认证

更新日期:2020 年 3 月 5 日

政府规定

F5 制定了有效的产品认证与评估程序,符合政府规定,以利维护安全的 IT 环境。

联邦信息处理标准 (FIPS) 140-2

F5 提供虚拟版本 (VE)、全屏盒子 FIPS 平台、集成硬件安全模块 (HSM) PCI 卡和外部(网络 HSM)FIPS 解决方案,以满足最为严格的合规要求与架构。详情请见下表。

对于仅需要 FIPS 140-2 等级 1 解决方案的客户,F5 FIPS BIG-IP VE 包含了用于 x86 平台的经 NIST 验证、基于软件的加密模块。

F5 全屏盒子 FIPS 平台在 FIPS 140-2 等级 2 提供设备级验证,包括篡改明显标签贴纸的应用。

此外,F5 还提供一系列精选的 BIG-IP 平台,其中包括支持 FIPS 140-2 等级 2 实施以用于 RSA 密钥生成、使用与保护的 HSM。在 BIG-IP 集成式 HSM 上生成或导入至 BIG-IP 集成式 HSM 的密钥不可以纯文本格式提取。集成 HSM 的 BIG-IP 硬件设备拥有密封环氧包封层,若将其移除,则会导致卡不能用且不可访问密钥。多个平台支持内部 HSM 的 FIPS 140-2 等级 3 实施,以提供额外保护。此安全等级意味着内部 HSM 卡包括防篡改,可识别物理访问尝试、加密模块操作和/或篡改,并将破坏密钥并使卡不能用。

FIPS 徽标最后,F5 BIG-IP 支持外部(网络)HSM;详情请见下表。

公有云中的 FIPS 集成支持

  • AWS CloudHSM - 凭借 CloudHSM,您可以使用经 FIPS 140-2 等级 3 验证的 HSM 管理自己的加密密钥。BIG-IP v14.1.0 和 AWS 版本 1.0.18 和 1.1.0。
  • Equinix SmartKey - 易于使用的云服务中的 HSM 级安全性(内置加密和标记化)和 FIPS 140-2 等级 3 认证。BIG-IP v14.1.0 和 SmartKey 客户端版本 2.9.804。

F5 FIPS 加密模块

F5 模块 BIG-IP 软件版本 经 NIST 验证的加密模块 整合验证证书 其他说明

以下虚拟机监控程序中的虚拟版本:

  • VMware ESXi
  • Hyper-V
  • Centos 7 上的 KVM

以下供应商确认

  • AWS
  • Azure
15.1 BIG-IP 加密模块 等级 1
(进行中)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

10350v-F

i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800

VIPRION B2250/B4450

15.1 F5 设备加密模块

等级 2
(进行中)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下 vCMP

i5000、i5820-DF、i7000、i7820-DF、i15800

 

VIPRION B2250/B4450

15.1 F5 vCMP 加密模块 等级 2
(进行中)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下虚拟机监控程序中的虚拟版本:

  • VMware ESXi
  • Hyper-V
  • Centos 7 上的 KVM

以下供应商确认

  • AWS
  • Azure
14.1.2 BIG-IP 加密模块 等级 1
(进行中)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

10350v-F、i7800

14.1.2 F5 设备加密模块 等级 2
(进行中)

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下虚拟机监控程序中的虚拟版本:

  • VMware ESXi
  • Hyper-V

以下供应商确认

  • AWS
  • Azure
14.1.0.3 BIG-IP 加密模块 等级 1:3596

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

5250v-F、7200v-F、10200v-F、10350v-F

i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800

VIPRION B2250/B4450

14.1.0.3 F5 设备加密模块 等级 2:3629

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下 vCMP

i5000、i5820-DF、i7000、i7820-DF、i15800

VIPRION B2250/B4450

14.1.0.3 F5 vCMP 加密模块 等级 2:3623

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下虚拟机监控程序中的虚拟版本:

  • VMware ESXi
  • Hyper-V

以下供应商确认

  • AWS
  • Azure
13.1.1 BIG-IP 加密模块 等级 1:2911

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

4000、5250v-F、7200v-F、10200v-F、10350v-F

i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800

VIPRION B2250/B4450

13.1.1 F5 设备加密模块 等级 2:3450

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下 vCMP

VIPRION B2250/B4450

13.1.1 F5 vCMP 加密模块 等级 2:3439

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

4000、7000、10350v-F

i4000、i5000、i7000

VIPRION B2250/B4450

13.1.0 F5 设备加密模块 等级 2:3142

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下 vCMP

VIPRION B2250/B4450

13.1.0 F5 vCMP 加密模块 等级 2:3179

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

以下虚拟机监控程序中的虚拟版本:

  • VMware ESXi
  • Hyper-V

以下供应商确认

  • AWS
  • Azure
12.1.2 HF1 BIG-IP 加密模块 等级 1:2911

支持:

DFARS 252.204-7012/CUI NIST SP 800-171

集成加密模块

F5 模型
集成模块
经 NIST 验证的加密模块 整合验证证书 其他说明
10350v-F、i5820-DF、i7820-DF NITROXIII CNN35XX-NFBE-G HSM Family 等级 3:2495

NITROXIII 为内部 FIPS

部分支持:

DFARS 252.204-7012/CUI NIST SP 800-171

5250v-F、7200v-F、10200v-F NITROX XL CN16XX-NFBE HSM Family 等级 3:1369

NITROX XL 为内部 FIPS

部分支持:

DFARS 252.204-7012/CUI NIST SP 800-171

外部加密模块

F5 系统
外部模块
经 NIST 验证的加密模块 整合验证证书 其他说明
BIG-IP、VIPRION 和虚拟版本 v11.2 及以上

Thales

nShield Connect 500+;

nShield Connect 1500+;

nShield Connect 6000+

等级 2:1203 和 1733

等级 3:1197 和 1742

不受支持:DFARS 252.204-7012/NIST SP 800-171
BIG-IP、VIPRION 和虚拟版本 v11.5 及以上 SafeNet Luna SA 6000

等级 2:1347

等级 3:1167

不受支持:DFARS 252.204-7012/NIST SP 800-171

历史 FIPS

虽然兼容 FIPS 140-2,但 F5 BIG-IP 6900F 和 8900F 却不支持在其 HSM 中进行必要的固件升级,因此已将其转移至历史 FIPS 列表。若要查找证书,请访问 CMVP 验证模块搜索页面,通过“验证状态”=“历史”进行高级搜索。

F5 模块 经 NIST 验证的加密模块 整体 FIPS 等级 安全策略 统一验证证书
BIG-IP 6900F、8900F 集成模块:
Cavium Nitrox XL CN1520-VBD-04-0201
等级 2 等级 2 安全策略
等级 3 安全策略
FIPS 140-2 验证证书:
等级 2:1360
等级 3:1361

使用 F5 FIPS 兼容解决方案的主要益处:

  • 高性能 SSL - 行业领先的性能,具备行业推荐的标准。
  • 统一平台 - BIG-IP 能够将提供安全密钥存储的 HSM 与在单一设备上具有 SSL 密钥管理和证书管理的应用交付解决方案进行整合。其他解决方案需要为每个 Web 服务器提供单独的系统或经 FIPS 认证的卡,但 BIG-IP 系统的密钥管理框架允许可处理更高流量级别的高度可扩展的安全基础架构。此外,组织还可以轻松将新服务添加至基础架构。
  • 保护资源 - F5 解决方案通过保护企业资源安全与企业品牌形象,维护企业诚信。

机密未分类信息 (CUI) DFARS 252.204-7012/NIST SP 800-171 是截至 2017 年 12 月美国国防部的承包商授权指令,并通过涵盖非对称及对称加密操作的经 FIPS 验证的解决方案实现。特定的 F5 FIPS 平台可直接满足此要求,或通过添加 F5 FIPS 模块符合此要求。有关符合资格的平台及详细信息,请参见上文。

信息技术安全性评估通用标准(简称“通用标准”,CC)

通用标准是用于评估 IT 产品安全性的国际标准 (ISO 15408)。该组要求评估硬件、软件、防火墙和服务器。评估目标是提供一定程度的保证,确保设备或软件能够安全处理数据,并且不含可能损害数据完整性的要素。

通用标准向美国国防部和联邦情报机构保证,他们购买的产品符合操作安全信息系统的统辖要求。其他联邦机构和某些金融企业发现,为其敏感部署购买经通用标准批准的产品要容易得多。F5 已获得网络设备和防火墙协同保护配置文件认证,以及 EAL 2+ 和 EAL 4+ 认证。详情请参阅以下图表和链接。

Deutsches IT-Sicherheitszertifikat

通用标准认证

F5 模块 软件版本 认证信息 安全目标

10350v-F

包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列

VIPRION B2250/B4450

vCMP

以下虚拟机监控程序中的 BIG-IP 虚拟版本:

  • VMware ESXi 6.5.0
  • Windows Server 2019 中的 Hyper-V 10.0 版本

Centos 7 上的 KVM

15.1 LTM+AFM (进行中)

网络设备协作保护配置文件 v2.1

状态流量过滤器防火墙 PP 模块 1.2 版本

10350v-F

包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列

VIPRION B2250/B4450

vCMP

以下虚拟机监控程序中的 BIG-IP 虚拟版本:

  • VMware ESXi 6.5.0
  • Windows Server 2019 中的 Hyper-V 10.0 版本

Centos 7 上的 KVM

15.1 LTM+APM

(进行中)

网络设备协作保护配置文件 v2.1

以下虚拟机监控程序中的 BIG-IP 虚拟版本:

  • VMware ESXi 6.5.0
  • Windows Server 2019 中的 Hyper-V 10.0 版本

Centos 7 上的 KVM

14.1.2

LTM+AFM

CSEC 2019021

(进行中)

状态流量过滤器防火墙协作保护配置文件 2.0e 版本

以下虚拟机监控程序中的 BIG-IP 虚拟版本:

  • VMware ESXi 6.5.0
  • Windows Server 2019 中的 Hyper-V 10.0 版本

Centos 7 上的 KVM

14.1.2

LTM+APM

CSEC 2019022

(进行中)

网络设备协作保护配置文件 2.1 版本

10350v-F

包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列

VIPRION B2250/B4450

vCMP

14.1.0.3 LTM+AFM

CSEC 2019003

NIAP PCL

状态流量过滤器防火墙协作保护配置文件 2.0e 版本

10350v-F

包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列

VIPRION B2250/B4450

vCMP

14.1.0.3 LTM+APM

CSEC 2019004

NIAP PCL

网络设备协作保护配置文件 v2.1

10350v-F

i5000 系列、i7000 系列、i10000 系列、i11000 系列、i15000系列

VIPRION B2250/B4450

vCMP

13.1.1 LTM+AFM

CSEC 2017016

NIAP PCL

状态流量过滤器防火墙协作保护配置文件 2.0e 版本

10350v-F

i5000 系列、i7000 系列、i10000 系列、i11000 系列、i15000系列

VIPRION B2250/B4450

vCMP

13.1.1 LTM+APM

CSEC 2017021

 

NIAP PCL

网络设备协作保护配置文件 2.0e 版本

10350v-F

i5000系列、i7000系列

VIPRION B2250/B4450

vCMP

12.1.3.4 LTM+AFM

CSEC 2017004

NIAP PCL

状态流量过滤器防火墙协作保护配置文件 1.0 版本

10350v-F

i5000系列、i7000系列

VIPRION B2250/B4450

vCMP

12.1.3.4 LTM+APM

CSEC 2017005

NIAP PCL

网络设备协作保护配置文件 1.0 版本
BIG-IP 11.5.1 ADF-Base (LTM+AFM) BSI-DSZ-CC-0856-2017 EAL4+ 安全目标
基于网络设备 NIAP 保护配置文件 1.1 版本和扩展包状态流量过滤器防火墙网络设备保护配置文件 1.0 版本
BIG-IP 11.5.1 ADC-AP (LTM+APM) BSI-DSZ-CC-0975-2018 EAL4+ 安全目标
基于网络设备 1.1 版本的 NIAP 保护配置文件
BIG-IP 6900、8900、11050 10.2.2 LTM + ACA+ PSM NIAP 通用标准认证 EAL 2+ F5 Networks BIG-IP 本地流量管理器安全目标

 

涉密项目商业解决方案 (CSfC)

CSfC 是国家安全局/中央安全局 (NSA/CSS) 计划,旨在使商业产品可用于分层解决方案,保护国家安全系统 (NSS) 机密数据。该计划共有两个部分:供应商申请将其产品列入一个或多个组件清单中;然后集成商可以从这些清单中选择产品以创建解决方案。所有列出的组件必须同时通过通用标准认证和 FIPS 验证,才能将产品列入组件清单。

F5 产品 组件清单
BIG-IP 14.1.2 进行中
BIG-IP 14.1.0.3 进行中
BIG-IP 13.1.1 CSfC 流量过滤防火墙
BIG-IP 12.1 LTM+AFM CSfC 流量过滤防火墙

美国政府 IPv6 一致性认证 (USGv6)

美国管理和预算办公室 (OMB) 在 OMB 备忘录 M-05-22 中要求所有联邦机构需在其网络中使用 IPv6。美国政府 IPv6 一致性认证 (USGv6) 是一套用于获得支持 IPv6 的主机、路由器和网络安全设备的技术标准。美国国家标准与技术研究院 (NIST) 创建了 USGv6 一致性标准,以支持美国政府采用 IPv6。

F5 BIG-IP 经 IPv6 Ready 和 USGv6 认证。请参阅公告:F5 获得 IPv6-Ready Gold Logo 和 USGv6 认证

F5 平台 产品版本 认证信息
BIG-IP 10000 系列、VIPRION B4300 系列 11.3.0 及所有以上版本 USGv6
由 UNH-IOL 提供结果
BIG-IP 10000 系列 11.3、12.1 IPv6 Gold
第二阶段 Gold Logo ID #02-C-001106

联合互通性试验司令部 (JITC) 启用公钥 (PKE)

美国国防部信息系统局 (DISA) 的联合互通性试验司令部 (JITC) 提供基于风险的测试评估和认证服务、工具和环境,以确保并支持快速部署互通性和操作有效的信息技术和国家安全系统。对客户或服务器进行测试以确保其为启用公钥 (PKE) 并能够提供安全服务,如身份验证、机密性、不可否认性和访问控制。JITC PKE 测试方面包括 NIST 和 JITC 认证、在线证书状态协议 (OCSP)、证书吊销列表 (CRL) 和国防部通用访问卡 (CAC)。

F5 BIG-IP 经美国国防部认证为启用公钥 (PKE)。请参阅公告:F5 获得联合互通性试验司令部 (JITC) 认证

F5 模块 认证详情 备注
BIG-IP v 11.2 经认证 与国防部通用访问卡 (CAC) 协同工作

NIST 800-53

NIST 特别出版物 800-53 - 联邦信息系统及机构安全与隐私控制 - 是定义如何处理联邦政府内部信息安全和风险管理的核心标准。该标准由 NIST、美国国防部、情报机构和国家安全系统委员会制定,就持续监控和 FISMA 要求提供指导。此外,其还支持基于风险的方法以保护关键任务和业务功能。

F5 将此 240 多页的文档提炼为 NIST 800-53 F5 iApp。该 iApp提供数页相关的问题和任务,以协助管理员在其 BIG-IP 设备上应用相关的安全控制,为组织节省管理时间和资源。

如果机构希望改进 DIACAP流程,或希望遵守 FISMA,F5 NIST 800-53 iApp 将帮助确保对 BIG-IP 的正确配置设置进行审查和设置。

了解有关使用 F5 iApp 模板的更多信息

美国国防部信息网络批准产品目录

美国国防部 DoDIN APL 是已完成互通性 (IO) 和信息保障 (IA) 认证的产品单一综合列表。DoDIN APL 认证可验证系统是否符合 DISA 外勤安全办公室 (FSO) 安全技术实施指南 (STIG),并与之配置一致。

有关 DoDIN APL 流程的更多信息,请访问 DoDIN APL 测试和认证网站

Cert/TN 号码 产品 外部认证
1906001 F5 Networks BIG-IP Rel. 14.1 认证
1630801 F5 Networks BIG-IP Rel. 13.1 认证
1312201 F5 Networks BIG-IP Rel. 11.6 认证

其他认证

如欲获取更多关于 F5 持有的其他证书信息,请联系 F5 销售部