F5 و راهکارهای آن

F5 Networksدر سال ۱۹۹۶ تاسیس شد. این شرکت یک شرکت چند ملیتی آمریکایی است و بخش اعظم فعالیت‌های آن در زمینه‌ی فناوری ساخت شبکه و فناوری “تحویل برنامه کاربردی” یا Application Delivery Management بود. دلیل مطرح شدن و شناخته شدن آن نیز ارائه‌ی همین فناوری بوده است. شرکت F5 اولین فروش سهام خود را در سال 1997 انجام داد و با نماد FFIV در بازار سهام Nasdaq قرار گرفت. دفتر مرکزی این شرکت در سیاتل در ایالات متحده قرار دارد. فعالیت‌های ابتدایی این شرکت در زمینه‌ی توزیع بهینه‌سازی شده‌ی ترافیک تحت عنوان Load Balancing بوده است. در طول زمان تمرکز اصلی شرکت F5 روی موضوعات دیگری قرار گرفت، و در حال حاضر بر روی مواردی مانند Service Delivery، Service Performance وService Availability در حوزه‌ی Web Application می‌باشد. Acceleration یا تسریع روند ارائه‌ی خدمات، Application Security یا امنی برنامه‌های کاربردی، و پیشگیری از حملات DDos نیز جزو سیاست‌های فعلی شرکت F5 است. خدمات و راهکارهای شرکت F5 به طور کلی برای مشتریان در مراکز داده و سرویس‌های ابری مورد استفاده است. شعار اصلی شرکت این است: ارائه‌ی خدمات امن، با کارایی بالا”.

این شرکت همچنین مالک برخی از شرکت های بزرگ و مهم در حوزه‌ی فنواری اظلاعات است، شرکت‌هایی مانند NGINX، CloudWeaver، Defense.Net، LineRate Systems، و Shape Security. خریداری این شرکت‌ها به F5 کمک کرد که ابعاد و خدمات خود را گسترش داده و به یکی از غول‌های فناوری اطلاعات تبدیل شود. محصولات و راهکارهای این شرکت برای پلتفرم‌های مختلف تولید می‌شوند، و این پلتفرم‌ها شامل نسخه‌های مجازی، تجهیزات سخت‌افزاری، و سرویس‌های مبتنی بر ابر می‌شوند.

راهکارهای شرکت F5

F5 راه‌حل‌هایی را برای دنیای اپلیکیشن ارائه می‌دهد؛ مثلا به سازمان‌ها کمک می‌کند تا به صورت یکپارچه استقرار شبکه نرم‌افزار محور (SDN)، رایانش ابری (cloud) و مرکز داده را، مقیاس بندی (scale) کنند، به نحوی که برنامه‌ها برای هر فردی در هر مکانی قابل دسترسی باشد. راه‌حل‌های F5 دامنه فناوری اطلاعات را از طریق یک framework باز و قابل توسعه و مجموعه‌ای متشکل از فروشندگان و ارائه‌دهندگان پیشرو در حوزه فناوری و مرکز داده، گسترش می‌دهد. این رویکرد به کاربران اجازه می‌دهد تا مدل زیرساختی را انتخاب کنند که در طول زمان به بهترین وجه نیازهای آنها را پوشش می‌دهد. امروزه بزرگ‌ترین کسب‌وکارها، ارائه‌دهندگان خدمات و نهادهای دولتی به F5 متکی هستند تا همگام با ترندهای رایانش ابری، امنیتی و mobility حرکت کنند. راه‌حل‌های حفاظت از هویت و داده  Thales، front-end  و back-end راه‌اندازی F5 BIG-IP را با راه‌حل‌های پیشرو در داخل محل یا فضای ابری، امن می‌کند. همچنین BIG-IP امکان یکپارچه‌سازی و استفاده از ماژول‌های سخت‌افزاری امنیتیِ (HSM‌) متعلق به شرکت Thales را جهت پیاده‌سازی، مدیریت متمرکز و کنترل ایمن کلیدهای DNSSEC استفاده می‌نماید.

F5 Big-IP چیست؟

F5 Big-IP مهم‌ترین محصول شرکت F5 به حساب می‌آید و به مجموعه‌ای از تجهیزات سخت‌افزاری و نرم‌افزاری ارائه‌ی خدمات مرتبط به شبکه گفته می‌شود. با اضافه کردن ماژول‌های مختلف به این تجهیز سخت‌افزاری، می‌توان از آن به عنوان Firewall شبکه استفاده کرد. نوع ماژول مورد استفاده کاربرد F5 Big-IP را مشخص می‌کند.

درک همه محصولات و خدمات F5® موجود در خط تولید BIG-IP® ممکن است کمی گیج کننده باشد، به خصوص اگر به تازگی با F5 آشنا شده باشید. در این مقاله ماژول‌های نرم‌افزار F5، سخت‌افزار، خدمات جدید ابری F5 SaaS با نام F5 Distributed Cloud Services، پیشنهادهای خدمات مدیریت‌شده آن‌ها و نحوه مجوزها و قیمت‌های F5 را بررسی می‌کنیم.

فناوری اصلی محصولات F5 بر پایه، نرم‌افزار BIG-IP Traffic Management Operating System® (TMOS) است. هنگامی که از ماژول‌های نرم‌افزاری مانند LTM®، GTM™، APM®، AFM™، و AWAF® که قبلاً ASM™ نامیده می‌شد صحبت می‌شود در واقع به ماژول‌های نرم‌افزار منطقی (logical software) اشاره می‌کنیم که در BIG-IP TMOS اجرا می‌شوند. برای روشن شدن موضوع توجه کنید که ماژول‌های مذکور، ماژول‌های سخت‌افزاری جداگانه نیستند، یعنی برای اضافه کردن یک ماژول نیازی نیست کارت اتصال دیگری تهیه کنید. می‌توانید از این نرم‌افزارهای ماژول‌های منطقی ذکر شده، بر روی یک سخت‌افزار اختصاصی یا ماشین مجازی (VM) استفاده کنید. همچنین به خدمات امنیتی مدیریت شده F5 اجازه می‌دهد که Silverline® را برای DDoS و WAF ارائه دهد، یعنی جایی که  که مرکز عملیات شبکه  (NOC) اختصاصی F5، قسمت دشوار کار را انجام می‌دهد.

علاوه بر این F5 اکنون سرویس‌های F5 Distributed Cloud Services  را راه‌اندازی کرده است که نه تنها از فناوری BIG-IP استفاده می‌کند، بلکه از فناوری‌های هوش مصنوعی و ماشین لرنینگ SHAPE نیز، برای بهبود Firewall برنامه‌های وب فعلی بهره می‌برد. راهکارهای امنیتی F5، از APIها به طور کامل محافظت می‌کنند. همچنین Shape یا همان F5 Distributed Cloud Bot Defense تاثیر فراوانی بر روی کاهش حملات بر علیه APIها می گذارد. همچنین NGINX و ThreatStack به شکل‌گیری Cloud F5 نسل جدید، بسیار کمک می‌کنند.

طبق پیش‌بینی موسسه Gartner، تا آخر سال 2022، بیش از 25 میلیارد دستگاه دیجیتال در سرتاسر دنیا به اینترنت متصل خواهند شد، و بای پاسخگویی به این حجم از اتصالات و مدیریت بار ترافیکی آن، احتیاج به زیرساخت‌های مناسب است. بخش اعظمی از این ترافیک، به دلیل فراگیر شدن اینترنت اشیا () است و به طور طبیعی افزایش درخواست برای اتصال به اینترنت وجود خواهد داشت. تجهیزات F5 Big-IP به گونه‌ای مناسب برای مدیریت این بار ترافیکی طراحی شده‌اند. از قابلیت‌های مهم این تجهیزات نیز، می‌توانیم از موارد زیر نام ببریم:

  • پایین بودن میزان TCO: از طریق تجمیع سرویس‌های امنیتی و اپلیکیشن‌ها در قالب یک پلتفرم
  • محافظت از داده‌های حساس: ارائه‌ی ظرفیت در سطوح بالا از طریق ECC
  • انعطاف بالا در پیاده‌سازی برنامه‌های Cloud و Container
  • سطح Uptime بالا که سرویس‌های مورد نظر را در یک بستر امن پیاده‌سازی کرده که این سطح، دارای اجزای Hot-swap می‌باشد.

ماژول‌های نرم‌افزار BIG-IP

Local Traffic Manager™ (LTM) و Global Traffic Manager™ (GTM) ماژول‌های اصلی نرم‌افزار BIG-IP هستند که Application Delivery Network  بر پایه آن ایجاد شده است. F5 اکنون مجموعه‌ی کاملی از محصولات را ارائه می‌دهد، که بر اساس قابلیت این ماژول‌ها ایجاد شده‌اند. از ویژگی‌های ماژول LTM می‌توان به موارد زیر اشاره کرد:

  • احراز هویت بر اساس SSL و Data Encryption؛
  • جلوگیری از حملات DDoS؛
  • ایجاد ساختار Full Proxy که امکان نظارت و کنرتل ترافیک ورودی یا خروجی برنامه‌های اساسی و کاربردی را دارد؛
  • امکان پنهان‌سازی کدهای خطای سرور؛
  • برخورداری از سیستم احراز هویت مرکزی؛
  • محافظت از محتوا و داده‌های حیاتی در سیستم؛
  • جداسازی برنامه‌های حساس از ترافیک مخرب شبکه.

(DNS) Global Traffic Manager:  این ماژول می‌تواند با هدایت کاربران به نزدیک‌ترین و بهترین سرور از نظر عملکرد فیزیکی، مجازی و یا فضای ابری موجب بهبود عملکرد و availability گردد. در ضمن تا حد خیلی زیادی مانع از حملات DDoS یا حمله محروم سازی از سرویس می‌شود.

(LTM) Local Traffic Manager: ماژول LTM جهت مديريت ترافيک و توزيع بار ترافيک به کار مي‌رود. ماژول LTM علاوه بر کنترل دوره‌های Health Check در لایه‌های مختلف، امکان اعمال تغییرات در Profile لایه‌های مختلف از Stack Protocol و همچنین امکان انجام SSL Off-loading به‌صورت One-way و Two-way را به خوبی فراهم می‌کند.

(AFM) Advanced Firewall Manager: این ماژول امکان پیاده‌سازی فایروال نسل بعدی (NGFW) را با به‌کارگیری مفاهیمی شامل Security Policy, NAT Policy, Protocol Security, Eviction Policy, Service Policy, Protocol Inspection Policy, DDoS Attack Protection و IPSec Tunneling با دقت و کارایی بسیار بالا فراهم می‌نماید.

(AWAF) Advanced Web Application Firewall: این ماژول به عنوان نسل جدید تجهیزات WAF (Web Application Firewall) ، امکان امن‌سازی و مقابله با طیف وسیعی از حملات تحت سرویس HTTP/HTTPS را فراهم می‌کند.

(APM) Access Policy Manager: ماژول APM از قابلیت یک‏بار ورود SSO روی چندین دامنه و Kerberos Ticketing پشتیبانی نموده و در نتیجه امکان انجام احراز هویت‌های بیشتری را فراهم می‌کند، همچنین دارای قابلیت پشتیبانی از کارت هوشمند (Smart Card) با ارائه‌کننده‌های اطلاعات اعتباری (Credential Providers) است.

(SWG) Secure Web Gateway: این ماژول به عنوان یک راهکار کلیدی جهت پیاده‌سازی معماری Forward-proxy با هدف کنترل و امن‌سازی ترافیک تحت وب خروجی از سازمان است.

(SSLO) SSL Orchestrator Intelligent: ماژول SSLO با کارایی بسیار بالا، امکان Detection, Decryption, Inspection را برای پروتکل‌های پرکاربرد در زیرساخت شبکه شامل HTTPS, SMTPS, POP3S, IMAPS, FTPS را فراهم می‌کند.

Big IQ Centralized Management: BIG-IQ (نرم‌افزار مدیریت متمرکز)، یک نقطه کنترل اصلی برای دستگاه‌های فیزیکی و مجازی F5 و راه حل‌هایی است که روی آنها اجرا می‌شود. این کار مدیریت را ساده‌تر می‌کند و ابزار لازم را برای ارائه ایمن و موثر برنامه‌های کاربردی به شما می‌دهد.

همه این ماژول‌ها می‌توانند روی نرم‌افزار BIG-IP اجرا شوند. فقط موضوع، مجوز و محدودیت‌های سخت‌افزاری یا دستگاه مجازی است که باید در نظر گرفته شود.

سایر خدمات F5

شرکت F5 نسبت به برگزاری دوره‌های آموزشی برای مدیران شبکه‌ها و و مهندسان امنیت فناوری اطلاعات نیز اقادم کرده است. این دوره‌های آموزشی به اپراتورهای شبکه این امکان را می‌دهد که درک بهتری از عملکرد سیستم‌های Big IP داشته باشند و از تجربیات و آموخته‌های خود در انجام فعالیت‌های اداری و عملیاتی آشنا شوند. دو دوره‌ی برگزار شده مرتبط با Big IP، دوره‌های LTM و ASM هستند.

در دوره‌ی LTM دانش‌آموختگان به مهارت کار با دستگاه Big IP دستیابی پیدا می‌گکنند، و مدیریت ترافیک داده‌ها را بر اساس روش‌های Load Balance و سیاست‌های ساطمان فرا می‌گیرند. همن‌طور که قبلا گفته شد، ماژول LTM یکی از مهم‌ترین ماژول‌های شرکت است که در گزارش‌های مجلات معتبر فناوری اطلاعلات، به عنوان یکی از برترین ماژول‌های موجود معرفی شده است.

دوره‌ی ASM به دانشجویان کمک می‌کند تا درک بالایی از نحوه‌ی عملکرد و تنظیمات ASM پیدا کنند و بتوانند به دانش محافظت از برنامه‌های تحت وب در برابر حملات مبتنی بر HTTP باشند. افرادی مانند مدیران شبکه‌های امنیتی، و ادمین‌های نصب و تنظیم برنامه‌های امنیتی مرتبط، کاندیداهای مناسبی برای این کلاس‌ها هستند.