F5 BIG-IP Next Access 20.3.0 发布下载,新增功能介绍

F5 BIG-IP Next 20.3.0 - 多云安全和应用交付

BIG-IP 是硬件平台和软件解决方案的集合,提供专注于安全性、可靠性和性能的服务

请访问原文链接:https://sysin.org/blog/f5-big-ip-next/ 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org

F5

BIG-IP Next

您所熟知和信赖的 BIG-IP 经过现代化改造和优化,简化了操作,提升了性能,并增强了安全性。

BIG-IP Next Access 功能

注意:这是这些功能的有限可用性(LA)版本,仅用于评估目的。

以下部分介绍了 BIG-IP Next Access 的新增强功能:

VPD canvas 上的 Move、In-Flow 和 Hit Box 支持

此版本包括对 VPD canvas 的几项重要增强功能。

  • 策略对象移动支持

    策略移动功能允许管理员将策略对象移动到策略的不同部分,而不必删除和重新添加对象。此外,移动功能支持在不同层次结构之间移动对象。例如,管理员可以将嵌套流中存在的规则移动到不同的流,并放置在不同的嵌套级别。

  • In-Flow 对象添加

    以前,BIG-IP Next Access 管理员只能通过将对象拖放到 VPD Canvas 中来添加策略对象。在此版本中,管理员可以单击策略中的任何 +(加号)按钮,然后选择要在该确切位置添加的流、规则或子例程。单击 +(加号)按钮时,小组件是上下文感知的,并且只允许在管理员单击的位置添加支持对象。

  • Hit Box 改进

    在此版本中,除了 In-Flow Add 增强功能外,+(加号)按钮的点击框区域在视觉和技术上都得到了增加。此改进简化了将对象拖放到策略上的过程。将对象拖动到支持的位置时,+(加号)按钮会将颜色从浅蓝色更改为深蓝色。

IPv6 隧道支持

BIG-IP Next 增强了 IPv6 隧道的网络访问配置文件。

  • 全隧道

    完全隧道(Full Tunneling)指定来自连接到网络访问的客户端设备的所有流量(包括进出本地子网的流量)强制通过 VPN 隧道。这允许更好地控制来自远程用户的流量。发往 Internet 的流量可以通过公司的网关安全设备进行遍历,并对其应用公司策略。客户端设备连接到 BIG-IP Next 网络访问 VPN 后,将更改其路由配置。这包括对客户端路由表、默认路由和默认网关的更改。

    IPv6 完整隧道支持支持全面的 IPv6 配置,包括网络访问资源、租约池管理和 DNS 设置。此增强功能可确保来自连接到 VPN 的客户端设备的所有 IPv6 流量都通过应用了 IPv6 特定策略的公司网络安全路由。

  • 拆分隧道

    流量的拆分隧道指定仅通过网络访问隧道发送发往指定地址空间的流量。这会导致流经 BIG-IP Next 的流量减少,因为只有发往 VPN 的流量会遍历隧道。更少的流量可以减少 BIG-IP Next 的工作负载,并降低带宽要求。拆分隧道还允许严格分离公司 Intranet 流量和专用 Internet 使用。此外,它还允许管理员在 LAN 地址空间中指定多个网络/主机。

    IPv6 拆分隧道支持使发往特定 IPv6 和 IPv4 地址空间的流量能够通过 VPN 隧道路由,从而减少通过 BIG-IP Next 的总流量。管理员可以在 IPv6 和 IPv4 LAN 地址空间中指定多个网络或主机。

JSON Web 加密和 JSON Web 密钥支持

BIG-IP Next Access 支持 JSON Web 令牌(JWT)用例的大多数功能,支持对企业应用程序进行 Web 或移动应用程序访问(通过本机应用或基于浏览器)。但是,安全身份验证需要 JSON Web 加密(JWE)来加密 JWT。F5 OAuth 客户端和资源服务器现在支持使用身份提供商颁发的 JWE,并且 F5 授权服务器支持生成 JWE 令牌。此功能添加到现有的 JWT 功能中,将 Access 作为客户端和资源服务器,以及作为授权服务器访问 。它还包括以下用于解密或加密 JWE 令牌的算法集:

  • 带 AES_GCM_128 的 RSA OAEP
  • 带 AES_GCM_256 的 RSA OAEP

每个请求规则

BIG-IP Next Access 策略中引入了以下每请求规则:

  • 关于客户端操作系统

    Client Operating System(客户端操作系统)操作检测远程客户端的操作系统。BIG-IP Next Access 使用 HTTP 标头中的信息来检测这一点。该操作为单独的操作系统提供单独的分支。此操作在访问策略开始时可能很有用。每个分支都可以包含特定于客户端操作系统的操作。

  • 关于客户端 IP 子网匹配

    此规则允许您基于用户的子网创建策略分支规则。客户端 IP 子网匹配是确定客户端的 IP 地址是否与特定 IP 子网匹配的条件。

  • 关于服务器 IP 子网匹配

    此规则允许您根据服务器的子网创建策略分支规则。服务器 IP 子网匹配是网络配置中使用的一个条件,用于将服务器(目标)地址直接与子网(CIDR)掩码匹配。此条件要求同时指定 IP 地址和子网掩码。

  • 关于日期时间

    Date Time(日期时间)操作根据服务器上的日期、日期或时间启用分支。

  • 关于客户端证书检查

    客户端证书检查规则检查会话开始时发生的 SSL 握手的结果。但是,它不会协商 SSL 会话。它依赖于添加到虚拟服务器的客户端 SSL 配置文件中的设置。客户端证书检查项可以提供 SSL 握手的结果,包括客户端 SSL 配置文件指定证书吊销列表(CRL)时的证书吊销状态。

  • 关于按需证书身份验证

    当客户端发出 HTTPS 请求时,SSL 握手请求将在 SSL 会话开始时发生。如果客户端 SSL 配置文件跳过初始 SSL 握手,则按需证书身份验证操作可以通过向用户发送证书请求来重新协商来自访问策略的 SSL 连接。这将提示打开证书屏幕。在用户提供有效证书后,On-Demand Certificate Authentication 操作将检查证书身份验证的结果。该规则验证会话变量 session.ssl.cert.valid 的值,以确定身份验证是否成功。

  • 关于登录页面

    登录页面操作会提示输入用户名和密码或其他标识信息。登录页面操作通常位于检查登录页面上提供的凭据的身份验证操作之前。登录页面操作最多提供 5 个可自定义的字段并启用本地化。

  • 关于 LDAP 验证

    LDAP 身份验证操作根据 AAA LDAP 服务器对用户进行身份验证。

  • 关于 LDAP 查询

    此规则允许您从轻量级目录服务检索此规则中定义的请求属性。LDAP Query 操作对 AAA LDAP 服务器执行查询。运行 LDAP 查询访问策略项时,BIG-IP Next Access 会查询外部 LDAP 服务器以获取有关用户的其他信息。LDAP Query 项不对用户凭证进行身份验证。用于收集搜索筛选器中指定的信息的登录页面或其他方法必须在此规则之前才能完成查询。如果需要身份验证,则除了此规则之外,还必须使用 LDAP 身份验证规则。

  • 关于 Active Directory 身份验证

    Active Directory(AD)身份验证操作根据 AAA Active Directory 服务器对用户进行身份验证。

  • 关于 Active Directory 查询

    Active Directory(AD)查询操作对 AAA Active Directory 服务器执行查询。运行 AD 查询时,访问功能会查询外部 Active Directory 服务器以获取有关用户的其他信息。AD Query 项查找属性 memberOf 以获取用户所属的组,并提供一个附加选项来获取主组。AD Query 项不对用户凭据进行身份验证。要对用户进行身份验证,请在访问策略中使用其他身份验证项或其他身份验证项。

  • 关于 SAML 联合身份验证

    SAML 联合身份验证操作针对外部 SAML 身份提供程序(IdP)进行身份验证。当 BIG-IP Next 系统配置为 SAML 服务提供商并支持在 SAML 服务提供商处发起的连接时,可以使用此操作。

  • 关于地理位置匹配

    BIG-IP Next Access 中的 IP 地理位置匹配操作通过将用户的 IP 地址与内部数据库进行比较来确定用户的物理位置。此操作可以根据各种位置参数(如大洲代码、国家/地区代码、国家/地区名称以及州或地区)进行匹配。通过使用这些条件,管理员可以定义分支规则以有效地实施基于地理位置的访问策略。

SSL/VPN 启动应用程序的管理

Launch Applications 功能使最终用户能够将应用程序配置为在网络访问会话开始时启动。Launch Application 选项允许管理员定义在用户通过 VPN 连接时为特定应用程序路由流量的规则和策略,从而启用高级 Split Tunnel 配置。这有助于用户部署访问策略并直接从 BIG-IP Next Central Manager 启动应用程序。

管理 SSL/VPN 优化的应用程序

“优化的应用程序”功能是一组压缩特征,应用于从网络访问客户端流向指定端口或端口范围上的特定 IP 地址、网络或主机的流量。优化隧道提供与应用程序的 TCP 第 4 层连接。您可以独立于 Network Settings(网络设置) 页面上指定的标准 TCP 第 3 层网络访问隧道来配置优化的应用程序。对于优化的应用程序,可以启用或禁用 Network Tunnel。默认情况下,Network Tunnel(网络隧道)选项在网络访问资源设置中处于禁用状态。

在 BIG-IP Next Central Manager 中管理 Keytab 文件

BIG-IP Next Central Manager 现在支持在某些访问策略规则(例如 Kerberos 身份验证和 Active Directory 身份验证)中上传和管理密钥表文件。这项新功能允许用户直接从 BIG-IP Next Central Manager 解析和查看 Keytab 文件详细信息,从而增强了用户体验。这些解析的详细信息包括 Principal、时间戳、KVNO 和加密类型等重要信息。这有助于用户有效地对 Keytab 文件进行故障排除和管理。

通过 BIG-IP Next Central Manager UI 上传密钥表文件时,该文件会自动进行 Base64 编码,从而确保无缝集成到访问策略 API 有效负载中。

下载地址

F5 BIG-IP Next 20.3.0

文件信息:

Central Manager (CM)

BIG-IP Next Central Management Solution.

| 20.3.0 | Release | Oct 21, 2024 | BIG-IP Next Central Manager v20.3.0 |

File Name Description Size
BIG-IP-Next-CentralManager-20.3.0-0.16.18-Update.tgz Upgrade file for BIG-IP Next Central Manager v20.3.0 2 GB
BIG-IP-Next-CentralManager-20.3.0-0.16.18-Update.tgz.md5 MD5 file for Upgrade file for BIG-IP Next Central Manager v20.3.0 86 Bytes
BIG-IP-Next-CentralManager-20.3.0-0.16.18.ova BIG-IP Next Central Manager v20.3.0 Standard OVA file 4 GB
BIG-IP-Next-CentralManager-20.3.0-0.16.18.ova.md5 MD5 file for BIG-IP Next Central Manager v20.3.0 Standard OVA file 79 Bytes
BIG-IP-Next-CentralManager-20.3.0-0.16.18.qcow2 BIG-IP Next Central Manager v20.3.0 Standard QCOW file 4 GB
BIG-IP-Next-CentralManager-20.3.0-0.16.18.qcow2.md5 BIG-IP Next Central Manager v20.3.0 Standard QCOW file 82 Bytes

F5 Systems (HW)

BIG-IP Next software for F5 hardware systems such as VELOS and rSeries.

| 20.3.0 | Release | Oct 21, 2024 | BIG-IP Next for VELOS/rSeries v20.3.0 |

File Name Description Size
BIG-IP-Next-20.3.0-2.716.2+0.0.50-test-config.yaml YAML Configuration File for BIG-IP Next Tenants 3 KB
BIG-IP-Next-20.3.0-2.716.2+0.0.50-test-config.yaml.md5 YAML Configuration File for BIG-IP Next Tenants 85 Bytes
BIG-IP-Next-20.3.0-2.716.2+0.0.50.tar.bundle BIG-IP Next VELOS/rSeries v20.3.0 Bundle File 1 GB
BIG-IP-Next-20.3.0-2.716.2+0.0.50.tar.bundle.md5 BIG-IP Next VELOS/rSeries v20.3.0 Bundle File 79 Bytes

Virtual Edition (VE)

BIG-IP Next software for Virtualized environments such as VMware and KVM.

| 20.3.0 | Release | Oct 21, 2024 | BIG-IP Next Virtual Edition v20.3.0 |

File Name Description Size
BIG-IP-Next-20.3.0-2.716.2+0.0.50.ova BIG-IP Next Virtual Edition v20.3.0 OVA File 3 GB
BIG-IP-Next-20.3.0-2.716.2+0.0.50.ova.md5 MD5 file for BIG-IP Next Virtual Edition v20.3.0 OVA File 71 Bytes
BIG-IP-Next-20.3.0-2.716.2+0.0.50.qcow2.tar.gz BIG-IP Next Virtual Edition v20.3.0 QCOW File 2 GB
BIG-IP-Next-20.3.0-2.716.2+0.0.50.qcow2.tar.gz.md5 MD5 file for BIG-IP Next Virtual Edition v20.3.0 QCOW File 80 Bytes
BIG-IP-Next-Upgrade-20.3.0-2.716.2+0.0.50.tgz BIG-IP Next Virtual Edition v20.3.0 Upgrade File 2 GB
BIG-IP-Next-Upgrade-20.3.0-2.716.2+0.0.50.tgz.md5 MD5 file for BIG-IP Next Virtual Edition v20.3.0 Upgrade File 79 Bytes

更多:HTTP 协议与安全

posted @ 2024-11-09 08:00  sysin  阅读(152)  评论(0)    收藏  举报