F5應用防火牆新增應用程式動態辨識

F5日前發表了該公司應用程式防火牆ASM（Application Security Manager）的最新版本，有能力自動辨識企業透過Web介面提供的應用。當企業加上新的Web應用時，即便沒有更改ASM的政策，ASM也會自動透過伺服器的回應，判斷其是否為正常應用。

F5香港暨臺灣區技術總監莊龍源表示，過去企業採用應用程式防火牆的最大問題，即在每當要新增Web的應用時，就必須變更應用程式防火牆的設定，如此才能讓外部流量有能力存取到新的應用。因為開發應用和管理網路的往往是不同團隊，這也使得過去應用程式防火牆大幅限制了企業Web應用上線所需的時間，往往需要等到開發人員發出需求，網路管理的團隊才開始逐一去更改應用程式防火牆的設定，並且重複測試。

莊龍源指出，F5最新的ASM版本，就可以解決這樣的問題。該版本支援了動態安全管理的功能，當新應用出現時，在網管人員尚未制定新政策時，ASM只要看到不認識的應用請求，就會自動向原本設定好的後端伺服器做確認，只要伺服器的回應正確，ASM就會判斷這是應用伺服器上的新應用，允許通過，讓使用者可以存取應用的同時，還會持續檢查流量中封包的狀況，這樣就能解決過去的問題，同時確保安全性。此一功能也能搭配信任名單管理，網管人員只要設定哪些IP位址的伺服器是信任名單，檢查伺服器回應時，就只允許檢查這些原本設定好的應用伺服器。

ASM最新版本也和SAP合作，針對其Web的相關應用程式做出最佳化，有能力減少其網路傳輸的時間。莊龍源表示，根據該公司自己的測試，搭配F5 BIG-IP的ASM模組，在SAP應用的登入畫面傳輸上，能夠省下一半的時間；而在資料從伺服器傳送到使用者端時，ASM也能減少約三分之一的傳輸時間。ASM最新版本目前已經上市，原本ASM的使用者可以免費升級。

ASM可以搭配F5 的BIG-IP產品一起購買，以模組的方式銷售，也可以單獨銷售。應用程式防火牆最主要的功能，是防禦企業外網對內連線時，惡意攻擊者透過攔截流量或是將惡意程式植入網頁等手法，此類產品都以檢查網頁的物件名稱、物件種類、Value等不同的數值正確性，來達成這樣的目的。文⊙劉哲銘