台湾大学计资中心采用F5提升云端服务安全防护能力，抵御网络攻击威胁

台湾大学计资中心采用F5提升云端服务安全防护能力，抵御网络攻击威胁

------各级学校Web安全大跃进  发挥安全、高效与节能关键应用效益

摘要：台大计资中心特别采用F5 BIG-IP ASM和WEB应用防火牆(WAF)，可以有效阻挡以资料隐码为首等各类型Web攻击的危害，确保台大区网云端服务下所有虚拟主机上关键Web应用服务与个资的安全性。尤其对缺乏经费与人力的各级学校，如今只要透过台大区网云端服务旗下虚机的申请，便能发挥过去根本不可能享受到的WAF安全防护效益。

校园节能与云端化成为全球热门话题与趋势，国立台湾大学计算机及信息网路中心为响应及提倡校园节能的理念，特于2015年初全面推展为期三年、可供国小、高中高职及大专院校将实体主机虚拟化转移至台大区网云端服务上的推广计划。各级学校机房能借此大幅降低用电与能耗，为节能节碳贡献一份力量。为了提升参与意愿，吸引更多学校将重要的应用服务虚拟化迁移到区网中心的云端服务上，台大计资中心特别采用F5 BIG-IP ASM(Application Security Management应用安全管理器)和WEB应用防火牆(WAF)设备，让学校关键应用服务能同时享受并发挥虚拟化、节能节碳与Web安全的效益。

资料隐码攻击已成学术单位最大威胁来源

台大区网云端服务的基础设施是由6台可分别内建20个虚拟主机的x86服务器，以及两台互为备援的48TB容量储存设备所组成。截至目前为止，共有19个单位已向台大区网云端服务申请共102个虚拟主机，这些单位包括国小、高中高职、大专院校及研究机构，其中还包括知名的台北市教育局旗下台北市数位学习教育中心所推动的「台北酷课云」。

除了虚拟化之外，台大区网云端服务还能为申请单位提供管理、安全、单一认证、储存及网络等面向的核心服务，例如储存上会提供确保资料安全的RAID及备份机制；在网络上则可随使用单位需求的增长，调整网络带宽速度。至于安全方面，该中心则通过F5的WAF解决方案的协助，来为使用单位的Web应用服务提供无虑的安全防护。

当前网络上充斥着各种类型的Web攻击，传统防火墙与入侵防御系统(IPS)根本无法发挥有效抵御的作用，结果使得Web攻击成为公司部门Web应用服务上所面临的最严重安全威胁之一，其中尤以资料隐码(SQL Injection)攻击对于学术单位的影响最大。如今，Web攻击随着Google搜寻率先全面启用加密服务后而变本加厉，因为Yahoo、Facebook及Twitter也纷纷仿效Google，一时之间HTTPS遂成为网站主流，尽管HTTPS保障了使用者资料传输的安全，但同时也让有些黑客能更方便隐匿地上下其手。面对上述种种问题，当前唯有WAF才具备迎刃而解的能力，因而成为HTTPS时代网站及Web应用的最佳安全防护解决方案。

以前，在各级学校的经费及资源使用的限制下，无法每家均采购WAF解决方案，自然很难解决以资料隐码攻击为首的各类型Web安全威胁。如今，台大区网云端服务进一步提供借助WAF设备防护的Web安全服务，对于饱受资料隐码攻击的各级学校而言，无异是最划算的安全选择。台大计资中心也借助摸拟黑客入侵学校系统并擅改成绩的实际演示，让各级学校深刻体验WAF安全防护的必要，更大幅提高了学校申请云端服务的意愿及比例。

通过F5的WAF解决方案为连线学校重要虚机提供一流Web安全防护

为了提供更优质的Web安全防护服务，台大计资中心特别针对F5等三家知名WAF方案供应商进行评估比较，F5 BIG-IP ASM成功通过16项资料隐码及黑客入侵等模拟攻击概念验证(PoC)测试，并以完美的性能、稳定性、无与伦比的性价优势，以及能有效阻挡DDoS、资料隐码、跨站指令码(XSS)、Session劫持、暴力密码破解、主动式殭尸网络攻击防护等完整的Web防护能力，再加上法规遵循报告与专家级安全政策建立与落实等完善机制，而得以成为台大区网云端服务采用的WAF方案。

今年5月完成WAF PoC测试后，该中心已正式于9月全面展开了F5 BIG-IP ASM及WEB应用防火牆设备的上线工作。目前已申请虚拟主机数达到102台，初期BIG-IP ASM只会针对有从事报名等对外服务或有黑客入侵风险的虚拟主机进行设定与WAF防护部署。

但由于每个单位各类服务的需求各有不同，WAF必须一一进行通知与测试，并个别进行启发式学习政策与设定上的调校，在F5专业技术支援下，成功克服Public IP分派问题，并经由F5 iRule进行诸多功能设定等技巧。不同于过往以应用程式政策作为安全防护重心的传统防火牆和NAT，在F5原厂技术顾问的指导下让台大计资中心成功为他们的终端使用者和涵盖80%以上的应用程式部署一个可以重复利用的安全政策与标准部署模式。

结合F5 WAF日志与大数据分析  打造SOC资安维运中心

就效益面而言，通过采用 BIG-IP ASM，可以有效阻挡以资料隐码为首等各类型Web攻击的危害，确保台大区网云端服务下所有虚拟主机上关键Web应用服务与个资的安全性。尤其对缺乏经费与人力的各级学校，如今只要透过台大区网云端服务旗下虚机的申请，便能发挥过去根本不可能享受到的WAF安全防护效益，如此一来，便能带动更多学校加入台大区网云端服务行列，共同迈向绿色节能校园。

展望未来，台大计资中心将与F5以共同建构资安日志分析的大数据分析平台，以F5 ASM日常维运收集的网络使用者行为、黑客行为、网络流量漏洞等网站存取报告，进而打造出可在未来进行安全学术研究，并提供专业安全资询服务的SOC资安维运中心，以协助各级学校对抗已知与不断出现的威胁。