如何构建能够抵抗恶意攻击的数据中心防火墙？

伴随大数据和云计算技术广泛应用于各行业中，数据中心的重要性更加凸显，成为企业业务运营的神经中枢和核心资产。但是当前的网络安全威胁形势越来越复杂，传统数据防火墙对于恶意数据攻击的防护能力较弱，那么到底传统数据中心防火墙有什么不足之处，以及如何重新构建完善的数据中心防火墙呢？

显而易见的是，在互联网技术快速发展的时代，也意味着“黑客”或恶意攻击的破坏性也随之增强。现如今传统数据中心防火墙已无法满足企业安全需求，网络攻击大多发生在应用层和网络层故障，且呈上升趋势，传统的防火墙存在着很大的不足之处，包括无法检测加密的Web流量；普通应用程序加密后，也能轻易躲过防火墙的检测；对于Web应用程序防范能力不足；应用防护特性只适用于简单情况；无法扩展深度检测功能, 仅部署传统的防火墙服务已经无法有效地检测攻击并防止业务中断，可见防火墙故障更加令人担忧，想要确保网络环境安全，就需要针对数据中心防火墙进行根本性的变革。

　　传统数据中心防火墙的不足之处

为了应对数据中心的风险问题，满足企业对数据中心的全球需求，并确保数据中心网络边界安全，F5提出了新型数据中心防火墙解决方案。以F5 BIG-IP LTM本地流量管理器所提供的防火墙服务为基础的全新的数据中心架构，既能够有效地抵御现代频繁和多样化的网络攻击，又可以节省企业分散式购买安全设备带来的成本。具体来说，F5新型数据中心防火墙解决方案是通过一种全面的集成式平台解决上述每个因素。

流量管理和网络防火墙服务由BIG-IP LTM进行管理。通过部署BIG-IP DNS可以执行DNSSEC和DNS Express，从而保护关键的DNS服务免受DDoS和劫持攻击；通过部署BIG-IP ASM可以提供面向10大OWASP攻击的Web应用防火墙服务；最后，通过部署BIG-IP APM来提供安全的Web访问管理和面向应用的SSO，以确保数据中心防火墙解决方案的完整。因此，BIG-IP LTM是一个能够为网络堆栈提供全方位保护的现代威胁缓解平台。

　　F5新型数据中心防火墙解决方案

此外，BIG-IP LTM的本地防火墙服务可提供连接能力远远高于传统防火墙的网络层保护，因此使得这一架构成为可能。BIG-IP LTM最多可处理4800万条连接，在受到攻击时可以通过不同的超时行为、缓冲区大小和其它安全性相关选项对其进行管理。这一能力使得BIG-IP LTM可以在管理流量冲击量的同时，执行基于端口和IP的访问控制服务(通常由状态防火墙提供)。

总体来看，F5新型数据中心防火墙安全解决方案能够在一个全代理架构中出色地抵御所有这三种类型的攻击(网络、DDoS和应用)，是任何的传统数据中心防火墙都无法比拟的。F5新型数据中心防火墙能够帮助企业缓解如今最具挑战性的攻击，支持企业实施一个全面且可扩展的安全战略。