F5公司高级安全架构师 金飞

记者：F5作为一个网络公司，在安全上有什么策略？对安全是如何理解的？

金飞：安全解决方案应当以攻击的变化而变化，以前的攻击可能是以资源消耗型为主。随着传统行业信息化越来越丰富，攻击由资源消耗型转变为商业模式抢夺型。F5专注于应用负载均衡，而攻击模式由网络层向应用层的变化使F5对应用负载的感知具有很大优势。现在出现了针对应用场景的攻击，如利用程序来进行的自动化攻击。因此首先需要区分攻击是人还是程序，然后区分其在做的是好事还是坏事，做好这两个就抓住了信息安全防御的精髓。

记者：新的技术会对网络产生一定影响，认识上也会有所不同，可能是安全或控制问题，F5是怎么做的？

金飞：F5的优势在数据中心侧，靠近应用和服务器侧。在接入侧，身份认证给应用安全带来很大挑战。F5的APM可支持各种终端，实现由F5的设备做一次认证，然后由F5与其他设备做二次认证，管理员只需记一套口令即可实现所有设备的认证。且原来通过VPN连接到公司核心网络有隧道劫持的风险，用户无法感知。F5方案是根据应用分级，在一个大的设备级隧道中再为某些更为核心的应用做一些小隧道，实现应用与应用的在设备级隧道中的隔离。

记者：F5有哪些协同合作来解决安全问题？

金飞：F5主要解决面向应用的安全。如大流量DDoS攻击，如今“肉鸡”由个人PC变为IoT设备，增加了大量新的攻击源。企业级数据中心是以有限资源对抗无限资源攻击，这需要运营商与企业级数据中心进行协同，运营商能够把超出骨干网的流量阻断在靠近攻击源处，然后连同企业级数据中心的2至7层的防御架构，即可阻断大流量DDoS攻击。所以未来F5会与运营商合作，将更多力量放到云端，形成资源池，将大的流量引入资源池做清洗，然后将“干净”的流量导向数据中心。

记者：随着形势的变化，安全的策略也发生了很大变化，F5都做了哪些应对措施？

金飞：软件的特点是升级很快，我们很多产品每年都会有版本升级。这实际上超出了很多用户承受能力，因为安全与负载均衡是矛盾的，负载均衡要求稳定，而安全需要经常的维护。若无法理清二者的关系，将会给运维带来很大难题，因此F5要求尽量将负载均衡和安全区别对待。N