[科技界] F5发力应用安全架构，力推南北分层与东西精分的安全新策略

2月20日，国内领先的应用交付厂商f5在北京召开安全战略沟通会。f5中国区总经理张益强与f5中国区首席技术官、政府及企业客户部技术经理周共同分析了新环境下的安全特征，解读了f5新的安全策略和新的实践。

中国市场在2019年迎来了一个良好的开端，未来将增加安全投资

张益强首先回顾了f5过去一年在中国取得的成就。他表示，f5继续在中国市场保持稳定增长，市场份额排名第一，赢得市场认可，包括被美国《财富2018》列为全球最受尊敬的公司，以及福里斯特评估的晶圆产品全球领先地位。在技术创新和战略方向上，f5始终专注于安全、云和智能，构建了一个大数据引擎，并探索了aiops的新实践。此外，张益强特别强调了f5在中国生态圈的拓展，与华三、博云等本土厂商建立了紧密的战略联盟，并深化了与华为在云战略方面的合作，有效推动了f5的本土化战略。

在2018年发生的所有典型安全事件中，张一强回忆说，在对这些安全事件的回应中，f5就像一个& lsquo冲锋队的职责是帮助我们的客户成功解决威胁。这些过去不被重视的行业或领域，开始遇到网络攻击等安全威胁，表明安全形势发生了新的变化，客户对此的需求强烈。他强调，f5关注的应用交付技术与安全性密切相关。甚至可以说，安全是f5与生俱来的dna。

f5亚太区副总裁兼中国区总经理张益强致辞

从统一保护策略到南北分层、东西灰度细化的新安全策略

针对f5新安全策略的新思维和新架构，f5中国首席技术官吴景滔提出了ipv4/v6网络环境下的南北分层保护、东西细粒度灰度流量的安全策略。

吴景滔说，在新的安全环境下，攻防转换在几分钟内就发生了变化。以前识别攻击和用户正常访问的方法都比较简单，各自的特点明显不同。到时候只要去参观一下变态机& lsquo杀了它，让普通用户访问。现在大量的访问来自应用程序，如果这样实现，用户的正常访问就会被误杀。因此，吴景滔强调，随着移动设备和应用的大量接入，网络中的灰度变得越来越复杂，过去统一的安全防护策略将逐渐失效。

在新的安全策略中，即所谓的南北分层保护，客户通常首先在运营商的网络或公共云中进行ddos清理，并在互联网接口和应用程序等不同级别进行保护。同时，客户端应用架构开始转向api调用的结构，应用之间的关系和应用之间的调用形成了事物的流动。所以所谓东西向灰度分类就是对一些关键业务和应用进行精细化的安全防护。

吴景滔强调，f5构建的敏捷灵活的应用保护架构，可以根据攻击方式的不同需求，对用户类型、分销渠道、应用版本、应用类型的灰色流量进行准确分类，显示出明显的技术优势。此外，从安全架构的实施来看，f5希望未来能够以产品+服务的方式应用态势感知，结合大数据采集、机器学习、智能基线、根本原因分析、一键配置变更等动作，实现分钟级攻防转换，最终优化预后良好的场景。

devops架构下的云多主动应用服务和可编程控制

会上，f5政府及企业部门客户技术经理周先生也以ddos攻击防护模型为例，分析了devops架构下的云多主动应用服务的技术关键。他说，在云和主动架构下，安全存在于从基础设施到数据和应用程序的任何地方。在ipv6环境中，无论ddos攻击的规模有多大，保护的复杂性都与过去有很大不同。F5位于应用之前，为应用提供服务。我们希望通过流量可视化和安全服务链的拆分，将安全保护转化为服务。对于不同的应用程序，安全策略被细化，不同的服务链被引导。

此外，为了应对不断变化的应用，可编程控制对客户来说非常必要。F5提供基于全代理架构的可编程控制模式。Irules是f5tmos系统中的默认功能，为用户提供多种可编程的攻击防护实现。作为一种全代理架构，客户只需简单的操作就可以实时部署新的保护策略，在真实的攻击和防御过程中具有绝对优势，有效降低了操作的复杂性和安全风险。