如何构建可以抵抗恶意攻击的数据中心防火墙？

　　
　　伴随大数据和云计算技术普遍应用于各行业中，数据中心的重要性更加凸显，成为企业业务运营的神经中枢和核心资产。可是当前的网络安全威胁形势愈来愈复杂，传统数据防火墙对于恶意数据攻击的防御能力较弱，那么到底传统数据中心防火墙有什么不足之处，以及如何从新构建完善的数据中心防火墙呢？

　　显而易见的是，在互联网技术快速发展的时代，也意味着“黑客”或恶意攻击的破坏性也随之加强。现现在传统数据中心防火墙已没法知足企业安全需求，网络攻击大多发生在应用层和网络层故障，且呈上升趋势，传统的防火墙存在着很大的不足之处，包括没法检测加密的Web流量；普通应用程序加密后，也能轻易躲过防火墙的检测；对于Web应用程序防范能力不足；应用防御特性只适用于简单状况；没法扩展深度检测功能, 仅部署传统的防火墙服务已经没法有效地检测攻击并防止业务中断，可见防火墙故障更加使人担心，想要确保网络环境安全，就须要针对数据中心防火墙进行根本性的变革。
　

传统数据中心防火墙的不足之处

　　为了应对数据中心的风险问题，知足企业对数据中心的全球需求，并确保数据中心网络边界安全，F5提出了新型数据中心防火墙解决方案。以F5 BIG-IP LTM本地流量管理器所提供的防火墙服务为基础的全新的数据中心架构，既可以有效地抵御现代频繁和多样化的网络攻击，又能够节省企业分散式购买安全设备带来的成本。具体来讲，F5新型数据中心防火墙解决方案是经过一种全面的集成式平台解决上述每一个因素。

　　流量管理和网络防火墙服务由BIG-IP LTM进行管理。经过部署BIG-IP DNS能够执行DNSSEC和DNS Express，从而保护关键的DNS服务免受DDoS和劫持攻击；经过部署BIG-IP ASM能够提供面向10大OWASP攻击的Web应用防火墙服务；最后，经过部署BIG-IP APM来提供安全的Web访问管理和面向应用的SSO，以确保数据中心防火墙解决方案的完整。所以，BIG-IP LTM是一个可以为网络堆栈提供全方位保护的现代威胁缓解平台。
　　F5新型数据中心防火墙解决方案

　　此外，BIG-IP LTM的本地防火墙服务可提供链接能力远远高于传统防火墙的网络层保护，所以使得这一架构成为可能。BIG-IP LTM最多可处理4800万条链接，在受到攻击时能够经过不一样的超时行为、缓冲区大小和其它安全性相关选项对其进行管理。这一能力使得BIG-IP LTM能够在管理流量冲击量的同时，执行基于端口和IP的访问控制服务(一般由状态防火墙提供)。

　　整体来看，F5新型数据中心防火墙安全解决方案可以在一个全代理架构中出色地抵御全部这三种类型的攻击(网络、DDoS和应用)，是任何的传统数据中心防火墙都没法比拟的。F5新型数据中心防火墙可以帮助企业缓解现在最具挑战性的攻击，支持企业实施一个全面且可扩展的安全战略。