的同时,有充足的资源处理正常的业务流量。
Full Proxy: Full Proxy为BIG-IP处理业务流量时的标准模式。其工作原理和代理模式防火墙的工作原理类似。BIG-IP最大的优点在于解决了代理防火墙性能低的问题。
在Full Proxy工作模式下,BIG-IP LTM自身分为了两个TCP堆栈,一个TCP堆栈用于客户端连接,另一个TCP堆栈用于服务器端连接。但对于客户端和服务器来说,BIG-IP是工作在透明模式的。在这种结构下,只有连接中真正的数据部分才能穿过BIG-IP进行传输,并且BIG-IP会对所有传输的内容进行严格的校验,而其他所有的不正常的数据包都将会被拦截在BIG-IP上进行丢弃处理。从原理上分析,在Full Proxy结构下,还可以防范未知的网络层面攻击。
对于网上银行的业务而言,最为危险的不是当前已知的攻击手段的防范,而是未知的攻击手段的防范。通过BIG-IP LTM 的Full Proxy模式,可以有效的防范可能遇见的未知网络层攻击手段。当然,从网络安全的角度而言,BIG-IP 不是一个专业的网络安全设备。从网络安全的角度上还是需要有防火墙、IDS等进行协同工作。
1.9.2 数据传输层安全
在网络层之上是数据传输层。在网上银行业务中,对数据传输层主要面临
第 21 页 共 23 页
的问题就是防止中途窃听。因为在网上银行系统中传输内容包含有大量的敏感数据,比如账号、密码等信息。这些信息一旦被非法窃听,带来的后果是灾难性的。
在传输安全上,目前国际上最为标准的就是SSL加密通道处理。至今未知,在全球范围内还没有手段可以快速而有效的破解SSL加密通讯数据。而PKI证书体系又为网上银行的身份识别带来了非常完善的安全可靠性。SSL处理的端到端特性,保证了SSL通道的建立必须是从客户端直接到服务器端。
然而,SSL高安全性同时也带来了服务器的高资源消耗,因此,在F5所有的硬件设备中,都支持硬件的SSL加解密处理。可以对SSL流量的非对称加解密和对称加解密的处理都在硬件芯片上进行处理。从低端到高端设备型号,F5的BIG-IP系列最低可支持2,000TPS,200Mbps吞吐能力,一直到最高端可支持200,000TPS,36Gbps吞吐能力。并且在许多的金融机构内得到了广泛的应用。
通过SSL加解密通道处理,可以有效的保证数据在广域网上的安全传输。
1.9.3 应用层安全
目前网上银行的主要应用方式均是以Web方式访问为主。除了在网络层面和数据传输方面进行安全防护外,还需要在应用层面上进行安全防护。Web访问方式主要使用HTTP协议,在带来应用访问的便利和友好的用户体验界面的同时,HTTP协议也是最容易受到黑客攻击的协议。比如传统的SQL Injection攻击手段,就是利用了页面和数据库之间的连接进行攻击。并且此类的攻击手段方式多变,和网络层、操作系统层基本没有关系。无法通过打补丁、加防火墙等防护手段进行防范。
针对这种情况,F5公司提供了ASM (Application Security Manager)来提供最高级别的安全防护。ASM通过学习和配置基于应用层面的允许访问策略。
第 22 页 共 23 页
可以防范各种未知的攻击手段,提供系统的最大安全性。同时,避免了防火墙无法进行深层次检测的问题和IPS的负向安全带来的巨大隐患。
第 23 页 共 23 页