1、维也纳酒店应用网络安全解决方案广州锐欣科技有限公司二零零九年七月目 录1.概述32.应用网络安全平台构成42.1.防火墙& VPN系统42.2.IDS/IPS检测42.3.邮件安全检测42.4.Web应用程序防火墙43.应用安全方案53.1.方案简述53.2.方案拓朴53.3.产品及主要技术介绍63.3.1.Juniper防火墙63.3.2.F5 Firepass (SSL VPN)73.3.3.TippingPoint入侵防御系统123.3.4.Ironport防垃圾邮件网关163.3.5.F5 ASM 应用安全网关211. 概述当今企业都广泛使用信息技术，特别是网络技术，以不断提高企业的竞2、争力。企业信息设施在提高企业效益的同时，也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业，关于企业网络安全的相关报导也一直层不穷，给企业所造成的损失不可估量。由于涉及企业形象的问题，所曝光的事件只是冰山一角。针对中小企业网络安全事故大多不为人所知。由于计算机网络特有的开放性。网络安全问题日益严重。随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已不足以应付来自各种攻击了。例如，那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。结合企业的网络特征，我们建议使用多层次的整体安全网络架构方3、案。这种多层次的安全体系不仅要求在网络边界设置防火墙&VPN，还要设置针对垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。对于内网安全，特别是移动办公将对有安全问题的主机进行隔离，以免其对整个网络造成更大范围的影响。这给整个企业网络提供了安全保障。2. 应用网络安全平台构成2.1. 防火墙& VPN系统用基于状态检测的防火墙系统实现对内部网和广域网进行隔离保护。 VPN 为远程办公人员及分支机构提供方便的VPN高速接入，保护数据传输过程中的安全，实现用户对服务器系统的受控访问。2.2. IDS/IPS检测IPS系统能够对所有数据进行4、实时检测。对于可疑攻击行为，IPS系统采用灵活的策略进行相应处理，大大降低了IPS系统误报和漏报给内部网络带来的风险。 2.3. 邮件安全检测对垃圾邮件、网络钓鱼、间谍软件、灰色软件等通过邮件形势对信息安全问题进行实时检测。躲避企业用户遭受垃圾邮件、网络钓鱼、间谍软件、灰色软件等攻击。 2.4. Web应用程序防火墙Web应用程序防火墙提供高效的防御，防止与Web系统相关的攻击。 3. 应用安全方案以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业5、务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为信息化健康发展所要考虑的重要事情之一。3.1. 方案简述在本方案中使用了Juniper防火墙系列、F5 FirePass（SSL VPN）系列，对实现对内部网和广域网进行隔离保护。使用Tippingpoint IPS对于可疑攻击行为进行相应处理。使用Ironport防垃圾邮件系列产品对垃圾邮件、网络钓鱼、间谍软件、灰色软件等通过邮件形势对信息安全问题进行实时检测。使用F5的ASM应用防火墙6、防止与Web系统相关的攻击。3.2. 方案拓朴3.3. 产品及主要技术介绍3.3.1. Juniper防火墙概况简介： Juniper网络公司集成式安全网关（ISG）是一种专用安全解决方案，它采用了第四代安全ASIC GigaScreen3，以及高性能微处理器，能够提供无与伦比的防火墙和VPN性能。Juniper网络公司 ISG 1000 和 ISG 2000 非常适合因需要运行VoIP和流媒体等高级应用而需要可以扩展的一致性能的企业、运营商和数据中心环境。ISG 1000和ISG 2000 将最佳深层检测防火墙、VPN和DoS解决方案集成在一起不但能提供安全、可靠的连接，还能为重要的高流量网7、段提供网络和应用级保护。 ISG是一种完全集成的FW/VPN/IDP系统，具有千兆性能、模块化架构和丰富的虚拟化功能。基础FW/VPN系统最多支持四个I/OS模块和三个安全模块，以支持IDP 集成。 特征与优势：面向各规模数据包的线性千兆位防火墙和IPSec VPN吞吐量，以保护各类应用的安全，如VoIP和流媒体等需要低时延及可扩展的小型数据包性能的应用 将GigaScreen3 ASIC与高性能CPU结合在一起，为应用层保护、网络层保护和管理提供并行处理能力，以确保提供数千兆位的防火墙、VPN和IDP性能 可选的集成IDP升级选项可防止蠕虫、特洛伊木马、间谍软件和恶意软件等现有和新出现的应用8、层威胁入侵关键的高速网络并在网络中蔓延 可扩展性满足未来要求，确保组织能够利用其现有投资并降低总拥有成本 全面的高可用性解决方案，能够在一秒钟内完成接口或设备的故障切换 全网状配置，允许在网络中部署冗余的物理路径，从而提供最大的故障恢复能力和正常运行时间 虚拟系统支持，允许将网络分成多个安全区，每个区都有自己一套独特的管理员、策略、防火墙/VPN和地址簿 接口灵活性，用于满足各种网络连接要求和未来增长要求 虚拟路由器支持，以便将内部、专用或重叠的IP地址映射到全新的IP地址，从而提供到最终目的地的更多路由选择，并将其隐藏起来 可定制的安全区能够提高接口密度而无需添加硬件开销、降低策略制订成本、9、阻止未经授权的用户和攻击、简化防火墙/VPN的管理工作 透明模式，使设备能够用作第2层IP安全网桥，提供防火墙、VPN和DoS保护，只需对现有网络进行最小的变化 通过基于Web的图形用户界面、CLI或Juniper网络公司 NetScreen-Security Manager集中管理系统进行管理 基于策略的管理，允许端到端的生命周期集中管理 3.3.2. F5 Firepass (SSL VPN)完整的SSL VPN实现F5 FirePass包含IPSec VPN、网络访问、网上应用程序(My Intranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功10、能，使用标准SSL安全协议，不需要专用客户端，可以完美的解决随时随地接入的需求，不仅可以满足B/S应用程序的远程接入，也可以满足各种各样C/S应用程序的远程接入.良好的性能F5 FirePass可以实现高速缓存和压缩，极大的改善了远程接入的性能。多种多样的接入客户端F5 FirePass可以使用多种客户端接入，包括Mac、Linux、Solaris、Windows CE等等，大大扩展了客户端的使用便利性。良好的安全性IPSec VPN的安全性一直是一个弱点，由于IPSec VPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，而F5 FirePass可以很好的解决这个问题。在FireP11、ass的门户站主机访问模式下，FirePass可以对上传的文件做病毒扫描，更可以与企业现有的防病毒软件联动，彻底解决病毒问题。而FirePass内带的内容检查功能，解决了Web攻击问题。F5 FirePass可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。F5 FirePass可以对接入客户进行各种限制，如可以访问的地址、端口、URL等等。F5 FirePass可以配置成在退出时自动清除高速缓存。以上这些功能都大大增强了系统的安全性。丰富的日志功能IPSec VPN的日志功能非常薄弱，而FirePass可以提供非常丰富的用户级12、日志功能，更可以通过标准的日志协议将日志实时传送给企业中的日志服务器，便于审计。强大的高可用性对于远程访问非常重要的企业来说，远程访问设备的高可用性非常重要，而IPSec VPN无法提供高可用性，往往成为系统的单点故障。而F5 FirePass可以多台以集群方式对外提供服务，也可以前端使用F5 BIG IP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能。与企业原有AAA服务器集成企业在部署远程访问设备之前，一般都部署了各种形式的AAA服务器，一般有Active Directory、LDAP、RADIUS、企业自行开发的SSO等等，客户端也有PKI、RSA Secure I13、D等等。FirePass可以轻易的与这样AAA服务器集成，对于IT管理员来说，可以轻易将一台FirePass加入企业网，用户管理仍然由原来的AAA服务器去做。随时随地接入需求FirePass使用SSL协议作为接入协议，SSL协议工作于传输层与应用层之间，与具体接入条件无关，有效的避免了IPSec VPN在某些网络条件下无法接入的弊端。高可用性F5 FirePass可以多台以Failover或集群方式对外提供服务，也可以前端使用F5 BIG IP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能，可以保障724小时服务。良好的权限管理F5 FirePass可以方便的以用户主干组14、和资源组映射的方式灵活的进行权限管理，企业可以方便的赋予自己公司不同职权的员工、合作伙伴、供应商等不同的权限。强大的网络访问功能SSL VPN是为弥补IPSec VPN的缺陷应运而生，F5 FirePass包含IPSec VPN、网络访问、网上应用程序(My Intranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，这其中网络访问功能是真正重要和对于企业来说雪中送炭的功能，其他都是锦上添花的功能，网络访问功能可以完全替代其他所有的功能。网络访问功能既有IPSec VPN所具有的与应用无关已经与内网使用体验一致的特点，而且解决了由于使用IPSec V15、PN所带来的无法审计登录信息、导致病毒和蠕虫入侵、某些网络条件下无法接入、需要客户端等诸多缺陷，所以网络访问功能才是用户一劳永逸的解决方案，一个SSL VPN解决方案可以不使用其他功能，但是一个不具备网络访问功能的SSL VPN解决方案是不可思议的。FirePass的网络访问功能包含很多高级性能，如GZIP压缩，可以大大提高性能；提供全局和基于组的包过滤功能，可以灵活的定义和限制每个组可以访问的IP、协议、端口，缺乏了包过滤功能的SSL VPN就不具备了相对于IPSec VPN的主要优势；提供对于VLAN的支持，方便大型的SSL VPN应用；不仅提供NAPT方式的网络访问，还提供使用源地址的网16、络访问，而某些应用是必须使用源地址的网络访问的，如视频点播，这样不仅可以实现客户端对于服务端的访问，也可以实现服务端主动发起的对于客户端的访问请求，如越来越多的“推”技术。丰富的接入客户端FirePass不仅可以使用Windows作为工作客户端，更可以使用Linux、Windows Mobile、Mac、Solaris作为工作客户端，这一点对于使用非Windows客户端的企业尤为重要。提供纯浏览器方式的Windows文件共享FirePass提供纯浏览器方式的Windows文件共享，用户只需浏览器就可以实现Windows共享文件的浏览、上传、下载，而且可以对上传的文件查杀病毒，极大的方便了用户。17、提供IMAP/POP3邮件服务器Web展现FirePass可以实现IMAP/POP3邮件服务器Web展现，用户只需要使用浏览器，就可以存取基于IMAP/POP3邮件服务器的邮件，非常方便，并且可以对邮件查杀病毒。使用浏览器访问终端服务器FirePass可以实现终端服务器(如微软Terminal Server、Citrix、VNC)的Web展现，用户只需要使用浏览器，就可以实现对于终端服务器的访问。使用浏览器访问传统主机FirePass可以实现传统主机终端(如3270等)的Web展现，用户只需要使用浏览器，就可以实现对于传统主机的访问。实现双向访问FirePass不仅支持客户端到服务端的访问要求18、，也支持服务器主动发起的对于客户端的访问请求(主动发送更新文件等)以及双向的访问请求(如视频会议)。与企业原有AAA服务器集成企业在部署远程访问设备之前，一般都部署了各种形式的AAA服务器，一般有Active Directory、LDAP、RADIUS、企业自行开发的SSO等等，客户端也有PKI、RSA Secure ID等等。FirePass可以轻易的与这样AAA服务器集成，对于IT管理员来说，可以轻易将一台FirePass加入企业网，用户管理仍然由原来的AAA服务器去做。强大的防病毒功能FirePass内置防病毒软件，可以查杀文件和邮件中的病毒，如果企业已经部署具有ICAP接口的企业防病毒19、服务器，FirePass还可以将查杀病毒达的功能交给企业防病毒服务器。提供高可用性F5 FirePass可以多台以Failover或集群方式对外提供服务，也可以前端使用F5 BIG IP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能。提供防应用攻击功能FirePass内带内容检查功能，可以防止内存溢出、SQL脚本注入等大部分web应用攻击。解决系统远程访问的安全性IPSec VPN的安全性一直是一个弱点，由于IPSec VPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，F5 FirePass可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒20、库更新时间等等，从而堵住病毒、木马入侵的途径。F5 FirePass可以对接入客户进行各种限制，如可以访问的地址、端口、URL等等。F5 FirePass可以配置成在退出时自动清除高速缓存。以上这些功能都大大增强了系统的安全性。提供丰富的日志功能FirePass可以提供非常丰富的用户级日志功能，更可以通过标准的日志协议将日志实时传送给企业中的日志服务器，便于审计。3.3.3. TippingPoint入侵防御系统TippingPoint的入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测，TippingPoint的入侵防御系统21、能够在发生损失之前阻断恶意流量。利用TippingPoint提供的数字疫苗服务，入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。此外，TippingPoint的入侵防御系统是目前能够提供微秒级时延、高达5G的吞吐能力和带宽管理能力的最强大的入侵防御系统。 通过全面的数据包侦测，TippingPoint的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力，TippingPoint的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他网络基础22、设施免遭恶意攻击和防止流量出现异常。TippingPoint的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源，从而确保网路资源的合理配置并保证关键业务的性能。 TippingPoint产品型号包括从50Mbps处理性能的UnityOne 50到5Gbps处理性能的UnityOne 5000E，可以满足从SOHO办公、中小企业、到大企业和电信运营商的各种组网需求。 作为业界领先的IPS产品，TippingPoint具有高性能、高可靠性和易部署的特点。它是唯一获得“NSS Gold Award”、“Common Criteria Certification”的产品，同时23、还获得了其他众多奖项，TippingPoint已经成为基于网络的入侵防御系统的标志。TippingPoint目前已经拥有许多著名的客户和案例，这些客户遍布各个行业，他们之所以选择TippingPoint，是因为TippingPoint能够以最优的性价比给他们提供全方位的网络安全保护。产品特征安全与高性能的完美结合TippingPoint是IPS领域的领导者。其IPS产品（及其配套的管理和保障产品），凭借强大的攻击检测与实时防御能力、出色的性能、电信级的高可靠性和易部署、易管理等特性，成为唯一的NSS（全球最权威的安全产品评测机构）评测金奖获得者，并率先获得CC（Common Criteria）24、认证。TippingPoint IPS系列产品完美地将统一的安全功能与出色的高性能融合在一起，已经被公认为IPS领域的标杆与旗舰。 主动式的入侵防御 TippingPoint IPS可以被“in-line”地部署到网络当中去，对所有流经的流量进行深度分析与检测，从而具备了实时阻断攻击的能力，同时对正常流量不产生任何影响。基于其高速和可扩展的硬件平台，TippingPoint IPS不断优化检测性能，使其能够达到与交换机同。 等级别的高吞吐量和低延时，同时可以对所有主要网络应用进行分析，精确鉴别和阻断攻击。事实上，TippingPoint IPS所具备的超高性能与精确阻断能力，已经彻底重新定义了25、网络安全的内涵，并且从根本上改变了保护网络的方式，帮助客户实现持续降低IT成本、持续提高IT生产率的目标！无与伦比的高性能 TippingPoint IPS具备绝对领先的能与交换机媲美的性能指标：最高可达5G吞吐量的线速检测、转发；低时延（最大时延 有效管理大量线程； 能够快速处理邮件队列 - 快速读写磁盘文件；2 Ironport AsyncOS 的相关技术及优势Ironport AsyncOS 是一个全新打造的操作系统平台，专注于实现邮件网关的特殊要求；它主要在两个方面做了很大的改进很优化：线程管理方法：技术细节：无堆栈技术, 只有在线程确实需要堆栈的时候才分配堆栈空间；I/O 驱动的线程26、调度，只有在线程确实需要读写数据时才为其做 CPU 上下文切换，分配 CPU 时间片；带来的好处：能够高效率地管理大量的并发线程，从而能够建立起大量的连接来收发邮件；磁盘文件读写方法：技术细节：自己研发的文件系统AsyncFS； 多个邮件存储在一个文件里面； inode 存放于内存中，一次内存读加一次磁盘读就可以读出邮件；带来的好处：显著地减少了磁盘读写操作次数，提高了邮件队列的处理效率；3Ironport SenderBase 邮件和 WEB监控网络SenderBase 是什么？Ironport 的邮件监控网络，它监控世界各地的邮件，给各个邮件服务器评分，识别邮件病毒爆发，是 Ironpor27、t 防垃圾邮件网关的信息来源和基础。SenderBase 有什么优势？能够准确地给世界上绝大多数邮件服务器分配适当的分数，确定其发送垃圾邮件的倾向；能够准确识别出大规模邮件病毒爆发的前兆；为 Ironport IP 名声过滤器，防垃圾邮件过滤器和病毒爆发过滤器提供了准确而丰富的数据，提高了他们防垃圾和病毒的准确性，最大限度地降低了误报和漏报；SenderBase 为什么这么强大？1. 历史悠久，2003 年开始着手建立 SenderBase，其它厂家争相仿效；2. 参与者很多，世界各大邮件运营商，大型国际组织，跨国公司，目前大约有10万个合作伙伴；3. 数据来源很广泛，能够监控到世界上邮件总量28、的1/4；4. 考虑因素很全面： 一个IP地址是否被纳入了可靠的公共黑名单或开放代理服务器列表上 一个IP地址是否属于被黑客入侵的IP地址空间内 和这个IP地址有关的终极用户抱怨情况 发送到无效“垃圾邮件陷阱”帐户的邮件数量 发送的邮件量总数和变化情况 从这个IP地址或域发出的第一封邮件的日期 邮件发送人所属的类别和行业(例如，ISP或财富榜上1000强企业，政府部门机构等) 邮件发送人是否出现在第三方邮件认证程序中，例如Bonded Sender 邮件接收人是否有效 垃圾邮件或病毒邮件中出现URL的频率（总共90多个邮件相关因素和20多个WEB相关因素）4Ironport IP名誉过滤器IP29、名誉过滤器是什么？Ironport 防垃圾邮件网关的一个功能模块，也是其第一道防线，它根据试图发送邮件的服务器的 IP 地址的分数（代表其发生垃圾邮件的倾向），来决定怎样做。是拒绝连接（对于确认的垃圾邮件发送者）？还是接受连接（对于确认的非垃圾邮件发送者）？还是虽然接受连接，但是限制发送邮件的速度？（不确认其发送垃圾邮件的倾向）IP名誉过滤器有什么优势？1. 能够防止 80% 的垃圾邮件（其它厂家最多只能达到 50%）；2. IP 层的防护，能够节约邮件网关的资源，提升其处理邮件的能力，还能节约垃圾邮件占用的带宽；3. 误报和漏报最低；4. 降低邮件系统遭受拒绝服务攻击和目录搜索攻击的风险；530、. 无需管理（不要用事先的自学习，也不需要手工维护规则）；IP名誉过滤器为什么那么强大？源于 Ironport SenderBase 强大的邮件和WEB 监控网络；5Ironport Anti-Spam 过滤器 Anti-Spam过滤器是什么？Ironport 防垃圾邮件网关的一个功能模块，它评估发件人的声誉，分析邮件体的各个组成部分，然后判断其是否是垃圾邮件，进而采取相应措施。IPAS 根据发件人的声誉和邮件体分析的结果，给邮件打分，根据得分，决定该邮件属于准确识别的垃圾邮件还是可疑垃圾邮件，然后采取管理员为这两类垃圾邮件定义的策略，对邮件进行相应的处理。Anti-Spam过滤器有什么优势？31、1. 过滤最彻底，能防御各种各样的邮件安全威胁：垃圾邮件，钓鱼攻击，僵死网络攻击，流行时间短且量小的邮件安全威胁（如“419”：发生在尼日利亚的一宗邮件骗局），新兴的混合型邮件安全威胁；2. 准确性高：误报和漏报最低；3. 无需管理：及时自动升级规则，避免手工调整和配置规则；4. 业界领先的性能；5. 邮件用户可以登录并处理自己的垃圾邮件隔离区；Anti-Spam过滤器为什么那么强大？1. 以 SenderBase 作为强大的后盾；2. Ironport 独有的邮件上下文自适应扫描引擎（CASE），能够快速对每一封邮件进行全面的分析检测和评估；3. Ironport 24 x 7威胁运作中心：32、 管理垃圾邮件最新趋势的知识库，及时发布规则升级，校验用户报告和反馈；6. 防病毒爆发过滤器防病毒爆发过滤器是什么？Ironport 防垃圾邮件网关的一个功能模块，当一种新的邮件病毒爆发后，而防毒软件相应的病毒码发布之前，Ironport 防病毒爆发过滤器会识别出并拦截这种病毒邮件，送入隔离区，等到防毒软件的病毒码就位后，再释放这些被隔离的邮件，从而防止组织遭受新病毒邮件造成的破坏。防病毒爆发过滤器有什么优势？1. 实践证明，Ironport 的防病毒过滤器具有极高的拦截率和最低的误报率；2. 能够节约组织的运营成本：在邮件病毒爆发后，第一时间（平均比防毒软件厂商快10几个小时）进行拦截和隔离33、，从而帮助组织避免各种病毒造成的损失；3无需管理：自动进行病毒邮件的扫描，拦截，隔离和释放；防病毒爆发过滤器为什么那么强大？1. SenderBase 提供强大的后盾：SenderBase 监控网络能够及时监控到新爆发的邮件病毒，并及时通知 Ironport 防垃圾邮件网关；2. 威胁运作中心全天候验证邮件流异常，审阅和发布自动生成的防毒规则；7. Ironport 优势：项目描述IP 层防攻击（过滤）能力强大：能够过滤掉 80% 的垃圾邮件黑白灰名单支持支持黑白灰名单，不仅可以配置接收（白名单）邮件和拒收（黑名单）邮件，还可以配置限制（灰名单）发送方发送邮件的速率虚拟邮件网关支持真正的虚拟邮34、件网关，即在网关上可以配置多个IP地址，并且不同的IP地址上可以配置不同的邮件策略防毒能力强：使用商业杀毒软件，防病毒爆发过滤器可以防止组织遭受“零时差”邮件病毒攻击误判和漏判业界最低：源于SenderBase 全面而准确的垃圾邮件信息 中文垃圾邮件识别率高：高达95%，在上海设有中文垃圾邮件监控中心，专门研究中文垃圾邮件，误判率在十万到百万分之一左右邮件路由负载均衡支持将某个域的邮件发给多台负责该域邮件的邮件服务器，即邮件路由负载均衡邮件服务器保护可以根据负责特定目标域邮件的邮件服务器的能力来设置发送速率，从而避免压垮邮件服务器发件人声誉保护强大：DomainKey技术，虚拟网关技术，发送控35、制技术 三种技术共同提供保护功能日志和报表提供20多种日志，方便用户查询各种信息；能够实时统计出一个月内的邮件信息，方便用户把握邮件的长期趋势对排错的支持好，Ironport邮件监控中心让管理员迅速查找到Ironport 处理过的任何邮件的记录性能好，最低端的C150 每天能够处理实际邮件50万封8. Ironport 防垃圾邮件网关产品系列3.3.5. F5 ASM 应用安全网关确保交付经ICSA认证的 BIG-IP 应用安全模块能够鉴定、隔离和阻止各种复杂攻击，且不影响合法应用交易。优化性能只允许合法应用交易，阻止其它交易。ASM 借助高效的主动安全模块，根据用户会话环境、授权权限、用户输36、入和应用响应时间，对每笔用户交易进行检查和确认。零时差 (Zero day) 防御ASM 不同于签名检查方式，它采用主动式安全模块保护所有级别的基于 HTTP 和 HTTPS 的攻击（已知和未知攻击均可防范），而不是被动防御有限的已知攻击。 由于逃过签名检查的新型攻击没有已知的签名，因此主动安全模块能够轻松对其实施拦截。精确控制在使用 ASM 时，用户可根据需要，选择性地部署签名和模式验证，以增强防火墙和 IPS 系统的防御能力，防止超出这些系统边界的网络协议攻击的发生。改进的风险管理/更改管理ASM 能够提供可适应各种情况的及时的实时防御，以抵御一般及特定攻击，ASM 提供了十分重要的保障，37、弥补了诸如应用开发阶段执行漏洞扫描等措施的不足。 通过修改安全策略，新的问题能够立即被处理。详细统计及取证信息 (Forensic Information)ASM 可在其日志中记录大量应用交易和事件信息，可在分析应用行为以及识别/防止非法用户操作时发挥重要作用。“即插即保护 (Plug and Protect)”基于 BIG-IP 流量管理操作系统 (TM/OS) 的 ASM 能够轻松嵌入到公司的 Web 基础架构中。 一旦安装完成，模块的自动学习机制将迅速而准确地构建符合应用保护特定需求的安全策略，大大降低策略管理和手动配置的工作量。降低应用开发成本如果应用没有得到充分保护，开发人员必须对应38、用及硬件代码插件 (hard-code plugs) 进行彻底的检查以查找安全漏洞。应用扫描程序能够发现其中一些漏洞，但始终需要严格地审查和重写代码。 而采用 ASM 以后，开发人员就能集中精力快速开发新的应用和功能，因为他们知道其开发对象正处于强大、严密的保护之中。降低补救成本除了与攻击本身有关的成本外，企业还必须承担因响应攻击和修复损坏所需的大量费用。对病毒响应不仅涉及到 IT 部门，还将涉及公共关系、影响品牌形象，导致诉讼，甚至会迫使公司支付监管费用 (Regulatory Cost)。 而ASM 能够在危害产生之前，阻止攻击进行。轻松对投资回报进行量化通过将 Web 应用安全与 BIG39、-IP 应用流量管理系统整合，您可以缩短部署时间，简化基础设施设计，降低与安全改进、攻击损坏和损坏响应有关的总体成本。综合防御外部威胁BIG-IP 应用安全模块通过安全应用层过滤技术，使 BIG-IP 功能强大的应用流量管理功能大为提升，从而在功能强大的流量管理平台上实现了最顶级的安全技术。由此造就了一套全面、灵活、轻松管理 Web 应用的安全解决方案。应用安全模块可提供：抵御特定攻击的主动安全保护：- 无效输入控制- 故障访问控制（强制浏览）- 缓冲区溢出- 跨站点脚本- SQL/OS 注入- Cookie 中毒- HTTP 请求挟持 (HTTP Request Smuggling)选择性签名识别攻击过滤器能够提供全面的保护，抵御各种攻击：- 自动拒绝服务攻击- 已知的蠕虫和漏洞- 受到限制的对象和文件类型请求- 其它已知的漏洞入侵 (Exploit)隐藏功能 (Cloaking)：- 防止操作系统和 Web 服务器留下数据流指纹 (fingerprinting)- 隐藏任何用户的 HTTP 错误信息- 删除发送至用户页面的应用错误信息- 防止泄漏服务器代码其它网络安全服务：- SSL 加速器- IP/端口过滤- 反向代理- 密钥管理和故障转移处理- SSL 终止和 Web 服务器重新加密