认证

更新日期:2022 年 10 月 17 日

政府规定

F5 制定了有效的产品认证与评估程序,符合政府规定,有助于维护安全的 IT 环境。

联邦信息处理标准 (FIPS) 140-2 / 140-3

F5 提供虚拟版本 (VE)、全屏盒子 FIPS 平台、集成硬件安全模块 (HSM) PCI 卡和外部(网络 HSM)FIPS 解决方案,以满足最为严格的合规要求与架构。详情请见下表。

对于仅需要 FIPS 140-2/3 Level 1 解决方案的客户,F5 FIPS BIG-IP VE 包含了用于 x86 平台的经 NIST 验证、基于软件的加密模块。

F5 全屏盒子 FIPS 平台在 FIPS 140-2/3 Level 2 提供设备级验证,包括篡改明显标签贴纸的应用。

此外,F5 还提供一系列精选的 BIG-IP 平台,其中包括支持 FIPS 140-2 Level 2 实施以用于 RSA 密钥生成、使用与保护的 HSM。在 BIG-IP 集成式 HSM 上生成或导入至 BIG-IP 集成式 HSM 的密钥不可以纯文本格式提取。集成 HSM 的 BIG-IP 硬件设备拥有密封环氧包封层,若将其移除,则会导致卡不能用且不可访问密钥。多个平台支持内部 HSM 的 FIPS 140-2 Level 3 实施,以提供额外保护。此安全等级意味着内部 HSM 卡包括防篡改,可识别物理访问尝试、加密模块操作和/或篡改,并将破坏密钥并使卡不能用。

FIPS 徽标最后,F5 BIG-IP 支持外部(网络)HSM;详情请见下表。

使用 F5 FIPS 兼容解决方案的主要优势:

  • 高性能 SSL - 行业领先的性能,具备行业推荐的标准。
  • 统一平台 - BIG-IP 能够将提供安全密钥存储的 HSM 与在单一设备上具有 SSL 密钥管理和证书管理的应用交付解决方案进行整合。其他解决方案需要为每个 Web 服务器提供单独的系统或经 FIPS 认证的卡,但 BIG-IP 系统的密钥管理框架允许可处理更高流量级别的高度可扩展的安全基础架构。此外,企业还可以轻松将新服务添加至基础架构。
  • 保护资源 - F5 解决方案通过保护企业资源安全与企业品牌形象,维护企业声誉。

公有云中的 FIPS 集成支持

  • 亚马逊云科技 CloudHSM - 凭借 CloudHSM,您可以使用经 FIPS 140-2 Level 3 验证的 HSM 管理自己的加密密钥。BIG-IP v14.1.0 和亚马逊云科技版本 1.0.18 和 1.1.0。
  • Equinix SmartKey - 易于使用的云服务中的 HSM 级安全性(内置加密和标记化)和 FIPS 140-2 Level 3 认证。BIG-IP v14.1.0 和 SmartKey 客户端版本 2.9.804。

F5 FIPS 加密模块

F5 模型 BIG-IP 软件版本 经 NIST 验证的加密模块 统一验证证书 其他说明

以下虚拟机监控程序中的虚拟版本:

  • VMware ESXi
  • Hyper-V
  • Centos 7 上的 KVM

以下供应商确认

  • 亚马逊云科技
  • Azure
16.1.x BIG-IP 加密模块 FIPS 140-3
Level 1
(测试中)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800、i15820-DF

 

VIPRION B2250/B4450

16.1.x F5 设备加密模块

FIPS 140-3
Level 2
(测试中)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下 vCMP

i5000、i5820-DF、i7000、i7820-DF、i15800、i15820-DF

 

VIPRION B2250/B4450

16.1.x F5 vCMP 加密模块 FIPS 140-3
Level 2
(测试中)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下虚拟机监控程序中的虚拟版本:

  • VMware ESXi
  • Hyper-V
  • Centos 7 上的 KVM

以下供应商确认

  • 亚马逊云科技
  • Azure
16.1.x 与
SSL Orchestrator
BIG-IP 加密模块 FIPS 140-3
Level 1
(测试中)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

i5000、i5820-DF、i7000、i7820-DF、i11800-DS、i15800、i15820-DF

16.1.x 与
SSL Orchestrator
F5 设备加密模块 FIPS 140-3
Level 2
(测试中)
 

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下虚拟机监控程序中的虚拟版本:

  • VMware ESXi
  • Hyper-V
  • Centos 7 上的 KVM

以下供应商确认

  • 亚马逊云科技
  • Azure
15.1.2.1 BIG-IP 加密模块 FIPS 140-2
Level 1
(已提交给 NIST)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

10350v-F

i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800

VIPRION B2250/B4450

15.1.2.1 F5 设备加密模块 FIPS 140-2
Level 2
(已提交给 NIST)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

i5000、i5820-DF、i7000、i7820-DF、i15800 上的 vCMP

VIPRION B2250/B4450

15.1.2.1 F5 vCMP 加密模块 FIPS 140-2
Level 2
(已提交给 NIST)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

VELOS BX110 上的 BIG-IP 租户

14.1.4.2 BIG-IP 加密模块 FIPS 140-2
Level 1
(已提交给 NIST)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下虚拟机监控程序中的虚拟版本:

  • VMware ESXi
  • Hyper-V
  • Centos 7 上的 KVM

以下供应商确认

  • 亚马逊云科技
  • Azure
14.1.2 BIG-IP 加密模块 FIPS 140-2
Level 1:3596
 

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

10350v-F、i7800

14.1.2 F5 设备加密模块 FIPS 140-2
Level 2:3841

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下虚拟机监控程序中的虚拟版本:

  • VMware ESXi
  • Hyper-V

以下供应商确认

  • 亚马逊云科技
  • Azure
14.1.0.3 BIG-IP 加密模块 FIPS 140-2
Level 1:3596

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

5250v-F、7200v-F、10200v-F、10350v-F

i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800

VIPRION B2250/B4450

14.1.0.3 F5 设备加密模块 FIPS 140-2
Level 2:3629

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下 vCMP

i5000、i5820-DF、i7000、i7820-DF、i15800

VIPRION B2250/B4450

14.1.0.3 F5 vCMP 加密模块 FIPS 140-2
Level 2:3623

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

集成加密模块

F5 模型
集成模块
经 NIST 验证的加密模块 统一验证证书 其他说明
10350v-F, i5820-DF, i7820-DF, i15820-DF NITROXIII CNN35XX-NFBE HSM Family FIPS 140-2
Level 3:4263

NITROXIII 为内部 FIPS

部分支持:

DFARS 252.204-7012/CUI NIST SP 800-171

外部加密模块

F5 系统
外部模块
经 NIST 验证的加密模块 统一验证证书 其他说明
BIG-IP、VIPRION 和虚拟版本 v11.2 及以上

Thales

nShield Connect 500+;

nShield Connect 1500+;

nShield Connect 6000+

FIPS 140-2
Level 2:1203 和 1733

FIPS 140-2
Level 3:1197 和 1742

不受支持:DFARS 252.204-7012/NIST SP 800-171
BIG-IP、VIPRION 和虚拟版本 v11.5 及以上 SafeNet Luna SA 6000

FIPS 140-2
Level 2:1347

FIPS 140-2
Level 3:1167

不受支持:DFARS 252.204-7012/NIST SP 800-171

历史 FIPS

虽然兼容 FIPS 140-2,但 F5 BIG-IP 6900F 和 8900F 却不支持在其 HSM 中进行必要的固件升级,因此已将其转移至历史 FIPS 列表。若要查找证书,请访问 CMVP 验证模块搜索页面,通过“验证状态”=“历史”进行高级搜索。

F5 FIPS 加密模块

F5 模型 BIG-IP 软件版本 经 NIST 验证的加密模块 统一验证证书 其他说明
  • 以下虚拟机监控程序中的虚拟版本:VMware ESXi
  • Hyper-V

以下供应商确认

  • 亚马逊云科技
  • Azure
13.1.1 BIG-IP 加密模块 FIPS 140-2
Level 1:2911

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

4000、5250v-F、7200v-F、10200v-F、10350v-F

i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800

VIPRION B2250/B4450

13.1.1 F5 设备加密模块 FIPS 140-2
Level 2:3450

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下 vCMP

VIPRION B2250/B4450

13.1.1 F5 vCMP 加密模块 FIPS 140-2
Level 2:3439

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

4000、7000、10350v-F

i4000、i5000、i7000

VIPRION B2250/B4450

13.1.0 F5 设备加密模块 FIPS 140-2
Level 2:3142

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下 vCMP

VIPRION B2250/B4450

13.1.0 F5 vCMP 加密模块 FIPS 140-2
Level 2:3179

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下虚拟机监控程序中的虚拟版本:

  • VMware ESXi
  • Hyper-V

以下供应商确认

  • 亚马逊云科技
  • Azure
12.1.2 HF1 BIG-IP 加密模块 FIPS 140-2
Level 1:2911
DFARS 252.204-7012/CUI NIST SP 800-171

集成加密模块

F5 模型
集成模块
经 NIST 验证的加密模块 统一验证证书 其他说明
10350v-F、i5820-DF、i7820-DF、i15820-DF NITROXIII CNN35XX-NFBE-G HSM Family FIPS 140-2
Level 3: 4263

NITROXIII 为内部 FIPS

部分支持:

DFARS 252.204-7012/CUI NIST SP 800-171

5250v-F、7200v-F、10200v-F NITROX XL CN16XX-NFBE HSM Family FIPS 140-2
Level 3:1369

NITROX XL 为内部 FIPS

部分支持:

DFARS 252.204-7012/CUI NIST SP 800-171

BIG-IP 6900F、8900F 集成模块:
Cavium Nitrox XL CN1520-VBD-04-0201
FIPS 140-2
Level 2:1360
Level 3:1361
 

机密未分类信息 (CUI) DFARS 252.204-7012/NIST SP 800-171 是截至 2017 年 12 月美国国防部的承包商并通过涵盖非对称及对称加密操作的经 FIPS 验证的解决方案实现。特定的 F5 FIPS 平台可直接满足此要求,或通过添加 F5 FIPS 模块符合此要求。有关符合资格的平台及详细信息,请参见上文。

信息技术安全性评估通用标准(简称“通用标准”,CC)

通用标准是用于评估 IT 产品安全性的国际标准 (ISO 15408)。该组要求评估硬件、软件、防火墙和服务器。评估目标是提供一定程度的保证,确保设备或软件能够安全处理数据,并且不含可能损害数据完整性的要素。

通用标准向美国国防部和联邦情报机构保证,他们购买的产品符合操作安全信息系统的统辖要求。其他联邦机构和某些金融企业发现,为其敏感部署购买经通用标准批准的产品要容易得多。F5 已获得网络设备和防火墙协同保护配置文件和保护配置文件模块认证,以及 EAL 2+ 和 EAL 4+ 认证。详情请参阅以下图表和链接。

通用标准认证

F5 模型 软件版本 认证信息 安全目标

i4000 系列、包括 i5820-DF 的 i5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、包括 i15820-DF 的 i15000 系列

VIPRION B2250/B4450

vCMP

以下虚拟机监控程序中的 BIG-IP Virtual Edition:

  • VMware ESXi 6.5.0
  • Windows Server 2019 中的 Hyper-V 10.0 版本
  • Centos 7 上的 KVM
16.1.x LTM+AFM (测试中)

Collaborative Protection Profile for Network Devices v2.2e

有状态流量过滤器防火墙 PP 模块 1.4e 版本

i4000 系列、包括 i5820-DF 的 i5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、包括 i15820-DF 的 i15000 系列

VIPRION B2250/B4450

vCMP

以下虚拟机监控程序中的 BIG-IP Virtual Edition:

  • VMware ESXi 6.5.0
  • Windows Server 2019 中的 Hyper-V 10.0 版本
  • Centos 7 上的 KVM
16.1.x LTM+APM

(测试中)

Collaborative Protection Profile for Network Devices v2.2e
包括 i5820-DF 的 i5000 系列、包括 i7820-DF 的 i7000 系列、i11000 系列、包括 i15820-DF 的 i15000 系列 16.1.x SSL  Orchestrator (测试中)

Collaborative Protection Profile for Network Devices v2.2e

SSL/TLS 检测代理的 PP 模块

10350v-F

包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列

VIPRION B2250/B4450

vCMP

以下虚拟机监控程序中的 BIG-IP Virtual Edition:

  • VMware ESXi 6.5.0
  • Windows Server 2019 中的 Hyper-V 10.0 版本
  • Centos 7 上的 KVM

15.1.2.1 LTM+AFM

CSEC2020017
NIAP PCL

Collaborative Protection Profile for Network Devices v2.e

PP Module for Stateful Traffic Filter Firewalls Version 1.4e2

10350v-F

包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列

VIPRION B2250/B4450

vCMP

以下虚拟机监控程序中的 BIG-IP Virtual Edition:

  • VMware ESXi 6.5.0
  • Windows Server 2019 中的 Hyper-V 10.0 版本

Centos 7 上的 KVM

15.1.2.1 LTM+APM CSEC2020016
NIAP PCL
Collaborative Protection Profile for Network Devices v2e

VELOS BX110 上的 BIG-IP 租户

14.1.4.2 LTM+AFM CSEC2020024
NIAP PCL

Collaborative Protection Profile for Network Devices v2.2e

有状态流量过滤器防火墙 PP 模块 1.4e 版本

VELOS BX110 上的 BIG-IP 租户

14.1.4.2 LTM+APM CSEC2020025
NIAP PCL
Collaborative Protection Profile for Network Devices v2.2e

以下虚拟机监控程序中的 BIG-IP Virtual Edition:

  • Mware ESXi 6.5.0
  • Windows Server 2019 中的 Hyper-V 10.0 版本
  • Centos 7 上的 KVM
14.1.2 LTM+AFM

CSEC 2019021

NIAP PCL

有状态流量过滤器防火墙协作保护配置文件 2.0e 版本
以下虚拟机监控程序中的 BIG-IP Virtual Edition:
  • VMware ESXi 6.5.0
  • Windows Server 2019 中的 Hyper-V 10.0 版本
  • Centos 7 上的 KVM
14.1.2 LTM+APM

CSEC 2019022

NIAP PCL

Collaborative Protection Profile for Network Devices Version 2.1

10350v-F

包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列

VIPRION B2250/B4450

vCMP

14.1.0.3 LTM+AFM

CSEC 2019003

NIAP PCL

有状态流量过滤器防火墙协作保护配置文件 2.0e 版本

10350v-F

包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列

VIPRION B2250/B4450

vCMP

14.1.0.3 LTM+APM

CSEC 2019004

NIAP PCL

Collaborative Protection Profile for Network Devices v2.1

10350v-F

i5000 系列、i7000 系列、i10000 系列、i11000 系列、i15000系列

VIPRION B2250/B4450

vCMP

13.1.1 LTM+AFM

CSEC 2017016

NIAP PCL

有状态流量过滤器防火墙协作保护配置文件 2.0e 版本

10350v-F

i5000 系列、i7000 系列、i10000 系列、i11000 系列、i15000系列

VIPRION B2250/B4450

vCMP

13.1.1 LTM+APM

CSEC 2017021

NIAP PCL

Collaborative Protection Profile for Network Devices Version 2.0e

10350v-F

i5000 系列、i7000 系列

VIPRION B2250/B4450

vCMP

12.1.3.4 LTM+AFM

CSEC 2017004

NIAP PCL

有状态流量过滤器防火墙协作保护配置文件 1.0 版本

10350v-F

i5000 系列、i7000 系列

VIPRION B2250/B4450

vCMP

12.1.3.4 LTM+APM

CSEC 2017005

NIAP PCL

Collaborative Protection Profile for Network Devices Version 1.0

 

存档的通用标准

F5 模型 软件版本 认证信息 安全目标
BIG-IP 11.5.1 ADF-Base (LTM+AFM) BSI-DSZ-CC-0856-2017 EAL4+ 安全目标
基于网络设备 1.1 版本和网络设备保护配置文件扩展包有状态流量过滤防火墙 1.0 版本的 NIAP 保护配置文件
BIG-IP 11.5.1 ADC-AP (LTM+APM) BSI-DSZ-CC-0975-2018 EAL4+

安全目标

基于网络设备 1.1 版本的 NIAP 保护配置文件

BIG-IP 6900、8900、11050 10.2.2 LTM + ACA+ PSM NIAP 通用标准认证 EAL 2+ F5 Networks BIG-IP 本地流量管理安全目标

Commercial Solutions for Classified (CSfC)

CSfC 是国家安全局/中央安全局 (NSA/CSS) 计划,旨在使商业产品可用于分层解决方案,保护国家安全系统 (NSS) 机密数据。该计划共有两个部分:供应商申请将其产品列入一个或多个组件清单中;然后集成商可以从这些清单中选择产品以创建解决方案。所有列出的组件必须同时通过通用标准认证和 FIPS 验证,才能将产品列入组件清单。

F5 产品 组件清单
BIG-IP 14.1.2 CSfC 流量过滤防火墙
受 TLS 保护的服务器
BIG-IP 14.1.0.3 CSfC 流量过滤防火墙
受 TLS 保护的服务器
BIG-IP 13.1.1 CSfC 流量过滤防火墙
BIG-IP 12.1 LTM+AFM CSfC 流量过滤防火墙

美国政府 IPv6 一致性认证 (USGv6)

美国管理和预算办公室 (OMB) 在 OMB 备忘录 M-05-22 中要求所有联邦机构需在其网络中使用 IPv6。美国政府 IPv6 一致性认证 (USGv6) 是一套用于获得支持 IPv6 的主机、路由器和网络安全设备的技术标准。美国国家标准与技术研究院 (NIST) 创建了 USGv6 一致性标准,以支持美国政府采用 IPv6。

F5 BIG-IP 经 IPv6 Ready 和 USGv6 认证。请参阅公告:F5 获得 IPv6-Ready Gold Logo 和 USGv6 认证

F5 平台 产品版本 认证信息
BIG-IP i-series 14.1.0.3 徽标 ID:02-C-001985
BIG-IP Virtual Edition 13.1.3 build 4 徽标 ID:02-C-001912
VIPRION B2250 13.1.1 build 4 徽标 ID:02-C-001900
BIG-IP i10000 系列 13.1.1 build 4 徽标 ID:02-C-001799
BIG-IP 12.1.0 build 0.0.1434 黄金徽标 ID:02-C-001578
BIG-IP 12.1.0 build 0.0.1434 黄金徽标 ID:02-C-001514
BIG-IP 11.6.0 HF6 build 0.442 徽标 ID:02-C-001463
BIG-IP 11.5.2 build 141.0 徽标 ID:02-C-001426
BIG-IP 11.4.1 build 635.0 徽标 ID:02-C-001282
BIG-IP 10000 系列 11.3.0 build 3248.0 黄金徽标 ID:02-C-001106
BIG-IP 10000 系列、VIPRION B4300 系列 11.3.0 及所有以上版本 USGv6
由 UNH-IOL 提供结果
BIG-IP 10000 系列 11.3、12.1 IPv6 Gold
第二阶段 Gold Logo ID #02-C-001106

联合互通性试验司令部 (JITC) 启用公钥 (PKE)

美国国防部信息系统局 (DISA) 的联合互通性试验司令部 (JITC) 提供基于风险的测试评估和认证服务、工具和环境,以确保并支持快速部署互通性和操作有效的信息技术和国家安全系统。对客户或服务器进行测试以确保其为启用公钥 (PKE) 并能够提供安全服务,如身份验证、机密性、不可否认性。和访问控制。JITC PKE 测试方面包括 NIST 和 JITC 认证、在线证书状态协议 (OCSP)、证书吊销列表 (CRL) 和国防部通用访问卡 (CAC)。

F5 BIG-IP 经美国国防部认证为启用公钥 (PKE)。请参阅公告:F5 获得联合互通性试验司令部 (JITC) 认证

F5 模型 认证详情 备注
BIG-IP v 11.2 经认证 与国防部通用访问卡 (CAC) 协同工作

NIST 800-53

NIST 特别出版物 800-53 — 联邦信息系统及机构安全与隐私控制 — 是定义如何处理联邦政府内部信息安全和风险管理的核心标准。该标准由 NIST、美国国防部、情报机构和国家安全系统委员会制定,就持续监控和 FISMA 要求提供指导。此外,其还支持基于风险的方法以保护关键任务和业务功能。

F5 将此 240 多页的文档提炼为 NIST 800-53 Rev 4 F5 iApp。该 iApp提供数页相关的问题和任务,以协助管理员在其 BIG-IP 设备上应用相关的安全控制,为企业节省管理时间和资源。

如果机构希望改进 DIACAP流程,或希望遵守 FISMA,F5 NIST 800-53 Rev 4 iApp 将帮助确保对 BIG-IP 的正确配置设置进行审查和设置。

了解有关使用 F5 iApp 模板的更多信息

美国国防部信息网络批准产品目录

美国国防部 DoDIN APL 是已完成互通性 (IO) 和信息保障 (IA) 认证的产品单一综合列表。DoDIN APL 认证可验证系统是否符合 DISA 外勤安全办公室 (FSO) 安全技术实施指南 (STIG),并与之配置一致。

有关 DoDIN APL 流程的更多信息,请访问 DoDIN APL 测试和认证网站

Cert/TN 号码 产品 外部认证
  F5 Networks BIG-IP Rel. 15.1 (测试中)
1906001 F5 Networks BIG-IP Rel. 14.1 认证
1630801 F5 Networks BIG-IP Rel. 13.1 认证
1312201 F5 Networks BIG-IP Rel. 11.6 认证

合作伙伴 CNF 认证计划

服务提供商希望确保其云原生解决方案具有互操作性、安全性并针对性能和效率进行优化。F5 及其合作伙伴将在具有供应商 CNF 的云原生环境中对 F5 BIG-IP Next SPK 和 Carrier-Grade Aspen Mesh 的设置、载入、集成、部署和生命周期管理进行认证。

深入了解该计划 ›

其他认证

如欲获取更多关于 F5 持有的其他证书信息,请联系 F5 销售部