F5 Networks - Nowości w BIG-IP v.11

F5 Networks udostępnia system BIG-IP w wersji 11
Listę wspieranych wersji i platform sprzętowych można znaleźć w:
IG-IP_Product_Matrix.pdf
Różnice między wersją podstawową a wirtualną (ograniczenia wersji wirtualnej) opisane są w dokumencie:
ve_vmware_setup_guide_v11_0.pdf






Najważniejsze funkcjonalności które pojawiły się w modułach BIG-IP v.11.

BIG-IP LTM i TMOS (pełna lista dostępna jest na stronie:
http://support.f5.com/kb/en-us/products/big-ip_ltm/releasenotes/product/relnote_11_0_0_ltm.html#ltm_rn_1100_new):

• Device Service Clustering - wprowadza nowe możliwości tworzenia wysokodostępnej i skalowalnej architektury z urządzeń BIG-IP. Ta funkcja umożliwia jednoczesne działanie wielu aktywnych systemów widzianych jako jeden i podział obciążenia na bazie aplikacji. Aplikacje mogą być indywidualnie migrowane lub przenoszone w przypadku awarii (fail-over) między urządzeniam działajacymi w klastrze. Obciążenie maszyny która uległa awarii może być rozdzielone na pozostałe urządzenia w klastrze.
• iApps - możliwość tworzenia indywidualnie dostosowywanych szablonów do szybkiego wdrażania aplikacji w sieci, co pozwala znacząco skrócić czas konfiguracji i poprawić dokładność skomplikowanych konfiguracji zarządzania ruchem.
• Analytics - moduł dający możliwości wglądu i raportowania dla aplikacji, ma możliwość analizy wydajności web aplikacji poprzez wgląd w szczegółowe wskaźniki dla aplikacji, wirtualnych serwerów, członków puli, URL'i i krajów.
• IPv6-IPv4 Gateway - w tej wersji BIG-IP LTM działa jako brama IPv4-to-IPv6.
• TCP Request Queuing in HTTP Profile - funkcjonalność kolejkowania żadań połączeń które wykraczają poza limity połączeń dla puli, członka puli czy node. Połączenia zamiast być przerywane mogą oczekiwać kolejce do momentu kiedy aktualna pojemność puli/członka puli/node pozwoli na ich przyjęcie.
• Out of Band TCP Connections - możliwość inicjowania połączeń TCP z poziomu skryptów iRules, z możliwością przechwytywania danych z odpowiedzi.
• Read and Write Access to TCP Options - dostęp do pól opcji TCP z poziomu iRules.

BIG-IP ASM (pełna lista dostępna jest na stronie:
http://support.f5.com/kb/en-us/products/big-ip_asm/releasenotes/product/relnotes_asm_11_0_0.html#newfeat):

• Device Management - mechanizm obsługi synchronizowanej konfiguracji w ramach grupy urządzeń ASM w danej sieci, noszącej nazwę "device group". Device group składa się z jednego lub większej liczby urządzeń BIG-IP używających tej samej konfiguracji ASM. Wszystkie nowe polityki bezpieczeństwa i zmiany konfiguracji mogą być ręcznie rozppropagowane na pozostałe urządzenia w grupie.
• Virtual machine support - od tej wersji Application Security manager może pracować jako maszyna wirtualna BIG-IP Application Security Module Virtual Edition (VE). Wersja wirtualna zawiera wszystkie funkcjonalności BIG-IP Application Security Module, działającym na standardowym BIG-IP TMOS.
• JSON Support - Application Security Manager może zabezpieczać aplikacje używające AJAX włącznie z tymi, które korzystają z JSON do transferu danych między klientem a serwerem. Podobnie jak we wcześniejszych wersjach ASM, gdzie skonfigurowany profil XML był używany do identyfikacji i parsowania żadań XM, w tej wersji można dodatkowo skonfigurować profil JSON do identyfikacji i parsowania żądań JSON. Polityka bezpieczeństwa wymaga przypisania profilu JSON do URL lub parametru. Wraz z nową funkcją wprowadzono 2 dodatkowe typy naruszeń polityki: JSON data does not comply with format settings i Malformed JSON data.
• AJAX Blocking Response Page - w tej wersji można ustawić zachowanie odpowiedzi blokowania dla aplikacji używających AJAX, gdy naruszenie występuje przy żądaniu AJAX, system wyświetla wiadomość lub przekierowuje użytkownika aplikacji do innej lokalizacji. W odróżnieniu do innych stron odpowiadających przy blokowaniu, strona odpowiedzi przy blokowaniu AJAX jest obsługiwana po stronie klienta, by została wyświetlona użytkownikowi. Ta funkcjonalność wspiera następujące popularne środowiska JavaScript: ASP.net AJAX, jQuery, Prototype, and MooTools.
• ASM Dashboard - wyświetla statystyki anomalii (liczbę typów ataków, upuszczone żądania, sumaryczną liczbę wykrytych naruszeń typu anomalie), podsumowanie ruchu ASM (pasmo, TPS, żądania na sekundę), i typy ataków wykrytych przez system.
• Slow HTTP POST DoS Attack Mitigation - by ograniczyć ataki slow HTTP POST DoS, w konfiguracji dostępne są następujące parametry: max_slow_transactions i slow_transaction_timeout.
• Anti-virus enhancements - system może sprawdzać na obecność wirusów pliki uploadowane w żądaniach HTTP i załącznikach SOAP zanim uwolni zawartość do web serwera. Do skanowania używany jest protokół ICAP, przetestowane do tej pory serwery ICAP: McAfee, Trend Micro InterScan Web Security, Kaspersky.
• Web scraping enhancements - dodano 2 nowe parametry dostępne z linii komend, które razem tworzą kryteria zabezpieczające przed zautomatyzowanym przeglądaniem. te parametry mierzą czas jaki zajmuje zmiana strony i ilość żądanych stron. Żądane strony nie zawierają zmiany zawartości aktualnie oglądanej strony ani odświeżania aktualnej strony.
• I wiele innych nowych funkcjonalności ASM.

Zachęcam również do zapoznania się z artykułami dotyczącymi nowości w wersji 11 na portalu F5 DevCentral:
http://devcentral.f5.com/HotTopics/v11/tabid/1084238/Default.aspx


Dodatkowo F5 Networks w ramach generatora licencji dla urządzeń Strongbox znajdującego się pod adresem https://secure.f5.com/strongbox/eval.jsp ,
udostępnia partnerom możliwość generowania licencji dla BIG-IP w wersji wirtualnego appliance.
Aby wygenerować licencję dla BIG-IP VE należy w miejsce numeru seryjnego wpisać "StrongBoxVE"