任任意一部部分映射射成一个个IP地地址。企企业用户户可利用用BIGG-IPP系统的的UIEE，用更更智能的的方法基基于IPP数据包包数据的的任意一一部分映映射成一一个IPP地址。在在默认

27、情情况下，SSNATT地址仅仅可用于于发起外外部连接接请求。BBIG-IP系系统的默默认设置置为禁止止向SNNAT地地址直接接发出内内部连接接请求。有选择性的的内容加加密BIG-IIP解决决方案为为用户提提供了基基于其应应用安全全策略及及标准需需求的有有选择性性的数据据加密功功能。现在，企业业用户可可在某一一中心位位置构建建统一的的安全策策略、却却对不同同的客户户实施不不同的策策略。企企业用户户可利用用精细控控制来管管理非关关键流量量，并对对敏感信信息进行行有选择择性的加加密，如如帐号、密密码等，以以使企业业网络安安全符合合国际安安全标准准：Saarbaaness-Oxxleyy, HHIPA

28、AA 及及 FIIPS。扩展现有安安全解决决方案防火墙、入入侵检测测系统（IIDS）及及VPNN设备构构成了企企业网络络内外的的第一道道安全防防御系统统。鉴于于这些设设备在网网络安全全中的重重要性，要要求他们们在任何何时候都都必需保保证其可可用性、功功能的适适用性及及迅速反反应。将将BIGG-IPP设备添添加到企企业的安安全基础础架构中中，可扩扩展企业业现有的的解决方方案，大大大增加加其可扩扩展性及及可用性性。可能能过BIIG-IIP系统统的某些些高级特特性达到到提高扩扩展性及及可用性性的目的的，这些些特性就就是为了了支持企企业安全全基础架架构的需需求而开开发的，以以实现与与企业基基础架构构可

29、靠、无无缝的兼兼容。这这些特性性如下：高级负载均均衡运算算法则：BIGG-IPP软件中中包含有有各种负负载均衡衡运算法法则可供供网络管管理员选选择，某某些是专专门适用用于负载载均衡安安全设备备的，如如防火墙墙、VPPN或入入侵检测测系统（IIDS）。BBIG-IP系系统的高高级运算算法则（如如预测模模式、观观察模式式、及动动态性能能模式等等）将一一个或多多个动态态性能因因素（如如：当前前连接数数）考虑虑在内。负负载均衡衡根据设设备的区区别，其其处理速速度、内内容及连连接类型型都各不不相同，这这些运算算法则可可更好的的将资源源统一利利用起来来，以将将投资收收益最大大化，并并提高安安全设备备的性能

30、能与网络络保护能能力。高级透明健健康状态态检查BIG-IIP系统统的透明明健康状状态检查查能力可可通过一一个透明明节点对对另命名名的目的的地址进进行检查查。在透透明状态态下，健健康检查查会透过过一个节节点(使使用这种种健康检检查的节节点，通通常是防防火墙)到达一一个目的的节点。换换言之，如如果负载载均衡池池中有两两个防火火墙，可可将源服服务器或或内部两两台BIIG-IIP作为为透过指指定防火火墙目的的节点。如如果从目目的节点点处未获获得响应应，则该该防火墙墙（而非非源服务务器）则则将被标标记为无无效，并并将流量量重新导导至一个个正常资资源处。高级应用状状态检查查BIG-IIP系统统的扩展展应用

31、验验证（EEAV）性性能可用用于提高高透明健健康检查查的精确确性。扩扩展应用用验证利利用远程程运行应应用来验验证某一一节点上上应用的的状态。如如果应用用未在预预期设定定的时间间内做出出反应，则则BIGG-IPP系统会会直接将将请求引引导至其其它正常常的设备备中去。优秀的持持续性当通过一系系列的安安全设备备对客户户连接进进行负载载均衡时时，最重重要的是是要将其其拥有相相同会话话ID的的数据包包直接送送至相同同的设备备。BIIG-IIP解决决方案为为网络管管理员提提供了多多种持续续性模式式，使其其在保持持负载均均衡的同同时，确确保拥有有相同的的会话IID所有有的连接接持续流流向同一一节点。BBIG

32、-IP的的通用持持续性为为企业应应用提供供了高灵灵活性，以以保持在在应用有有效载荷荷的任一一点上的的持续性性。Any-IIPAny-IIP流量量允许BBIG-IP系系统对除除TCPP及UDDP以外外的协议议进行负负载均衡衡。例如如，网络络管理员员可利用用此性能能，对IIPSEEC流量量进行负负载均衡衡(将一一组VPPN设备备分配给给一个虚虚拟服务务器)。重新绑定动动态连接接BIG-IIP设备备还为安安全设备备提供了了重新绑绑定动态态连接的的功能，该该安全设设备与集集群中的的其它设设备共用用相同的的会话表表。如果果集群中中的一个个节点不不可用，重重新绑定定动态连连接功能能会立即即将此节节点上的的

33、所有连连接转至至同一池池中的另另一正常常节点上上去。由由于其它它节点与与原节点点共用相相同的会会话表，因因此新节节点可在在不间断断或干涉涉用户使使用的情情况下，对对既存连连接进行行认证。Last hopp pooolss在对安全设设备进行行负载均均衡的同同时，利利用laast hopp pooolss，可确确保连接接响应的的路径（从从服务器器至客户户机）与与初次请请求之路路径（从从客户机机至服务务器）相相同。BBIG-IP允允许网络络管理员员手动指指定laast hopp pooolss组，或或允许系系统利用用自动llastt hoop ppoolls功能能自动确确认laast hopp。VL

34、AN镜镜像BIG-IIP系统统的增强强VLAAN镜像像功能可可复制VVLANN处接收收到的数数据包，并并将其发发送到另另一个VVLANN或VLLAN组组处。与与数据包包中的目目的MAAC地址址无关，此此过程适适用于所所有从VVLANN镜像配配置中源源VLAAN接收收到的流流量。VVLANN镜像不不包括BBIG-IP系系统从非非指定VVLANN发出的的数据包包。在此此情况下下，BIIG-IIP的作作用就像像是这些些VLAAN的一一个网络络中心。此此功能的的设计旨旨在对入入侵检测测系统进进行带外外的负载载均衡。BBIG-IP系系统中增增强的VVLANN镜像拥拥有优秀秀的性能能，为企企业用户户提供了

35、了可扩展展性及冗冗余机制制。克隆池BIG-IIP系统统增强的的克隆池池功能可可将一个个池中的的全部流流量复制制到另一一个克隆隆池中，该该池中包包括有一一个IDDS或探探测设备备。用户户可根据据任何标标准的负负载均衡衡池配置置一个克克隆池。当当一个标标准的负负载均衡衡池接收收到一个个连接时时，它就就会在标标准池中中为标准准连接寻寻找一个个节点，然然后在克克隆池中中时，就就会为其其寻找一一个克隆隆节点。此此时，克克隆池会会将标准准池中的的全部流流量复制制到克隆隆池中。BBIG-IP系系统中增增强的克克隆池功功能可优优化使用用IDSS设备的的企业网网络性能能并提供供可扩展展性。客户端SSSL代理理客

36、户端SSSL代理理功能可可终止SSSL连连接、解解密请求求并以纯纯文本形形式将请请求发送送至终点点目的地地。在终终止一个个SSLL连接的的过程中中，代理理可正常常执行由由目标wweb服服务器处处理的证证书验证证、与加加密解密密功能。如如与克隆隆池或VVLANN镜像一一起使用用时，企企业可利利用此功功能扩展展无法处处理加密密数据的的IDSS设备的的有效性性。集成控制BIG-IIP系统统通过FF5的iiConntrool APII（开放放的应用用编程接接口）成成为一个个统一的的防御点点。利用用iCoontrrol，其其它安全全设备可可通过创创建、删删除或编编辑iRRulees将其其信息注注入到BB

37、IG-IP系系统中，随随后通用用检查引引擎会执执行这些些命令。iControl可瞬间应用这些更改，系统也因此而实现快速保护措施。此功能可用于保护web服务、移动应用、及基于任何IP的应用。优势增强的应用用安全企业业用户可可通过BBIG-IP设设备执行行、增强强、加快快及保证证他们应应用及wweb服服务的安安全性。利利用BIIG-IIP的高高级客户户机认证证、Coookiie加密密、应用用及内容容过滤及及强大的的加密功功能，企企业用户户可部署署全面的的应用安安全，从从而构成成一道协协调、统统一的防防线、降降低拥有有总成本本并提高高投资回回报。强大的网络络安全性性企业业用户可可通过BBIG-IP系

38、系统为其其网络基基础架构构执行、增增强并部部署安全全策略。利利用BIIG-IIP系统统的DooS及SSYN攻攻击保护护、数据据包过滤滤及协议议无公害害处理功功能，企企业用户户可保护护其网络络免受最最严重的的攻击，并并控制进进出其网网站的信信息。提高投资回回报（RROI）BIG-IP解决方案最大限度地提高了应用可用性，允许无故障维护，从而显著降低管理成本。通过卸载SSL及关键安全功能（处理器及服务器密集型运行），客户无需再购买昂贵的硬件即可支持其应用。如此，不但增强了客户的应用性能，又可为用户节省30%的硬件成本。流量控制功能使客户可以根据业务政策分配带宽、以此来为客户节省成本并提高投资回报。高

39、可用性使用用高级状状态检查查特性，BBIG-IP系系统可检检测出不不可用或或性能不不佳的资资源，并并将流量量导向其其它资源源。BIIG-IIP产品品可使用用户的所所有应用用均到达达关键任任务可用用性标准准（正常常工作时时间高达达99.9999%），同同时显著著降低了了运营复复杂性和和成本。广泛集成iCConttroll 是业业界第一一个支持持全套应应用流量量管理产产品的开开放应用用编程接接口（AAPI）。IIConntrool体系系结构方方案以软软件开发发工具包包（SDDK）的的形式免免费提供供，解决决了当前前最大的的集成挑挑战，可可轻而易易举地通通过F55产品在在第三方方应用和和网络之之间实

40、现现互通。F5 公司司背景F5可为企企业成功功地提供供关键业业务应用用和最出出色的灵灵活性来来充分满满足其业业务需求求。作为为应用流流量管理理的先行行者和全全球领先先厂商，FF5将致致力于不不断为网网络添加加更多智智能特性性来提供供先进的的应用灵灵活性，使使企业保保持领先先地位。FF5产品品可确保保随时随随地为任任何用户户提供安安全和优优化的应应用。借借助其灵灵活、坚坚固的体体系结构构，F55通过显显著改善善企业服服务其员员工、客客户和合合作伙伴伴的方式式来提供供卓越的的价值，同同时显著著降低运运营成本本。目前前全球有有6,0000多多家企业业和服务务提供商商选择FF5的解解决方案案来支持持其业务务运营。FF5 Nettworrks总总部位于于华盛顿顿州西雅雅图市，在在全球各各地均设设有办事事处。访访问F55网站，获获得更多多信息：wwww.f55.coom。