应用基础架构保护

应用基础架构保护能够全方位防护应用所依赖的系统。抵御针对 TLS、DNS 和网络的攻击是保障应用安全可用的关键

遭到攻击?请致电 400 815 5595 或 010-5643 8123 

热门客户使用案例

SSL 可视化

锁图标

保护 SSL/TLS 协议

放大镜

防范 DNS 劫持

防范 DNS 劫持

检测 DNS 隧道

应用基础架构攻击

探索以下各种应用层,了解各类应用基础架构攻击如何针对应用的不同层面发动攻击。

应用服务 应用服务

应用基础架构是指应用所依靠的、应用本身以外的系统。对应用基础架构发起的攻击以 TLS、DNS 和网络层中的弱点为目标。攻击可能包括破坏有漏洞的 TLS/SSL 实现、欺骗 DNS 将用户流量转向、对网络发起中间人攻击或者对上述任意层发起 DDoS 攻击。

Arrow

TLS

密钥泄露

用于对机密数据进行解密并制定验证的密钥是安全基础架构中具有最高价值的资产。密钥与凭证相似,可提供对应用或网络的访问,以及对未使用或传输中的加密数据的访问。密钥材料可能通过以下多种方式暴露:攻击者获得对托管密钥材料的系统的访问权限、意外“泄露”备份或低安全性数据存储库的密钥,或者通过攻击 Heartbleed 等漏洞。高安全性环境通常使用专用硬件密钥存储(例如 FIPS 140)来保护密钥以防泄露。

协议滥用

网络协议具有规定的用途和使用方法,如端口 443 用于 HTTPS 或加密 Web 流量。攻击者可以使用传统防火墙可能允许通过的已知协议,作为隐蔽通道传输窃取的数据或向藏在网络中的恶意软件发出命令,以达到滥用协议的目的。当攻击者通过定义的端口(或其他任何原本并非用于非 HTTPS 流量的端口)发送非 HTTPS 流量时,即形成协议滥用。

证书欺骗

数字证书(也称为 SSL 证书)在网站及其用户之间提供安全的加密通信,可降低敏感信息(例如登录凭证或信用卡号)被篡改或盗窃的风险。证书由可信的证书颁发机构 (CA) 发放给组织,以便向用户验证企业网站的身份。(这种证书相当于护照或驾驶员的驾照。)证书欺骗是指攻击者在恶意网站上提供假冒的数字证书。这会导致不明真相的用户信任恶意网站或假冒应用,使该用户易受恶意软件感染、受到中间人攻击或凭证被盗。

会话劫持

当攻击者成功获得或生成身份验证会话 ID,就形成了会话劫持。攻击者使用捕获的、通过暴力得到的或通过反向工程得到的会话 ID,在合法用户的 Web 应用会话运行期间控制会话。

Arrow

DNS

DDoS

又称为 DNS 淹没攻击。在此类攻击中,攻击者会向特定域的 DNS 服务器发送大量请求,企图使服务器过载。一旦成功发动攻击,就会中断寻址进程并阻止用户连接到其请求的站点。

DNS 劫持

该攻击将流量强行重定向到攻击者指定的网站。在这种类型的攻击中,不明真相的受害者会认为他们正在连接到银行网站,而实际上是在连接到假冒银行网站,攻击者可以在他们尝试登录时窃取他们的用户名和密码。这类攻击的发动手段通常是攻击者使用可更改 DNS 设置的恶意软件感染用户的系统,将用户的计算机重定向为恶意 DNS 服务器。

DNS 缓存中毒

该攻击是指攻击者将伪造的 DNS 条目注入 DNS 缓存。例如,在某个 ISP 使用的 DNS 缓存服务器又被其客户使用,假冒 DNS 条目会将通用域名解析为攻击者所指定的 IP 地址。试图连接到该 IP 地址的所有用户反而都会连接到假冒网站。

DNS 欺骗

尝试冒充 DNS 记录的一大类攻击。这包括 DNS 欺骗、破坏 DNS 服务器、执行 DNS 缓存中毒攻击、猜测请求的序列号或者发起中间人攻击。

Arrow

网络

DDoS

几乎所有 DDoS 攻击的目的都是通过各种手段扰乱服务或使服务对用户完全不可用。部分攻击还包括通过需要处理的大量请求来耗尽系统资源。在网络级别,这些攻击包括扰乱网络/边界防火墙、负载均衡程序或其他网络设备,使整个网络不可访问(而不是影响特定服务器、网站或应用)。

中间人攻击

在中间人攻击中,攻击者自身会插入通常在客户端与 Web 应用之间进行的网络通信中。一旦成功发起攻击,攻击者能够获得对通信的完全访问权限并秘密改变通信。例如,攻击者可能劫持用户与其银行网站之间的通信,窃取用户的登录凭据或者将资金从受害者的银行帐户重定向至攻击者的帐户。

协议滥用

协议具有规定的用途和使用方法,如端口 443 用于 HTTPS 或加密 Web 流量。攻击者可以使用传统防火墙可能允许通过的已知协议,作为隐蔽通道传输窃取的数据或向藏在网络中的恶意软件发出命令,以达到滥用协议的目的。当攻击者通过定义的端口(或其他任何原本并非用于非 HTTPS 流量的端口)发送非 HTTPS 流量时,即形成协议滥用。

窃听

此类攻击涉及攻击者使用特殊网络监控软件(也称为探查器)拦截和记录双方之间(例如,两个主机之间或者客户端与服务器之间)的通信,目的是捕获重要的敏感信息。在无线网络环境中,防御措施包括使用尽可能在协议堆栈的最底层运行的高度加密方法。

Arrow

看不见的东西往往伤害最大。所以您还要对加密威胁视而不见吗?

2018 年 9 月至 10 月期间活跃的恶意网站中,有 68% 利用了加密技术。攻击者利用这些技术来掩盖恶意通信。因此,如果您没有检查 SSL/TLS 流量,您就会漏过攻击,使企业容易受到攻击。了解如何管理加密技术带来的挑战。    

应用程序基础结构保护解决方案

SSL 可视化

SSL/TLS 让企业能够与客户和合作伙伴安全通信。但问题是,SSL/TLS 还可能充当攻击者用以隐藏攻击和恶意软件,使其绕过安全设备的隧道。检查设备(如新一代防火墙、IDS/IPS 或恶意软件沙盒)无法检查加密的 SSL/TLS 流量,或者在解密时会出现性能下降的情况。F5 SSL Orchestrator 能轻松集成到复杂的架构中,并为解密和重新加密提供集中点,同时战略性地将流量导向所有合适的检查设备。

应用基础架构保护产品

应用基础架构保护产品

SSL Orchestrator >

管理您的解决方案

管理您的解决方案

需要帮助管理您的应用程序基础结构安全解决方案?F5 为您提供多个培训机会及多项专业服务。

了解更多 >

自托管

面向本地、并置数据中心或公有云环境的设备或软件虚拟映像,让您能够直接掌控应用程序基础结构安全性。

部署您的解决方案

部署您的解决方案

硬件和软件中均可使用 F5 应用程序基础结构保护解决方案。

需要帮助部署您的 F5 解决方案?

了解更多 >

本地:出站

以内联、被动模式或通过将出站请求发送至 ICAP 服务器的方式对其进行检查,从而保护内部网络。解密、引导、重新加密以及终止出站 SSL 的能力可为用户和组织提供保护。

购买方式

购买方式

订阅

确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。

永久

确定所需的实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。

企业许可协议 (ELA)

ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。

实用工具

通过 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform 购买所需的服务实例,只需依据实际使用情况按小时支付费用。

保护 SSL/TLS 协议

攻击者和安全研究人员正在不断尝试寻找新的方式,以突破现今加密传输中数据的主流方式。通常,密码、底层库或者协议设计中的缺陷便是罪魁祸首。我们的解决方案针对 TLS 配置提供集中管理,能够实现更佳的应用程序性能,并在按需更新您的 TLS 配置时实现无缝灵活性。

应用基础架构保护产品

应用基础架构保护产品

F5 应用程序基础结构保护产品套件提供了全面的保护,并能够轻松适应环境,这对贵组织具有巨大意义。

BIG-IP 本地流量管理器 >

SSL Orchestrator >

高级 Web 应用程序防火墙 >
 

管理您的解决方案

管理您的解决方案

需要帮助管理您的应用程序基础结构安全解决方案?F5 为您提供多个培训机会及多项专业服务。

了解更多 >

自托管

面向本地、并置数据中心或公有云环境的设备或软件虚拟映像,让您能够直接掌控应用程序基础结构安全性。

部署您的解决方案

部署您的解决方案

硬件和软件中均可使用 F5 应用程序基础结构保护解决方案。

了解更多 >

本地:入站

内联部署以终止所有流量,解密(以进行分析和修改)并重新加密,以适当引导干净的流量,同时阻止潜在的恶意软件。各组织还可以部署 SSL 密码策略实施工具或卸载 SSL 以减少服务器负担。

本地:出站

以内联、被动模式或通过将出站请求发送至 ICAP 服务器的方式对其进行检查,从而保护内部网络。解密、引导、重新加密以及终止出站 SSL 的能力可为用户和组织提供保护。

购买方式

购买方式

订阅

确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。

永久

确定所需的实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。

企业许可协议 (ELA)

ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。

实用工具

通过 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform 购买所需的服务实例,只需依据实际使用情况按小时支付费用。

防范 DNS 劫持

DNS 劫持攻击威胁着应用程序的可用性。如果客户被诱骗使用伪造的应用程序,这些攻击甚至可能危及数据的机密性和完整性。借助 F5 DNS 安全解决方案,您可以通过数位方式签署和加密 DNS 查询响应。这能让解析程序确定响应的真实性,防范 DNS 劫持以及缓存中毒。

应用程序基础结构保护产品

应用程序基础结构保护产品

BIG-IP DNS >

在高查询量和 DDoS 攻击期间以超大规模保护基础结构,并确保应用程序的高可用性,甚至在多个实例之间及跨混合环境时也同样如此。

管理您的解决方案

管理您的解决方案

需要帮助管理您的应用程序基础结构安全解决方案?F5 为您提供多个培训机会及多项专业服务。

了解更多 >

自托管

面向本地、并置数据中心或公有云环境的设备或软件虚拟映像,让您能够直接掌控应用程序基础结构安全性。

部署您的解决方案

部署您的解决方案

硬件和软件中均可使用 F5 应用程序基础结构保护解决方案。

需要帮助部署您的 F5 解决方案?

了解更多 >

本地:入站

内联部署至所有流量,并通过检查入站流量请求来保护内部网络。

 

购买方式

购买方式

订阅

确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。

永久

确定所需的实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。

企业许可协议 (ELA)

ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。

阻止 DNS DDOS 攻击

DNS 洪水(包括反射和放大变体)会禁用或降低 Web 应用程序响应合法流量的能力。这些攻击难以与正常的过大流量区分开来,因为大量的流量通常来自数个独特的位置,它们会查询域上的真实记录,模仿合法流量。F5 DNS DDoS 解决方案可以在必要时候扩展规模,借此来增加每秒请求处理量,从而阻止此类攻击。

应用程序基础结构保护产品

应用程序基础结构保护产品

BIG-IP DNS >

在高查询量和 DDoS 攻击期间以超大规模保护基础结构,并确保应用程序的高可用性,甚至在多个实例之间及跨混合环境时也同样如此。

管理您的解决方案

管理您的解决方案

需要帮助管理您的应用程序基础结构安全解决方案?F5 为您提供多个培训机会及多项专业服务。

了解更多 >

自托管

面向本地、并置数据中心或公有云环境的设备或软件虚拟映像,让您能够直接掌控应用程序基础结构安全性。

部署您的解决方案

部署您的解决方案

硬件和软件中均可使用 F5 应用程序基础结构保护解决方案。

需要帮助部署您的 F5 解决方案?

了解更多 >

本地:入站

内联部署至所有流量,并通过检查入站流量请求来保护内部网络。

 

购买方式

购买方式

订阅

确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。

永久

确定所需的实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。

企业许可协议 (ELA)

ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。

检测 DNS 隧道

许多防火墙和 IPS 解决方案不会处理针对 DNS 隧道等 DNS 基础结构的更为现代化的威胁。管理 DNS 隧道等 DNS 攻击向量需要检查整个 DNS 查询,以查看更深层的善意或恶意行为标记符,同时不会有损服务性能。

应用程序基础结构保护产品

应用程序基础结构保护产品

BIG-IP DNS >

在高查询量和 DDoS 攻击期间以超大规模保护基础结构,并确保应用程序的高可用性,甚至在多个实例之间及跨混合环境时也同样如此。

管理您的解决方案

管理您的解决方案

需要帮助管理您的应用程序基础结构安全解决方案?F5 为您提供多个培训机会及多项专业服务。

了解更多 >

自托管

面向本地、并置数据中心或公有云环境的设备或软件虚拟映像,让您能够直接掌控应用程序基础结构安全性。

部署您的解决方案

部署您的解决方案

硬件和软件中均可使用 F5 应用程序基础结构保护解决方案。

需要帮助部署您的 F5 解决方案?

了解更多 >

本地:入站

内联部署至所有流量,并通过检查入站流量请求来保护内部网络。

 

购买方式

购买方式

订阅

确定所需实例个数,并注册 1 年、2 年或 3 年期订阅,其包括更新的支持和维护。

永久

确定所需的设备或实例个数,并设置许可协议。永久许可的效力覆盖整个产品生命周期,可按单个服务或以套餐形式提供。

企业许可协议 (ELA)

ELA 按 1 年期、2 年期或 3 年期提供,为大型组织提供灵活性,以按需启动或关闭虚拟实例。其中包含产品维护和支持。

视频

完美正向加密,其原理是什么?

相关文章

威胁情报

DNS 仍然是互联网的“阿喀琉斯之踵”。

SSL 可视化

了解最终内联检查架构。

F5 实验室

十年泄露的经验教训。

客户案例:MEDICAL DATA VISION

MDV 在不牺牲性能的情况下检测、阻止嵌入 SSL 数据中的目标威胁

立即开始

安全产品

访问我们的安全产品页面,了解我们专为您的应用程序安全需求量身定制的强大产品组合。

购买前请先试用

获取 90 天免费试用 - 立即查看哪些产品提供试用版本。

具有可操作性的威胁情报

具有可操作性的应用威胁情报,全方位分析网络攻击的对象、目标、时间、原因、方式及后续步骤。