F5의 DDoS 방어 레퍼런스 아키텍처 – 엔터프라이즈 버전
아직도 DDoS가 횡행하고 있으므로, DDoS 방어를 위한 F5의 엔터프라이즈용 (기업용) 레퍼런스 아키텍처를 살펴볼 텐데, 엔터프라이즈의 경우에는 외부에서 내부로 들어오는 다량의 애플리케이션 트래픽도 있지만 사용자들이 만들어낸 외부로 향하는 트래픽도 상당한 양이 된다.
엔터프라이즈의 경우와 글로벌 금융기관의 경우 사이의 차이점은 다음과 같다.
- 위 네트워크 다이아그램의 우상단에 보면 사용자들이 만들어낸 트래픽이 차세대 방화벽 (또는 웹 보안을 위한 다른 장비)을 통해 나가서 메인 데이터센터 방화벽을 지나 외부로 향하는 것을 볼 수 있다.
- 엔터프라이즈의 경우에는 DNS 서비스가 Tier 1에 통합되어 있거나, 그렇지 않더라도 최소한 Tier 1의 방화벽 매니저에 의해 보호되고 있다. 이 그림에서는 이 서비스들이 BIG-IP 자체에 포함되어 있음을 보여주고 있다.
- 글로벌 금융회사들의 경우에는 Tier 1에서 SSL을 터미네이트 하는 것을 달가워하지 않는데, 엔터프라이즈의 경우에는 이 부분에서 훨씬 더 자유스러워서 약 반 정도가 그렇게 하고 있다.
- 엔터프라이즈의 경우에는 액세스 폴리시 매니저 (Access Policy Manager - APM)를 도입해 (한 번의 사용자 인증만으로 모든 애플리케이션에 액세스 할 수 있도록 만드는) 싱글 사인온 (Single-Sign On), VDI, 그리고 SSL-VPN 서비스 등을 제공할 수 있는데, 글로벌 금융기관들에서는 이것을 거의 볼 수 없다.
Tier 1에 DDoS를 감지할 수 있는 네트워크 방화벽을 설치해 네트워크에 대한 공격을 방어하고 애플리케이션을 겨냥한 공격들은 확장성이 있는 Tier 2에서 방어한다는 아키텍처의 본질은 엔터프라이즈의 경우나 금융기관의 경우나 큰 차이가 없다.
F5의 DDoS 레퍼런스 아키텍처에 대한 추가의 정보는 F5 Synthesis reference architecture site를 방문하면 구할 수 있다.
Published Oct 23, 2014
Version 1.0Jezmynn_Koh_429
Historic F5 Account
Joined April 23, 2010
Jezmynn_Koh_429
Historic F5 Account
Joined April 23, 2010
No CommentsBe the first to comment