2月20日，國內領先的應用交付廠商F5在北京舉辦的一場安全策略溝通會上，F5亞太區副總裁、中國區總經理張毅強攜F5中國區首席技術官吳靜濤、政企客戶部技術經理周辛酉，分析了新環境的安全特征，并解讀了F5的新安全策略與新實踐。

中國市場2019年迎來“開門紅”，未來將再加大安全投入

張毅強首先回顧了F5在華過往一年的成果。他表示，F5在中國市場繼續保持著穩健增長，市場占有率穩居第一，并贏得了市場認可，包括入圍美國《財富》2018全球最受尊敬的公司名列，以及由Forrester 評定的WAF產品全球領導者地位等。在技術創新與戰略方向上，F5將安全、多云、智能作為重點戰略一以貫之，打造大數據引擎，探索AIOps的新實踐。此外，張毅強特別強調了F5在華“生態圈”的拓展，與華三、博云等本地廠商建立起緊密的戰略聯盟，并與華為在云戰略方面深化合作，有效推進了F5的本地化策略。

悉數2018年發生的典型的安全事件案例，張毅強回顧道，“在這些安全事件的應對中，F5像一支‘沖鋒部隊’臨危受命，幫助我們的客戶成功化解威脅。這些以往不被人關注到的行業或領域，開始遭遇網絡攻擊等安全威脅，這表明安全形勢發生了新的變化，客戶對此的訴求隨之空前強烈。“他強調，F5所專注的應用交付技術與安全息息相關，甚至可以說，安全是F5與生俱來的DNA。

F5亞太區副總裁、中國區總經理張毅強發表講話

由統一防護策略轉向南北分層與東西灰度精分的新安全策略

對于F5安全新策略的新思維、新架構，F5中國區首席技術官吳靜濤提出了在IPv4/v6網絡環境下的南北分層防護，東西灰度流量精分的安全策略。

吳靜濤表示，在新的安全環境中，攻防轉換已呈現分鐘級變化。“以往識別攻擊與用戶正常訪問的方法相對較簡單，二者的特征也差異明顯。那時候，只需將不正常的機器訪問 ‘殺掉’，讓正常的用戶訪問通過就可以實現。而如今，大量的訪問來自應用，如果仍照此實施，便會造成用戶的正常訪問被誤殺。”因此，吳靜濤強調，隨著移動設備與應用的大批量接入，網絡中的灰度越來越復雜，以往統一的安全防護策略將逐漸失效。

在新的安全策略中，所謂南北分層防護，客戶通常在運營商或者公有云的網絡中首先做DDoS清洗，并且在互聯網接口和應用等不同層級上進行防護。與此同時，客戶應用架構開始轉向API調用的結構，應用與應用互相之間的關聯，以及應用之間的調用形成東西的流量。因此，所謂東西灰度精分則是對一些關鍵的業務和應用以精分的方式，進行精細化的安全防護。

吳靜濤強調，F5所構建的靈捷、彈性應用防護架構，根據攻擊方式的不同需求，分別對用戶類型、發布渠道、應用版本、應用類型進行灰度流量精分，顯示出明顯的技術優勢。此外，從安全架構的實現層面來講，F5希望未來通過產品+服務的方式，做應用態勢感知，將大數據采集、機器學習、智能基線、根因分析、一鍵配置變更等動作相結合，來實現分鐘級別攻防轉換，最后用精細的預后優化場景。

DevOps架構下的多云多活應用服務與可編程控制

會議現場，F5政企部客戶技術經理周辛酉先生還以DDoS攻擊防護模型為例，分析了DevOps架構下的多云多活應用服務的技術關鍵。他表示，在多云多活的架構之下，安全存在于從基礎架構到數據與應用的任何位置。在IPv6的環境中，無論是DDoS攻擊的量級，防護的復雜程度都與以往差異很大。F5的位置在應用之前，為應用提供服務，我們希望通過流量可視化以及安全的服務鏈的拆分，把安全防護變成服務。對于不同的應用進行安全策略的精分，不同的服務鏈的引導。

此外，為應對應用的千變萬化，可編程控制對客戶而言是十分必要的。F5提供了基于全代理架構的可編程控制模式。其中，iRules是F5TMOS系統中的一項缺省功能，為用戶提供了可編程的多種攻擊防護實現方式。作為一個全代理的架構，客戶只需進行簡單的操作，即可實時部署新的防護策略，在真實的攻防過程中占有絕對優勢，有效減少了操作的復雜度和安全風險。