F5 分布式云服务仅适用于年度企业订阅,可满足高级应用网络和安全要求。
感谢您有兴趣了解 F5 Distributed Cloud Services。F5 代表将很快与您联系,协助您处理此请求。
年度订阅支持各种用例,其中包括应用安全和多云网络。标准产品可提供基本功能,而高级产品则专为满足分布式云和边缘站点中对高级 API 安全和服务网络的严苛要求而量身打造。
高级应用安全包括 API 发现和保护、行为 Bot 缓解和第 7 层 DDoS 缓解。
扩展多云网络,以支持跨多云和边缘站点的分布式应用群集之间的安全服务网络高级用例。
通过 CDN、DNS 和应用堆栈,提高全局应用性能和可靠性。
WAF | 标准产品 |
高级产品 |
|
---|---|---|---|
基于签名的保护 | 利用 F5 核心 WAF 技术,以及在我们的高级签名引擎(包含近 8,000 个 CVE 签名,以及其他已知的漏洞和技术,包括 F5 Labs 和威胁研究人员发现的 Bot 签名)的支持下,缓解应用和 API 漏洞 | 是 | 是 |
合规性执行 | 结合违规、规避和 http 协议合规性检查。 | 是 | 是 |
自动攻击签名调整 | 抑制误报触发的自学习概率模型 | 是 | 是 |
屏蔽日志中的敏感参数/数据 | 用户可以通过指定 HTTP 标头名称、Cookie 名称或查询参数名称,屏蔽请求日志中的敏感数据。仅屏蔽值。默认情况下,会屏蔽查询参数卡、pass、pwd 和密码的值。 | 是 | 是 |
自定义拦截页面/响应代码 | 当 WAF 拦截请求或响应时,用户能够自定义提供给客户端的拦截响应页面。 | 是 | 是 |
允许来自源的响应代码 | 用户可以指定允许的 HTTP 响应状态代码。 | 是 | 是 |
应用速率限制 | 速率限制可以控制请求进出应用源的速率。对于使用密钥标识符 IP 地址、Cookie 名称和/或 HTTP 标头名称的应用,可以控制速率限制。 | 否 | 是 |
IP 信誉 | 分析 IP 威胁并发布由 F5 维护的数百万个高风险 IP 地址的动态数据集,以保护应用端点免受来自恶意 IP 的入站流量影响。IP 威胁类别包括垃圾邮件来源、Windows 漏洞利用、Web 攻击、僵尸网络、扫描器拒绝服务、网络钓鱼等。 | 是 | 是 |
应用的敏感数据保护 | Data Guard 通过屏蔽数据,预防 HTTP/HTTPS 响应泄露敏感信息,如信用卡号和社会安全号码。 | 是 | 是 |
排除规则 | 定义基于特定匹配条件,应从 WAF 处理中排除的签名 ID 和违规/攻击类型的规则。特定匹配条件包括域、路径和方法。如果客户端请求匹配所有这些条件,WAF 将会排除对检测控制中所配置项目的处理。 | 是 | 是 |
CSRF 防护 | 允许用户轻松配置/指定适当且允许的源域 | 是 | 是 |
Cookie 保护 | Cookie 保护能够通过添加 SameSite、Secure 和 Http Only 属性来修改响应 Cookie。 | 是 | 是 |
GraphQL 保护 | WAF 引擎能够检查 GraphQL 请求是否存在漏洞,并根据 F5 签名数据库拦截流量 | 是 | 是 |
DDoS | 标准产品 |
高级产品 |
|
高速 ACL | 网络防火墙控制允许用户拦截来自特定来源的入站流量,或对来自特定来源的网络流量施加速率限制。增强保护允许根据源地址、源端口、目标地址、目标端口和协议过滤流量。 | 是 | 是 |
第 3-4 层 DDoS 缓解 | 多层次、容量耗尽攻击缓解包括将预设的缓解规则与自动缓解和高级路由的 DDoS 缓解清理相结合,并通过 BGP 路由通告或权威的 DNS 解析,进行全面的数据包分析。 | 否 | 是 |
第 7 层 DoS - 检测和缓解 | 对跨应用和 API 端点的异常流量模式和趋势进行异常检测和警报,利用先进的机器学习 (ML),通过分析请求率、错误率、延迟和吞吐量,检测应用和 API 行为随时间的激增、下降和其他变化,并且能够拒绝或限制端点速率 | 是 | 是 |
第 7 层 DoS - 自动缓解 | 基于机器学习 (ML) 的功能,能够根据一段时间内对单个客户端行为和应用性能的分析(包括请求率、错误率、延迟等),为异常的第 7 层流量配置自动缓解。 | 否 | 是 |
减缓 DDoS 缓解 | “缓慢和低速”攻击会占用服务器资源,导致无法为实际用户的请求提供服务。该功能允许配置和执行请求超时和请求标头超时值。 | 是 | 是 |
API | 标准产品 |
高级产品 |
|
基于签名的保护 | F5 分布式云应用防火墙(F5 Distributed Cloud App Firewall)支持检查两种最常见的 API 协议 - GraphQL 和 REST | 是 | 是 |
API 发现和模式学习 | 先进的机器学习,可对应用的 API 端点进行标记和分析,以发现 API 端点并进行行为分析。这包括请求和响应模式、敏感数据检测和身份验证状态。利用 OpenAPI 规范 (OAS) 生成,提供库存和影子 API 集。 | 否 | 是 |
API 模式导入 | 导入 OpenAPI 规范文件,以定义 API 组并设置规则,从而控制对 API 的访问并执行 API 行为。 | 否 | 是 |
OpenAPI 规范验证 | API 规范执行功能为 API 启用了积极的安全模型,使组织能够根据有效 API 请求的特征,轻松执行所需的 API 行为。这些特性用于验证输入和输出数据,如数据类型、最小或最大长度、允许的字符或有效值范围。 | 否 | 是 |
态势管理 | 包括能够学习和检测 API 端点的身份验证类型和状态,以及 API 风险评分的功能。API 端点风险评分功能让用户能够全面衡量与其 API 端点相关的风险。风险评分通过各种技术进行计算,例如漏洞发现、攻击影响、商业价值、攻击可能性和缓解控制。这有助于组织评估和确定 API 漏洞的优先级,以便快速识别需要采取额外安全措施的 API。 | 否 | 是 |
API 保护规则 | 组织可以精细控制 API 端点连接和请求类型。他们可以一同识别、监控和拦截特定的客户端与连接,或设置特定的阈值。其中包括根据 IP 地址、地区/国家、ASN 或 TLS 指纹的拒绝列表(拦截),以及定义特定匹配条件并指导应用和 API 与客户端交互的更高级规则,包括 HTTP 方法、路径、查询参数、标头、Cookie 等。这种针对 API 连接和请求的精细控制可以针对单个 API 或整个域进行。 | 否 | 是 |
API 速率限制 | 速率限制可控制进出 API 端点的请求速率。 | 否 | 是 |
API 敏感数据保护 | 检测 API 响应中的通用(信用卡、社会安全号码)或不太常见的自定义 PII 数据模式(地址、姓名、电话号码),然后屏蔽敏感数据或拦截传输敏感信息的 API 端点。 | 否 | 是 |
Bot 防御 | 标准产品 |
高级产品 |
|
基于签名的保护 | WAF 签名引擎包括自动化威胁和 Bot 技术的独特签名,其中包括爬虫、DDoS/DoS 等。 | 是 | 是 |
Bot 防御 | 通过利用 JavaScript 和 API 调用来收集遥测数据,保护应用免受自动化攻击,并通过不断对信号数据进行 ML 分析,缓解复杂攻击,以快速响应 Bot 重组攻击,动态更新旨在预防所有 Bot 用例(例如撞库攻击、帐户接管、虚假帐户等)的实时检测模型。 | 否 | 是 |
客户端防御 | 为 Web 应用提供多阶段保护,以预防 Formjacking、Magecart、数字掠夺和其他恶意的 JavaScript 攻击。这种多阶段保护系统包括检测、警报和缓解。 | 是 | 是 |
网络连接 | 标准产品 |
高级产品 |
|
多云传输 | 公有云、本地数据中心和分布式边缘站点之间的第 3 层网络传输 | 是 | 是 |
安全服务嵌入 | 跨多个云网络集成第三方网络防火墙服务,如 BIG-IP 和 Palo Alto Networks。 | 是 | 是 |
网络分段 | 精细的网络隔离和微分段,以确保本地和跨公有云网络的网络段安全 | 是 | 是 |
端到端加密 | 为网络上的所有数据传输提供本机 TLS 加密 | 是 | 是 |
自动化配置 | 公有云网络构建的自动化配置和编排 | 是 | 是 |
应用连接 | 标准产品 |
高级产品 |
|
应用和服务网络 | 跨云的应用集群间的 TCP、UDP 和 HTTPS 请求的分布式负载均衡服务 | 否 | 是 |
应用细分 | 精细的安全策略,以控制对分布式云环境中 API 端点和群集的访问 | 否 | 是 |
服务发现 | 识别跨分布式应用群集的服务可用性 | 否 | 是 |
入站和出站 | 为 HTTP 和 HTTPS 流量执行基于路由的策略 | 否 | 是 |
端到端加密 | 为网络上的所有数据传输提供本机 TLS 加密 | 是 | 是 |
可观测性 | 标准产品 |
高级产品 |
|
报告、丰富的分析和遥测 | 跨异构边缘和云部署,从应用到基础设施的统一可视化,包括应用部署的精细状态、基础设施运行状况、安全性、可用性和性能 | 是 | 是 |
安全事件 | 事件视图可根据上下文和共同特征,将数千个单独事件归类为相关安全事件。旨在更便捷地调查应用安全事件。 | 是 | 是 |
安全事件 | 通过自定义和深入了解所有的 WAF、Bot、API 和其他 7 层安全事件,单一仪表板可查看整个 Web 应用和 API 安全功能的所有安全事件 | 是 | 是 |
全局日志接收器 - 日志导出集成(即 Splunk) | 将日志分发到外部日志收集系统,包括 Amazon S3、Datadog、Splunk、SumoLogic 等。 | 是 | 是 |
其他 | 标准产品 |
高级产品 |
|
恶意用户检测 + 缓解 | 人工智能/机器学习驱动的恶意用户检测可进行用户行为分析,并根据每个用户的活跃度,给出可疑分数并划定威胁等级。分析客户端互动情况,以了解客户端与其他客户端的对比情况 - 命中的 WAF 规则数、禁止访问次数、登录失败次数、错误率等。恶意用户缓解是对自适应功能响应和风险挑战的能力,可根据用户威胁等级,提供不同的挑战,例如 Javascript 或 Captcha 挑战或暂时拦截。 | 否 | 是 |
服务策略 | 通过制定许可/拒绝列表、地理 IP 过滤和自定义规则创建,在应用层启用微分段并支持高级安全性,以对传入的请求采取行动,其中包括基于各种属性/参数(TLS 指纹、地理/国家或地区、IP 前缀、HTTP 方法、路径、标头等)匹配和请求限制条件。 | 是 | 是 |
CORS 策略 | 在默认情况下,浏览器不允许进行跨域请求,但如果您在某情况下需要启用,您可借助跨域资源共享 (CORS) 。CORS 策略是一种机制,使用其他 HTTP 标头信息通知浏览器,以允许在一个源(域)上运行的 Web 应用有权访问来自不同域的服务器的所选资源。 | 是 | 是 |
可信客户端 IP 标头 | 识别真实的客户端 IP 地址,以监控、记录、定义许可/拒绝策略等。启用此功能后,安全事件和请求日志将显示此真实的客户端 IP 地址作为源 IP。 | 是 | 是 |
双向 TLS | 通过对负载均衡器/代理进行基于策略的授权,支持 TLS 和双向 TLS 进行身份验证,可确保应用流量的端到端安全性。双向 TLS 支持在 x-forwarded-client-cert (XFCC) 请求标头中,将客户端证书详细信息发送给源服务器。 | 是 | 是 |
支持 | 标准产品 |
高级产品 |
|
全天候超级支持服务 | 通过各种方式提供支持,包括控制台工单、电子邮件和电话支持。 | 是 | 是 |
运行时间 SLA (99.99%) | 是 | 是 | |
Audit Logs(30 天) | 是 | 是 | |
指标(< 30 天) | 是 | 是 | |
请求日志(< 30 天) | 是 | 是 |
利用 F5 核心 WAF 技术,以及在我们的高级签名引擎(包含近 8,000 个 CVE 签名,以及其他已知的漏洞和技术,包括 F5 Labs 和威胁研究人员发现的 Bot 签名)的支持下,缓解应用和 API 漏洞。
结合违规、规避和 http 协议合规性检查。
可抑制误报触发的自主学习概率模型。
用户可以通过指定 HTTP 标头名称、Cookie 名称或查询参数名称,屏蔽请求日志中的敏感数据。仅有数值会被蔽值。默认情况下,会屏蔽查询参数卡、pass、pwd 和密码的值。
当 WAF 拦截请求或响应时,用户能够自定义提供给客户端的拦截响应页面。
用户可以指定允许的 HTTP 响应状态代码。
分析 IP 威胁并发布由 F5 维护的数百万个高风险 IP 地址的动态数据集,以保护应用端点免受来自恶意 IP 的入站流量影响。IP 威胁类别包括垃圾邮件来源、Windows 漏洞利用、Web 攻击、僵尸网络、扫描器拒绝服务、网络钓鱼等。
Data Guard 通过屏蔽数据,预防 HTTP/HTTPS 响应泄露敏感信息,如信用卡号和社会安全号码。
定义基于特定匹配条件,应从 WAF 处理中排除的签名 ID 和违规/攻击类型的规则。特定匹配条件包括域、路径和方法。如果客户端请求匹配所有这些条件,WAF 将会排除对检测控制中所配置项目的处理。
允许用户轻松配置/指定合适且被允许的源域。
Cookie 保护能够通过添加 SameSite、Secure 和 Http Only 属性来修改响应 Cookie。
WAF 引擎能够检查 GraphQL 请求是否存在漏洞,并根据 F5 签名数据库拦截流量。
网络防火墙控制允许用户拦截来自指定来源的入站流量,或对来自指定来源的网络流量施加速率限制。增强保护允许根据源地址、源端口、目标地址、目标端口和协议过滤流量。
对跨应用和 API 端点的异常流量模式和趋势进行异常检测和警报,利用先进的机器学习 (ML),通过分析请求率、错误率、延迟和吞吐量,检测应用和 API 行为随时间的激增、下降和其他变化,并且能够拒绝或限制端点速率。
“缓慢和低速”攻击会占用服务器资源,导致无法为真实用户的请求提供服务。该功能允许配置和执行请求超时和请求标头超时值。
F5 分布式云应用防火墙支持检查两种最常见的 API 协议 - GraphQL 和 REST。
WAF 签名引擎包括自动化威胁和 Bot 技术的独特签名,其中包括爬虫、DDoS/DoS 等。
为 Web 应用提供多阶段防护,以预防 Formjacking、Magecart、数字掠夺和其他恶意的 JavaScript 攻击。这种多阶段防护系统包括检测、警报和缓解。
公有云、本地数据中心和分布式边缘站点之间的 3 层网络传输。
跨多个云网络集成第三方网络防火墙服务,如 BIG-IP 和 Palo Alto Networks。
精细的网络隔离和微分段,以确保本地和跨公有云网络的网络段安全。
为网络上的所有数据传输提供本机 TLS 加密。
公有云网络构建的自动化配置和编排。
为网络上的所有数据传输提供本机 TLS 加密。
通过制定许可/拒绝列表、地理 IP 过滤和自定义规则创建,在应用层启用微分段并支持高级安全性,以对传入的请求采取行动,其中包括基于各种属性/参数(TLS 指纹、地理/国家或地区、IP 前缀、HTTP 方法、路径、标头等)匹配和请求限制条件。
在默认情况下,浏览器不允许进行跨域请求,但如果您在某情况下需要启用,您可借助跨域资源共享 (CORS) 。CORS 策略是一种机制,使用其他 HTTP 标头信息通知浏览器,以允许在一个源(域)上运行的 Web 应用有权访问来自不同域的服务器的所选资源。
识别真实的客户端 IP 地址,以监控、记录、定义许可/拒绝策略等。启用此功能后,安全事件和请求日志将显示此真实的客户端 IP 地址作为源 IP。
通过对负载均衡器/代理进行基于策略的授权,支持 TLS 和双向 TLS 进行身份验证,可确保应用流量的端到端安全性。双向 TLS 支持在 x-forwarded-client-cert (XFCC) 请求标头中,将客户端证书详细信息发送给源服务器。
通过各种方式提供支持,包括控制台工单、电子邮件和电话支持。
运行时间 SLA (99.99%)
Audit Logs(30 天)
指标(< 30 天)
请求日志(< 30 天)
利用 F5 核心 WAF 技术,以及在我们的高级签名引擎(包含近 8,000 个 CVE 签名,以及其他已知的漏洞和技术,包括 F5 Labs 和威胁研究人员发现的 Bot 签名)的支持下,缓解应用和 API 漏洞。
结合违规、规避和 http 协议合规性检查。
可抑制误报触发的自主学习概率模型。
用户可以通过指定 HTTP 标头名称、Cookie 名称或查询参数名称,屏蔽请求日志中的敏感数据。仅有数值会被蔽值。默认情况下,会屏蔽查询参数卡、pass、pwd 和密码的值。
当 WAF 拦截请求或响应时,用户能够自定义提供给客户端的拦截响应页面。
用户可以指定允许的 HTTP 响应状态代码。
速率限制可以控制请求进出应用源的速率。对于使用密钥标识符 IP 地址、Cookie 名称和/或 HTTP 标头名称的应用,可以控制速率限制。
分析 IP 威胁并发布由 F5 维护的数百万个高风险 IP 地址的动态数据集,以保护应用端点免受来自恶意 IP 的入站流量影响。IP 威胁类别包括垃圾邮件来源、Windows 漏洞利用、Web 攻击、僵尸网络、扫描器拒绝服务、网络钓鱼等。
Data Guard 通过屏蔽数据,预防 HTTP/HTTPS 响应泄露敏感信息,如信用卡号和社会安全号码。
定义基于特定匹配条件,应从 WAF 处理中排除的签名 ID 和违规/攻击类型的规则。特定匹配条件包括域、路径和方法。如果客户端请求匹配所有这些条件,WAF 将会排除对检测控制中所配置项目的处理。
允许用户轻松配置/指定合适且被允许的源域。
Cookie 保护能够通过添加 SameSite、Secure 和 Http Only 属性来修改响应 Cookie。
WAF 引擎能够检查 GraphQL 请求是否存在漏洞,并根据 F5 签名数据库拦截流量。
网络防火墙控制允许用户拦截来自指定来源的入站流量,或对来自指定来源的网络流量施加速率限制。增强保护允许根据源地址、源端口、目标地址、目标端口和协议过滤流量。
多层次、容量耗尽攻击缓解包括将预设的缓解规则与自动缓解和高级路由的 DDoS 缓解清理相结合,并通过 BGP 路由通告或权威的 DNS 解析,进行全面的数据包分析。
对跨应用和 API 端点的异常流量模式和趋势进行异常检测和警报,利用先进的机器学习 (ML),通过分析请求率、错误率、延迟和吞吐量,检测应用和 API 行为随时间的激增、下降和其他变化,并且能够拒绝或限制端点速率。
基于机器学习 (ML) 的功能,能够根据一段时间内对单个客户端行为和应用性能的分析(包括请求率、错误率、延迟等),为异常的 7 层流量配置自动缓解。
“缓慢和低速”攻击会占用服务器资源,导致无法为真实用户的请求提供服务。该功能允许配置和执行请求超时和请求标头超时值。
F5 分布式云应用防火墙支持检查两种最常见的 API 协议 - GraphQL 和 REST。
先进的机器学习,可对应用的 API 端点进行标记和分析,以发现 API 端点并进行行为分析。这包括请求和响应模式、敏感数据检测和身份验证状态。利用 OpenAPI 规范 (OAS) 生成,提供库存和影子 API 集。
导入 OpenAPI 规范文件,以定义 API 组并设置规则,从而控制对 API 的访问并执行 API 行为。
API 规范执行功能为 API 启用了积极的安全模型,使企业能够根据有效 API 请求的特征,轻松执行所需的 API 行为。这些特性用于验证输入和输出数据,如数据类型、最小或最大长度、允许的字符或有效值范围。
包括能够学习和检测 API 端点的身份验证类型和状态,以及 API 风险评分。API 端点风险评分功能让用户能够全面衡量与其 API 端点相关的风险。风险评分通过各种技术进行计算,例如漏洞发现、攻击影响、商业价值、攻击可能性和缓解控制。这有助于企业评估 API 漏洞并确定其优先级,以便快速识别需要采取额外安全措施的 API。
企业可以精细控制 API 端点连接和请求类型。他们可以一同识别、监控和拦截特定的客户端与连接,或设置特定的阈值。其中包括根据 IP 地址、地区/国家、ASN 或 TLS 指纹的拒绝列表(拦截),以及定义特定匹配条件并指导应用和 API 与客户端交互的更高级规则,包括 HTTP 方法、路径、查询参数、标头、Cookie 等。这种针对 API 连接和请求的精细控制可以针对单个 API 或整个域进行。
速率限制可控制进出 API 端点的请求速率。
检测 API 响应中的通用(信用卡、社会安全号码)或不太常见的自定义 PII 数据模式(地址、姓名、电话号码),然后屏蔽敏感数据或拦截传输敏感信息的 API 端点。
WAF 签名引擎包括自动化威胁和 Bot 技术的独特签名,其中包括爬虫、DDoS/DoS 等。
通过利用 JavaScript 和 API 调用来收集遥测数据,保护应用免受自动化攻击,并通过不断对信号数据进行 ML 分析,缓解复杂攻击,以快速响应 Bot 重组攻击,动态更新旨在预防所有 Bot 用例(例如撞库攻击、帐户接管、虚假帐户等)的实时检测模型。
为 Web 应用提供多阶段保护,以预防 Formjacking、Magecart、数字掠夺和其他恶意的 JavaScript 攻击。这种多阶段保护系统包括检测、警报和缓解。
公有云、本地数据中心和分布式边缘站点之间的 3 层网络传输。
跨多个云网络集成第三方网络防火墙服务,如 BIG-IP 和 Palo Alto Networks。
精细的网络隔离和微分段,以确保本地和跨公有云网络的网络段安全。
为网络上的所有数据传输提供本机 TLS 加密。
公有云网络构建的自动化配置和编排。
跨云的应用集群间的 TCP、UDP 和 HTTPS 请求的分布式负载均衡服务。
精细的安全策略,以控制对分布式云环境中 API 端点和群集的访问。
识别跨分布式应用群集的服务可用性。
为 HTTP 和 HTTPS 流量执行基于路由的策略。
为网络上的所有数据传输提供本机 TLS 加密。
人工智能/机器学习驱动的恶意用户检测可进行用户行为分析,并根据每个用户的活跃度,给出可疑分数并划定威胁等级。分析客户端互动情况,以了解客户端与其他客户端的对比情况 - 命中的 WAF 规则数、禁止访问次数、登录失败次数、错误率等。恶意用户缓解是对自适应功能响应和风险挑战的能力,可根据用户威胁等级,提供不同的挑战,例如 Javascript 或 Captcha 挑战或暂时拦截。
通过制定许可/拒绝列表、地理 IP 过滤和自定义规则创建,在应用层启用微分段并支持高级安全性,以对传入的请求采取行动,其中包括基于各种属性/参数(TLS 指纹、地理/国家或地区、IP 前缀、HTTP 方法、路径、标头等)匹配和请求限制条件。
在默认情况下,浏览器不允许进行跨域请求,但如果您在某情况下需要启用,您可借助跨域资源共享 (CORS) 。CORS 策略是一种机制,使用其他 HTTP 标头信息通知浏览器,以允许在一个源(域)上运行的 Web 应用有权访问来自不同域的服务器的所选资源。
识别真实的客户端 IP 地址,以监控、记录、定义许可/拒绝策略等。启用此功能后,安全事件和请求日志将显示此真实的客户端 IP 地址作为源 IP。
通过对负载均衡器/代理进行基于策略的授权,支持 TLS 和双向 TLS 进行身份验证,可确保应用流量的端到端安全性。双向 TLS 支持在 x-forwarded-client-cert (XFCC) 请求标头中,将客户端证书详细信息发送给源服务器。
通过各种方式提供支持,包括控制台工单、电子邮件和电话支持。
运行时间 SLA (99.99%)
Audit Logs(30 天)
指标(< 30 天)
请求日志(< 30 天)