Verfügbar als jährliches Unternehmensabonnement, als private Angebote in den wichtigsten Cloud-Marktplätzen und als Pay-as-you-go im AWS Marketplace.
Vielen Dank für Ihr Interesse an F5 Distributed Cloud Services. Ein F5-Vertreter wird sich in Kürze mit Ihnen in Verbindung setzen, um Sie bei dieser Anfrage zu unterstützen.
Ein Jahresabonnement unterstützt verschiedene Anwendungsfälle, darunter Anwendungssicherheit und Multicloud-Netzwerke. Die Standardangebote umfassen grundlegende Funktionen und Service-Netzwerkfunktionen, während die erweiterten Angebote speziell darauf ausgelegt sind, die strengen Anforderungen an erweiterte API-Sicherheit über verteilte Cloud- und Edge-Sites hinweg zu erfüllen.
Zur erweiterten Anwendungssicherheit gehören API-Erkennung und -Schutz, verhaltensbasierte Bot-Minderung und DDoS-Minderung auf Layer 7.
Erweitern Sie Hybrid- und Multicloud-Netzwerke, um erweiterte Anwendungsfälle für sichere Service-Netzwerke zwischen verteilten Anwendungsclustern über mehrere Clouds, lokale Netzwerke und Edge-Sites hinweg zu unterstützen.
Verbessern Sie die globale Anwendungsleistung und -zuverlässigkeit mit CDN, DNS und App Stack.
| WAF | Standard |
Fortschrittlich |
|
|---|---|---|---|
| Signaturbasierter Schutz | Reduzieren Sie Anwendungs- und API-Schwachstellen mit der WAF-Kerntechnologie von F5, unterstützt durch unsere erweiterte Signatur-Engine mit über 8.500 Signaturen für CVEs sowie andere bekannte Schwachstellen und Techniken, einschließlich Bot-Signaturen, die von F5 Labs und Bedrohungsforschern identifiziert wurden. | Ja | Ja |
| Durchsetzung der Compliance | Kombination aus Verstößen, Umgehungen und Überprüfungen der Einhaltung des HTTP-Protokolls. | Ja | Ja |
| Automatisches Anpassen der Angriffssignatur | Selbstlernendes, probabilistisches Modell, das falsch positive Auslöser unterdrückt | Ja | Ja |
| Maskieren sensibler Parameter/Daten in Protokollen | Benutzer können vertrauliche Daten in Anforderungsprotokollen maskieren, indem sie den Namen des HTTP-Headers, den Cookie-Namen oder den Namen des Abfrageparameters angeben. Es werden nur Werte maskiert. Standardmäßig werden die Werte der Abfrageparameter „card“, „pass“, „pwd“ und „password“ maskiert. | Ja | Ja |
| Benutzerdefinierte Sperrseiten/Antwortcodes | Wenn eine Anfrage oder Antwort durch die WAF blockiert wird, haben Benutzer die Möglichkeit, die dem Client bereitgestellte Seite mit der blockierenden Antwort anzupassen. | Ja | Ja |
| Erlaubte Antwortcodes vom Ursprung | Der Benutzer kann angeben, welche HTTP-Antwortstatuscodes zulässig sind. | Ja | Ja |
| IP-Reputation | Analysiert IP-Bedrohungen und veröffentlicht einen dynamischen Datensatz mit Millionen von Hochrisiko-IP-Adressen, der von F5 verwaltet wird, um App-Endpunkte vor eingehendem Datenverkehr von bösartigen IPs zu schützen. Zu den IP-Angriffskategorien zählen Spam-Quellen, Windows-Exploits, Web-Angriffe, Botnets, Denial-of-Service-Scanner, Phishing und mehr. | Ja | Ja |
| Schutz sensibler Daten für Apps | Data Guard verhindert, dass HTTP/HTTPS-Antworten vertrauliche Informationen wie Kreditkartennummern und Sozialversicherungsnummern preisgeben, indem die Daten maskiert werden. | Ja | Ja |
| Ausschlussregeln | Regeln, die die Signatur-IDs und Verstöße/Angriffstypen definieren, die basierend auf bestimmten Übereinstimmungskriterien von der WAF-Verarbeitung ausgeschlossen werden sollen. Zu den spezifischen Übereinstimmungskriterien gehören Domäne, Pfad und Methode. Wenn die Clientanforderung alle diese Kriterien erfüllt, schließt die WAF die Verarbeitung der in der Erkennungskontrolle konfigurierten Elemente aus. | Ja | Ja |
| CSRF-Schutz | Ermöglicht Benutzern die einfache Konfiguration/Angabe der entsprechenden, zulässigen Quelldomänen | Ja | Ja |
| Cookie-Schutz | Cookie-Schutz bietet die Möglichkeit, Antwort-Cookies durch Hinzufügen der Attribute SameSite, Secure und Http Only zu ändern. | Ja | Ja |
| GraphQL-Schutz | Die WAF-Engine prüft GraphQL-Anfragen auf Schwachstellen und blockiert den Datenverkehr auf Grundlage der F5-Signaturdatenbank. | Ja | Ja |
| DDoS-Abwehr | Standard |
Fortschrittlich |
|
| Schnelle ACLs | Mithilfe von Netzwerk-Firewall-Steuerelementen können Benutzer eingehenden Datenverkehr aus bestimmten Quellen blockieren oder Ratenbegrenzungen auf den Netzwerkdatenverkehr aus einer bestimmten Quelle anwenden. Erweiterte Schutzfunktionen ermöglichen das Filtern des Datenverkehrs basierend auf Quelladresse, Quellport, Zieladresse, Zielport und Protokoll. | Ja | Ja |
| Layer 3-4 DDoS-Abwehr | Mehrschichtige, volumetrische Angriffsabwehr, einschließlich einer Kombination aus voreingestellten Abwehrregeln mit automatischer Abwehr und erweiterter gerouteter DDoS-Abwehrbereinigung mit vollständiger Paketanalyse über BGP-Routenanzeige oder autoritative DNS-Auflösung für Kunden, die DDoS-Schutz für lokale oder öffentliche Cloud-Anwendungen und zugehörige Netzwerke benötigen. | NEIN | Ja |
| Layer 3-4 DDoS-Abwehr | Mehrschichtige, volumetrische Angriffsabwehr, einschließlich einer Kombination aus voreingestellten Abwehrregeln mit automatischer Abwehr und erweiterter DDoS-Abwehrbereinigung für Kunden, die nur Distributed-Cloud-Dienste nutzen – die Plattform schützt vom Kunden bereitgestellte Dienste im F5-Netzwerk vor DDoS-Angriffen. | Ja | NEIN |
| Layer 7 DoS - Erkennung und Abwehr | Anomalieerkennung und Warnung bei abnormalen Verkehrsmustern und Trends über Apps und API-Endpunkte hinweg. Nutzung erweiterten maschinellen Lernens (ML) zum Erkennen von Spitzen, Einbrüchen und anderen Änderungen im App- und API-Verhalten im Zeitverlauf durch Analyse von Anforderungsraten, Fehlerraten, Latenz und Durchsatz mit der Möglichkeit, Endpunkte abzulehnen oder zu begrenzen, einschließlich automatischer Schadensbegrenzung. | Ja | Ja |
| Layer 7 DoS – Richtlinienbasierte Herausforderungen | Benutzerdefinierte, richtlinienbasierte Herausforderungen können eingerichtet werden, um eine Javascript- oder Captcha-Herausforderung auszuführen. Definieren Sie Übereinstimmungskriterien und Regeln, wann Herausforderungen basierend auf Quell-IP und Reputation, ASNs oder Labels (Städte, Länder) ausgelöst werden sollen, um Angreifer von legitimen Clients zu unterscheiden, die versuchen, einen Angriff auszuführen. | Ja | Ja |
| Langsame DDoS-Abwehr | „Slow and Low“-Angriffe binden Serverressourcen, so dass keine für die Bearbeitung der Anfragen tatsächlicher Benutzer zur Verfügung stehen. Mit dieser Funktion können Anforderungs-Timeout- und Anforderungsheader-Timeoutwerte konfiguriert und durchgesetzt werden. | Ja | Ja |
| Begrenzung der Anwendungsrate | Durch die Ratenbegrenzung wird die Rate der Anfragen gesteuert, die bei einem Anwendungsursprung eingehen oder von ihm ausgehen. Die Ratenbegrenzung kann für Apps mithilfe der Schlüsselkennungen IP-Adresse, Cookie-Name und/oder HTTP-Header-Name gesteuert werden. | NEIN | Ja |
| API | Standard |
Fortschrittlich |
|
| Signaturbasierter Schutz | F5 Distributed Cloud App Firewall unterstützt die Überprüfung der beiden beliebtesten API-Protokolle – GraphQL und REST | Ja | Ja |
| Verkehrsbasierte API-Erkennung und Schema-Lernen | Erweitertes maschinelles Lernen ermöglicht die Markierung und Analyse des API-Endpunktverkehrs (Anfragen und Antworten) für Anwendungen, um API-Endpunkte zu erkennen und Verhaltensanalysen durchzuführen. Hierzu gehören Anforderungs- und Antwortschemata, die Erkennung vertraulicher Daten und der Authentifizierungsstatus. Bereitstellung von Inventar- und Schatten-API-Sätzen mit OpenAPI-Spezifikation (OAS)-Generierung. | NEIN | Ja |
| Codebasierte API-Erkennung und Schema-Lernen | In Code-Repositories integrieren. Erweitertes maschinelles Lernen ermöglicht die automatische Analyse des Anwendungscodes, um API-Endpunkte zu entdecken und zu dokumentieren. Dies umfasst die automatische Generierung von OpenAPI-Spezifikationen (OAS). | NEIN | Ja |
| API-Schemaimport | Importieren Sie OpenAPI-Spezifikationsdateien, um API-Gruppen zu definieren und Regeln für die Zugriffskontrolle und die Durchsetzung des Verhaltens von APIs festzulegen. | NEIN | Ja |
| Validierung der OpenAPI-Spezifikation | Die Funktionalität zur Durchsetzung von API-Spezifikationen ermöglicht ein positives Sicherheitsmodell für APIs, sodass Unternehmen das gewünschte API-Verhalten problemlos basierend auf den Merkmalen gültiger API-Anfragen erzwingen können. Diese Merkmale werden verwendet, um Eingabe- und Ausgabedaten hinsichtlich Aspekten wie Datentyp, Mindest- oder Maximallänge, zulässiger Zeichen oder gültiger Wertebereiche zu validieren. | NEIN | Ja |
| Haltungsmanagement | Beinhaltet die Möglichkeit, den Authentifizierungstyp und den Status von API-Endpunkten sowie eine API-Risikobewertung zu erlernen und zu erkennen. Die Funktion „API Endpoints Risk Score“ bietet Benutzern eine umfassende Messung des mit ihren API-Endpunkten verbundenen Risikos. Der Risikowert wird mithilfe verschiedener Techniken berechnet, beispielsweise anhand der Erkennung von Schwachstellen, der Auswirkungen von Angriffen, des Geschäftswerts, der Angriffswahrscheinlichkeit und mildernder Maßnahmen. Dies hilft Unternehmen dabei, API-Schwachstellen zu bewerten und zu priorisieren, um schnell APIs zu identifizieren, die zusätzliche Sicherheitsmaßnahmen erfordern. | NEIN | Ja |
| API-Schutzregeln | Organisationen können die Konnektivität von API-Endpunkten und Anforderungstypen detailliert steuern. Sie können bestimmte Clients und Verbindungen insgesamt identifizieren, überwachen und blockieren oder bestimmte Schwellenwerte festlegen. Hierzu gehören die Ablehnungsliste (Blockierung) basierend auf IP-Adresse, Region/Land, ASN oder TLS-Fingerabdruck sowie erweiterte Regeln, die bestimmte Übereinstimmungskriterien definieren, die die App- und API-Interaktionen mit Clients steuern, einschließlich HTTP-Methode, Pfad, Abfrageparameter, Header, Cookies und mehr. Diese granulare Kontrolle von API-Verbindungen und -Anfragen kann für einzelne APIs oder eine ganze Domäne erfolgen. | NEIN | Ja |
| API-Ratenbegrenzung | Durch die Ratenbegrenzung wird die Rate der Anfragen gesteuert, die bei API-Endpunkten eingehen oder von ihnen ausgehen. | NEIN | Ja |
| Erkennung und Schutz vertraulicher Daten für APIs | Erkennen Sie allgemeine (Kreditkarten-, Sozialversicherungsnummer) oder weniger gebräuchliche und benutzerdefinierte PII-Datenmuster (Adressen, Namen, Telefonnummern) in API-Antworten und maskieren Sie dann die vertraulichen Daten oder blockieren Sie API-Endpunkte, die vertrauliche Informationen übertragen. | NEIN | Ja |
| Erkennung vertraulicher Daten – Compliance-Reporting | Identifizieren Sie API-Endpunkte, die von bestimmten gesetzlichen Vorschriften und Compliance-Regelungen betroffen sind, und entdecken, kennzeichnen und melden Sie bestimmte vertrauliche Daten. Einschließlich über 400 Datentypen, die mit über 20 verschiedenen Frameworks (PCI-DSS, HIPPA, GDPR usw.) verknüpft sind, wenn sie im API-Code und/oder im Datenverkehr beobachtet werden. | NEIN | Ja |
| Bot Defense | Standard |
Fortschrittlich |
|
| Signaturbasierter Schutz | Die WAF-Signatur-Engine enthält einzigartige Signaturen für automatisierte Bedrohungen und Bot-Techniken, einschließlich Crawler, DDoS/DoS und mehr. | Ja | Ja |
| Bot Defense | Schützt Apps vor automatisierten Angriffen, indem JavaScript und API-Aufrufe genutzt werden, um Telemetriedaten zu erfassen und komplexe Angriffe durch ständige ML-Analyse von Signaldaten abzuschwächen, um schnell auf Bot-Umrüstungen reagieren zu können. Zudem werden Echtzeit-Erkennungsmodelle dynamisch aktualisiert, um vor allen Bot-Anwendungsfällen zu schützen, z. B. Credential Stuffing, Account-Übernahme, Fake-Accounts usw. | NEIN | Ja |
| Clientseitige Verteidigung | Bietet mehrstufigen Schutz für Webanwendungen vor Formjacking, Magecart, Digital Skimming und anderen bösartigen JavaScript-Angriffen. Dieses mehrphasige Schutzsystem umfasst Erkennung, Alarmierung und Schadensbegrenzung. | Ja | Ja |
| Netzwerkverbindung | Standard |
Fortschrittlich |
|
| Multicloud-Transit | Layer-3-Netzwerktransit zwischen öffentlichen Clouds, lokalen Rechenzentren und verteilten Edge-Sites | Ja | Ja |
| Einfügung des Sicherheitsdienstes | Integrieren Sie Netzwerk-Firewall-Dienste von Drittanbietern wie BIG-IP und Palo Alto Networks über mehrere Cloud-Netzwerke hinweg. | Ja | Ja |
| Netzwerksegmentierung | Granulare Netzwerkisolierung und Mikrosegmentierung zur Sicherung von Netzwerksegmenten vor Ort und in öffentlichen Cloud-Netzwerken | Ja | Ja |
| Ende-zu-Ende-Verschlüsselung | Native TLS-Verschlüsselung für den gesamten Datentransfer über Netzwerke | Ja | Ja |
| Automatisierte Bereitstellung | Automatisierte Bereitstellung und Orchestrierung von Public-Cloud-Netzwerkkonstrukten | Ja | Ja |
| App Connect | Standard |
Fortschrittlich |
|
| App- und Service-Vernetzung | Verteilte Lastausgleichsdienste für TCP-, UDP- und HTTPS-Anfragen zwischen App-Clustern über Clouds hinweg | Ja | Ja |
| App-Segmentierung | Granulare Sicherheitsrichtlinien zur Kontrolle des Zugriffs auf API-Endpunkte und Cluster in verteilten Cloud-Umgebungen | Ja | Ja |
| Diensterkennung | Ermitteln der Serviceverfügbarkeit über verteilte App-Cluster hinweg | Ja | Ja |
| Ein- und Ausstieg | Routenbasierte Richtliniendurchsetzung für HTTP- und HTTPS-Verkehr | Ja | Ja |
| Ende-zu-Ende-Verschlüsselung | Native TLS-Verschlüsselung für den gesamten Datentransfer über Netzwerke | Ja | Ja |
| DNS | Standard |
Fortschrittlich |
|
| Automatisches Failover | Gewährleisten Sie die hohe Verfügbarkeit von DNS-Umgebungen mit nahtlosem Failover zu F5 Distributed Cloud DNS. | Ja | Ja |
| Automatische Skalierung | Skalieren Sie automatisch, um mit der Nachfrage Schritt zu halten, wenn die Anzahl der Anwendungen zunimmt, sich die Verkehrsmuster ändern und das Anforderungsvolumen wächst. | Ja | Ja |
| DDoS-Schutz | Verhindern Sie Distributed-Denial-of-Service-Angriffe (DDoS) oder die Manipulation von Domänenantworten mit integriertem Schutz. | Ja | Ja |
| DNSSEC | DNS-Erweiterung, die die Authentizität von DNS-Antworten, einschließlich Zonenübertragungen, garantiert und Denial-of-Existence-Antworten zurückgibt, die Ihr Netzwerk vor DNS-Protokoll- und DNS-Server-Angriffen schützen | Ja | Ja |
| TSIG-Authentifizierung | Automatisieren Sie Dienste mit deklarativen APIs und einer intuitiven GUI | Ja | Ja |
| API-Unterstützung | Transaktionssignaturschlüssel, die die Kommunikation über Zonenübertragungen zwischen Client und Server authentifizieren | Ja | Ja |
| DNS-Lastenausgleich (DNSLB) | Standard |
Fortschrittlich |
|
| Globales standortbasiertes Routing | Leiten Sie Clients zur nächstgelegenen Anwendungsinstanz mit geolokalisierungsbasiertem Lastenausgleich weiter, um das beste Benutzererlebnis zu erzielen. | Ja | Ja |
| Intelligenter Lastenausgleich | Leitet Anwendungsverkehr über Umgebungen hinweg, führt Integritätsprüfungen durch und automatisiert Antworten. Beinhaltet eine vollautomatische Notfallwiederherstellung | Ja | Ja |
| API-Unterstützung | Automatisieren Sie Dienste mit deklarativen APIs und einer intuitiven GUI | Ja | Ja |
| ADC-Telemetrie | Verfolgen Sie Leistung, App-Integrität und Nutzung mit grundlegender Visualisierung | Ja | Ja |
| Vielseitige Sicherheit | Dynamische Sicherheit umfasst automatisches Failover, integrierten DDoS-Schutz, DNSSEC und TSIG-Authentifizierung | Ja | Ja |
| Beobachtbarkeit | Standard |
Fortschrittlich |
|
| Reporting, umfangreiche Analysen und Telemetrie | Einheitliche Transparenz von der Anwendung bis zur Infrastruktur über heterogene Edge- und Cloud-Bereitstellungen hinweg, einschließlich detailliertem Status von Anwendungsbereitstellungen, Integrität, Sicherheit, Verfügbarkeit und Leistung der Infrastruktur. | Ja | Ja |
| Sicherheitsvorfälle | Ereignisansicht, in der Tausende einzelner Ereignisse nach Kontext und gemeinsamen Merkmalen in verwandte Sicherheitsvorfälle gruppiert werden. Ziel ist es, die Untersuchung von App-Sicherheitsereignissen zu vereinfachen. | Ja | Ja |
| Sicherheitsereignisse | Eine einzige Dashboard-Ansicht aller Sicherheitsereignisse über die gesamte Bandbreite der Web-App- und API-Sicherheitsfunktionen hinweg mit Anpassungsmöglichkeiten und Drilldown zu allen WAF-, Bot-, API- und anderen Layer-7-Sicherheitsereignissen | Ja | Ja |
| Global Log Receiver – Integration des Log-Exports (z. B. Splunk) | Protokollverteilung an externe Protokollsammlungssysteme, einschließlich Amazon S3, Datadog, Splunk, SumoLogic und mehr. | Ja | Ja |
| Andere | Standard |
Fortschrittlich |
|
| Erkennung und Abwehr böswilliger Benutzer | Die KI/ML-gestützte Erkennung böswilliger Benutzer führt eine Analyse des Benutzerverhaltens durch und weist basierend auf der Aktivität jedes Benutzers einen Verdachtswert und eine Bedrohungsstufe zu. Client-Interaktionen werden dahingehend analysiert, wie ein Client im Vergleich zu anderen abschneidet – die Anzahl der getroffenen WAF-Regeln, verbotenen Zugriffsversuche, Anmeldefehler, Fehlerraten und mehr. Die Abwehr böswilliger Benutzer ist eine adaptive Reaktions- und risikobasierte Einforderungsfunktion, die je nach Bedrohungsstufe des Benutzers unterschiedliche Herausforderungen wie Javascript- oder Captcha-Herausforderungen bereitstellt oder ihn vorübergehend blockiert. | NEIN | Ja |
| Servicerichtlinien | Ermöglicht Mikrosegmentierung und Unterstützung für erweiterte Sicherheit auf Anwendungsebene durch die Entwicklung von Zulassungs-/Verweigerungslisten, Geo-IP-Filterung und die Erstellung benutzerdefinierter Regeln zum Reagieren auf eingehende Anfragen, einschließlich Übereinstimmungs- und Anfrageeinschränkungskriterien basierend auf einer Vielzahl von Attributen/Parametern, TLS-Fingerabdruck, Geo/Land, IP-Präfix, HTTP-Methode, Pfad, Headern und mehr. | Ja | Ja |
| Web-App-Scannen | Scannen und ordnen Sie beliebige Domänen automatisch zu, um alle gefährdeten Dienste und Infrastrukturen einschließlich Serverversionen und Betriebssysteme zu finden und bekannte Schwachstellen (CVEs) zu identifizieren. Gepaart mit dynamischen Anwendungssicherheitstests (DAST), um automatisierte Penetrationstests beliebiger Domänen durchzuführen, unbekannte Schwachstellen aufzudecken und Anleitungen zur Behebung bereitzustellen. | Ja | Ja |
| CORS-Richtlinie | Cross-Origin Resource Sharing (CORS) ist in allen Situationen nützlich, in denen der Browser standardmäßig Cross-Origin-Anfragen nicht zulässt und Sie diese aus bestimmten Gründen aktivieren müssen. Bei der CORS-Richtlinie handelt es sich um einen Mechanismus, der zusätzliche HTTP-Headerinformationen verwendet, um einem Browser mitzuteilen, dass er einer an einem Ursprung (einer Domäne) ausgeführten Webanwendung die Berechtigung zum Zugriff auf ausgewählte Ressourcen eines Servers an einem anderen Ursprung erteilen soll. | Ja | Ja |
| Vertrauenswürdige Client-IP-Header | Identifizierung echter Client-IP-Adressen zur Überwachung, Protokollierung, Definition von Zulassungs-/Verweigerungsrichtlinien usw. Wenn diese Funktion aktiviert ist, zeigen Sicherheitsereignisse und Anforderungsprotokolle diese echte Client-IP-Adresse als Quell-IP an. | Ja | Ja |
| Gegenseitiges TLS | Die Unterstützung sowohl von TLS als auch von Mutual-TLS zur Authentifizierung mit richtlinienbasierter Autorisierung auf dem Load Balancer/Proxy bietet die Möglichkeit, eine End-to-End-Sicherheit des Anwendungsverkehrs durchzusetzen. Mutual TLS unterstützt die Möglichkeit, Client-Zertifikatsdetails in x-forwarded-client-cert (XFCC)-Anforderungsheadern an Ursprungsserver zu senden. | Ja | Ja |
| Support | Standard |
Fortschrittlich |
|
| Kundensupport rund um die Uhr an 365 Tagen im Jahr | Der Support wird auf verschiedene Arten bereitgestellt, unter anderem per Konsolen-Ticketing sowie per E-Mail und Telefon-Support. | Ja | Ja |
| Verfügbarkeits-SLAs (99,99 %) | Ja | Ja | |
| Prüfprotokolle (30 Tage) | Ja | Ja | |
| Sicherheitsprotokolle (30 Tage) | Ja | Ja | |
| Anforderungsprotokolle (7 Tage) | Ja | Ja | |
Reduzieren Sie Anwendungs- und API-Schwachstellen mit der WAF-Kerntechnologie von F5, die durch unsere erweiterte Signatur-Engine unterstützt wird, die über 8.500 Signaturen für CVEs sowie andere bekannte Schwachstellen und Techniken enthält, einschließlich Bot-Signaturen, die von F5 Labs und Bedrohungsforschern identifiziert wurden.
Kombination aus Verstößen, Umgehungen und Prüfungen der HTTP-Protokollkonformität.
Selbstlernendes, probabilistisches Modell, das falsch positive Auslöser unterdrückt.
Benutzer können vertrauliche Daten in Anforderungsprotokollen maskieren, indem sie den Namen des HTTP-Headers, den Cookie-Namen oder den Namen des Abfrageparameters angeben. Es werden nur Werte maskiert. Standardmäßig werden die Werte der Abfrageparameter „card“, „pass“, „pwd“ und „password“ maskiert.
Wenn eine Anfrage oder Antwort durch die WAF blockiert wird, haben Benutzer die Möglichkeit, die dem Client bereitgestellte Seite mit der blockierenden Antwort anzupassen.
Der Benutzer kann angeben, welche HTTP-Antwortstatuscodes zulässig sind.
Analysiert IP-Bedrohungen und veröffentlicht einen dynamischen Datensatz mit Millionen von Hochrisiko-IP-Adressen, der von F5 verwaltet wird, um App-Endpunkte vor eingehendem Datenverkehr von bösartigen IPs zu schützen. Zu den IP-Angriffskategorien zählen Spam-Quellen, Windows-Exploits, Web-Angriffe, Botnets, Denial-of-Service-Scanner, Phishing und mehr.
Data Guard verhindert, dass HTTP/HTTPS-Antworten vertrauliche Informationen wie Kreditkartennummern und Sozialversicherungsnummern preisgeben, indem die Daten maskiert werden.
Regeln, die die Signatur-IDs und Verstöße/Angriffstypen definieren, die basierend auf bestimmten Übereinstimmungskriterien von der WAF-Verarbeitung ausgeschlossen werden sollen. Zu den spezifischen Übereinstimmungskriterien gehören Domäne, Pfad und Methode. Wenn die Clientanforderung alle diese Kriterien erfüllt, schließt die WAF die Verarbeitung der in der Erkennungskontrolle konfigurierten Elemente aus.
Ermöglicht Benutzern die einfache Konfiguration/Angabe der entsprechenden, zulässigen Quelldomänen.
Cookie-Schutz bietet die Möglichkeit, Antwort-Cookies durch Hinzufügen der Attribute SameSite, Secure und Http Only zu ändern.
Die WAF-Engine prüft GraphQL-Anfragen auf Schwachstellen und blockiert den Datenverkehr auf Grundlage der F5-Signaturdatenbank.
Mithilfe von Netzwerk-Firewall-Steuerelementen können Benutzer eingehenden Datenverkehr aus bestimmten Quellen blockieren oder Ratenbegrenzungen auf den Netzwerkdatenverkehr aus einer bestimmten Quelle anwenden. Erweiterte Schutzfunktionen ermöglichen das Filtern des Datenverkehrs basierend auf Quelladresse, Quellport, Zieladresse, Zielport und Protokoll.
Anomalieerkennung und Warnung bei abnormalen Verkehrsmustern und Trends über Apps und API-Endpunkte hinweg. Nutzung erweiterten maschinellen Lernens (ML), um Spitzen, Einbrüche und andere Änderungen im App- und API-Verhalten im Zeitverlauf zu erkennen. Dies geschieht durch die Analyse von Anforderungsraten, Fehlerraten, Latenz und Durchsatz mit der Möglichkeit, Endpunkte abzulehnen oder zu begrenzen.
„Slow and Low“-Angriffe binden Serverressourcen, so dass keine für die Bearbeitung der Anfragen tatsächlicher Benutzer zur Verfügung stehen. Mit dieser Funktion können Sie Anforderungs-Timeout- und Anforderungsheader-Timeoutwerte konfigurieren und durchsetzen.
F5 Distributed Cloud App Firewall unterstützt die Überprüfung der beiden beliebtesten API-Protokolle – GraphQL und REST.
Die WAF-Signatur-Engine enthält einzigartige Signaturen für automatisierte Bedrohungen und Bot-Techniken, einschließlich Crawler, DDoS/DoS und mehr.
Bietet mehrstufigen Schutz für Webanwendungen vor Formjacking, Magecart, Digital Skimming und anderen bösartigen JavaScript-Angriffen. Dieses mehrphasige Schutzsystem umfasst Erkennung, Alarmierung und Schadensbegrenzung.
Layer-3-Netzwerktransit zwischen öffentlichen Clouds, lokalen Rechenzentren und verteilten Edge-Sites.
Integrieren Sie Netzwerk-Firewall-Dienste von Drittanbietern wie BIG-IP und Palo Alto Networks über mehrere Cloud-Netzwerke hinweg.
Granulare Netzwerkisolierung und Mikrosegmentierung zur Sicherung von Netzwerksegmenten vor Ort und in öffentlichen Cloud-Netzwerken.
Native TLS-Verschlüsselung für den gesamten Datentransfer über Netzwerke.
Automatisierte Bereitstellung und Orchestrierung öffentlicher Cloud-Netzwerkkonstrukte.
Verteilte Lastausgleichsdienste für TCP-, UDP- und HTTPS-Anfragen zwischen App-Clustern über Clouds hinweg.
Granulare Sicherheitsrichtlinien zur Kontrolle des Zugriffs auf API-Endpunkte und Cluster in verteilten Cloud-Umgebungen.
Identifizieren Sie die Dienstverfügbarkeit über verteilte App-Cluster hinweg.
Routenbasierte Richtliniendurchsetzung für HTTP- und HTTPS-Verkehr.
Native TLS-Verschlüsselung für den gesamten Datentransfer über Netzwerke.
Ermöglicht Mikrosegmentierung und Unterstützung für erweiterte Sicherheit auf Anwendungsebene durch die Entwicklung von Zulassungs-/Verweigerungslisten, Geo-IP-Filterung und die Erstellung benutzerdefinierter Regeln zum Reagieren auf eingehende Anfragen, einschließlich Übereinstimmungs- und Anfrageeinschränkungskriterien basierend auf einer Vielzahl von Attributen/Parametern, TLS-Fingerabdruck, Geo/Land, IP-Präfix, HTTP-Methode, Pfad, Headern und mehr.
Scannen und ordnen Sie beliebige Domänen automatisch zu, um alle gefährdeten Dienste und Infrastrukturen einschließlich Serverversionen und Betriebssysteme zu finden und bekannte Schwachstellen (CVEs) zu identifizieren. Gepaart mit dynamischen Anwendungssicherheitstests (DAST), um automatisierte Penetrationstests beliebiger Domänen durchzuführen, unbekannte Schwachstellen aufzudecken und Anleitungen zur Behebung bereitzustellen.
Cross-Origin Resource Sharing (CORS) ist immer dann nützlich, wenn der Browser standardmäßig Cross-Origin-Anfragen nicht zulässt und Sie diese aus bestimmten Gründen aktivieren müssen. Bei der CORS-Richtlinie handelt es sich um einen Mechanismus, der zusätzliche HTTP-Headerinformationen verwendet, um einem Browser mitzuteilen, dass er einer an einem Ursprung (einer Domäne) ausgeführten Webanwendung die Berechtigung zum Zugriff auf ausgewählte Ressourcen eines Servers an einem anderen Ursprung erteilen soll.
Identifizierung echter Client-IP-Adressen zur Überwachung, Protokollierung, Definition von Zulassungs-/Verweigerungsrichtlinien usw. Wenn diese Funktion aktiviert ist, zeigen Sicherheitsereignisse und Anforderungsprotokolle diese echte Client-IP-Adresse als Quell-IP an.
Die Unterstützung sowohl von TLS als auch von Mutual-TLS zur Authentifizierung mit richtlinienbasierter Autorisierung auf dem Load Balancer/Proxy bietet die Möglichkeit, eine End-to-End-Sicherheit des Anwendungsverkehrs durchzusetzen. Mutual TLS unterstützt die Möglichkeit, Client-Zertifikatsdetails in x-forwarded-client-cert (XFCC)-Anforderungsheadern an Ursprungsserver zu senden.
Der Support wird auf verschiedene Arten bereitgestellt, unter anderem per Konsolen-Ticketing sowie per E-Mail und Telefon-Support.
Verfügbarkeits-SLAs (99,99 %)
Prüfprotokolle (30 Tage)
Kennzahlen (< 30 Tage)
Anforderungsprotokolle (< 30 Tage)
Reduzieren Sie Anwendungs- und API-Schwachstellen mit der WAF-Kerntechnologie von F5, die durch unsere erweiterte Signatur-Engine unterstützt wird, die über 8.500 Signaturen für CVEs sowie andere bekannte Schwachstellen und Techniken enthält, einschließlich Bot-Signaturen, die von F5 Labs und Bedrohungsforschern identifiziert wurden.
Kombination aus Verstößen, Umgehungen und Prüfungen der HTTP-Protokollkonformität.
Selbstlernendes, probabilistisches Modell, das falsch positive Auslöser unterdrückt.
Benutzer können vertrauliche Daten in Anforderungsprotokollen maskieren, indem sie den Namen des HTTP-Headers, den Cookie-Namen oder den Namen des Abfrageparameters angeben. Es werden nur Werte maskiert. Standardmäßig werden die Werte der Abfrageparameter „card“, „pass“, „pwd“ und „password“ maskiert.
Wenn eine Anfrage oder Antwort durch die WAF blockiert wird, haben Benutzer die Möglichkeit, die dem Client bereitgestellte Seite mit der blockierenden Antwort anzupassen.
Der Benutzer kann angeben, welche HTTP-Antwortstatuscodes zulässig sind.
Durch die Ratenbegrenzung wird die Rate der Anfragen gesteuert, die bei einem Anwendungsursprung eingehen oder von ihm ausgehen. Die Ratenbegrenzung kann für Apps mithilfe der Schlüsselkennungen IP-Adresse, Cookie-Name und/oder HTTP-Header-Name gesteuert werden.
Analysiert IP-Bedrohungen und veröffentlicht einen dynamischen Datensatz mit Millionen von Hochrisiko-IP-Adressen, der von F5 verwaltet wird, um App-Endpunkte vor eingehendem Datenverkehr von bösartigen IPs zu schützen. Zu den IP-Angriffskategorien zählen Spam-Quellen, Windows-Exploits, Web-Angriffe, Botnets, Denial-of-Service-Scanner, Phishing und mehr.
Data Guard verhindert, dass HTTP/HTTPS-Antworten vertrauliche Informationen wie Kreditkartennummern und Sozialversicherungsnummern preisgeben, indem die Daten maskiert werden.
Regeln, die die Signatur-IDs und Verstöße/Angriffstypen definieren, die basierend auf bestimmten Übereinstimmungskriterien von der WAF-Verarbeitung ausgeschlossen werden sollen. Zu den spezifischen Übereinstimmungskriterien gehören Domäne, Pfad und Methode. Wenn die Clientanforderung alle diese Kriterien erfüllt, schließt die WAF die Verarbeitung der in der Erkennungskontrolle konfigurierten Elemente aus.
Ermöglicht Benutzern die einfache Konfiguration/Angabe der entsprechenden, zulässigen Quelldomänen.
Cookie-Schutz bietet die Möglichkeit, Antwort-Cookies durch Hinzufügen der Attribute SameSite, Secure und Http Only zu ändern.
Die WAF-Engine prüft GraphQL-Anfragen auf Schwachstellen und blockiert den Datenverkehr auf Grundlage der F5-Signaturdatenbank.
Mithilfe von Netzwerk-Firewall-Steuerelementen können Benutzer eingehenden Datenverkehr aus bestimmten Quellen blockieren oder Ratenbegrenzungen auf den Netzwerkdatenverkehr aus einer bestimmten Quelle anwenden. Erweiterte Schutzfunktionen ermöglichen das Filtern des Datenverkehrs basierend auf Quelladresse, Quellport, Zieladresse, Zielport und Protokoll.
Mehrschichtige, volumetrische Angriffsminderung, einschließlich einer Kombination aus voreingestellten Minderungsregeln mit automatischer Minderung und erweiterter gerouteter DDoS-Minderungsbereinigung mit vollständiger Paketanalyse über BGP-Routenanzeige oder autoritative DNS-Auflösung.
Anomalieerkennung und Warnung bei abnormalen Verkehrsmustern und Trends über Apps und API-Endpunkte hinweg. Nutzung erweiterten maschinellen Lernens (ML), um Spitzen, Einbrüche und andere Änderungen im App- und API-Verhalten im Zeitverlauf zu erkennen. Dies geschieht durch die Analyse von Anforderungsraten, Fehlerraten, Latenz und Durchsatz mit der Möglichkeit, Endpunkte abzulehnen oder zu begrenzen.
Auf maschinellem Lernen (ML) basierende Funktionalität, die die Konfiguration einer automatischen Minderung für abnormalen Layer-7-Datenverkehr ermöglicht. Dies erfolgt auf Grundlage einer Analyse des individuellen Clientverhaltens und der App-Leistung im Zeitverlauf, einschließlich Anforderungsraten, Fehlerraten, Latenz und mehr.
„Slow and Low“-Angriffe binden Serverressourcen, so dass keine für die Bearbeitung der Anfragen tatsächlicher Benutzer zur Verfügung stehen. Mit dieser Funktion können Sie Anforderungs-Timeout- und Anforderungsheader-Timeoutwerte konfigurieren und durchsetzen.
F5 Distributed Cloud App Firewall unterstützt die Überprüfung der beiden beliebtesten API-Protokolle – GraphQL und REST.
Erweitertes maschinelles Lernen ermöglicht die Markierung und Analyse des API-Endpunktverkehrs (Anfragen und Antworten) für Anwendungen, um API-Endpunkte zu erkennen und Verhaltensanalysen durchzuführen. Hierzu gehören Anforderungs- und Antwortschemata, die Erkennung vertraulicher Daten und der Authentifizierungsstatus. Bereitstellung von Inventar- und Schatten-API-Sätzen mit OpenAPI-Spezifikation (OAS)-Generierung.
In Code-Repositories integrieren. Erweitertes maschinelles Lernen ermöglicht die automatische Analyse des Anwendungscodes, um API-Endpunkte zu entdecken und zu dokumentieren. Dies umfasst die automatische Generierung von OpenAPI-Spezifikationen (OAS).
Importieren Sie OpenAPI-Spezifikationsdateien, um API-Gruppen zu definieren und Regeln für die Zugriffskontrolle und die Durchsetzung des Verhaltens von APIs festzulegen.
Die Funktionalität zur Durchsetzung von API-Spezifikationen ermöglicht ein positives Sicherheitsmodell für APIs, sodass Unternehmen das gewünschte API-Verhalten basierend auf den Merkmalen gültiger API-Anfragen problemlos durchsetzen können. Diese Merkmale werden verwendet, um Eingabe- und Ausgabedaten hinsichtlich Aspekten wie Datentyp, Mindest- oder Maximallänge, zulässiger Zeichen oder gültiger Wertebereiche zu validieren.
Beinhaltet die Möglichkeit, den Authentifizierungstyp und den Status von API-Endpunkten zu erlernen und zu erkennen, sowie eine API-Risikobewertung. Die Funktion „API Endpoints Risk Score“ bietet Benutzern eine umfassende Messung des mit ihren API-Endpunkten verbundenen Risikos. Der Risikowert wird mithilfe verschiedener Techniken berechnet, beispielsweise anhand der Erkennung von Schwachstellen, der Auswirkungen von Angriffen, des Geschäftswerts, der Angriffswahrscheinlichkeit und mildernder Maßnahmen. Dies hilft Unternehmen dabei, API-Schwachstellen zu bewerten und zu priorisieren, um schnell APIs zu identifizieren, die zusätzliche Sicherheitsmaßnahmen erfordern.
Organisationen können die Konnektivität von API-Endpunkten und Anforderungstypen detailliert steuern. Sie können bestimmte Clients und Verbindungen insgesamt identifizieren, überwachen und blockieren oder bestimmte Schwellenwerte festlegen. Hierzu gehören die Ablehnungsliste (Blockierung) basierend auf IP-Adresse, Region/Land, ASN oder TLS-Fingerabdruck sowie erweiterte Regeln, die bestimmte Übereinstimmungskriterien definieren, die die App- und API-Interaktionen mit Clients steuern, einschließlich HTTP-Methode, Pfad, Abfrageparameter, Header, Cookies und mehr. Diese granulare Kontrolle von API-Verbindungen und -Anfragen kann für einzelne APIs oder eine ganze Domäne erfolgen.
Durch die Ratenbegrenzung wird die Rate der Anfragen gesteuert, die bei API-Endpunkten eingehen oder von ihnen ausgehen.
Erkennen Sie allgemeine (Kreditkarten-, Sozialversicherungsnummer) oder weniger gebräuchliche und benutzerdefinierte PII-Datenmuster (Adressen, Namen, Telefonnummern) in API-Antworten und maskieren Sie dann die sensiblen Daten oder blockieren Sie API-Endpunkte, die sensible Informationen übertragen.
Identifizieren Sie API-Endpunkte, die von bestimmten gesetzlichen Vorschriften und Compliance-Regelungen betroffen sind, und entdecken, kennzeichnen und melden Sie bestimmte vertrauliche Daten. Einschließlich über 400 Datentypen, die mit über 20 verschiedenen Frameworks (PCI-DSS, HIPPA, GDPR usw.) verknüpft sind, wenn sie im API-Code und/oder im Datenverkehr beobachtet werden.
Die WAF-Signatur-Engine enthält einzigartige Signaturen für automatisierte Bedrohungen und Bot-Techniken, einschließlich Crawler, DDoS/DoS und mehr.
Schützt Apps vor automatisierten Angriffen, indem JavaScript und API-Aufrufe genutzt werden, um Telemetriedaten zu erfassen und komplexe Angriffe durch ständige ML-Analyse von Signaldaten abzuwehren, um schnell auf die Umrüstung von Bots zu reagieren, sowie durch dynamische Updates von Echtzeit-Erkennungsmodellen, die zum Schutz vor allen Anwendungsfällen von Bots entwickelt wurden, z. B. Credential Stuffing, Account-Übernahme, Fake-Accounts usw.
Bietet mehrstufigen Schutz für Webanwendungen vor Formjacking, Magecart, Digital Skimming und anderen bösartigen JavaScript-Angriffen. Dieses mehrphasige Schutzsystem umfasst Erkennung, Alarmierung und Schadensbegrenzung.
Layer-3-Netzwerktransit zwischen öffentlichen Clouds, lokalen Rechenzentren und verteilten Edge-Sites.
Integrieren Sie Netzwerk-Firewall-Dienste von Drittanbietern wie BIG-IP und Palo Alto Networks über mehrere Cloud-Netzwerke hinweg.
Granulare Netzwerkisolierung und Mikrosegmentierung zur Sicherung von Netzwerksegmenten vor Ort und in öffentlichen Cloud-Netzwerken.
Native TLS-Verschlüsselung für den gesamten Datentransfer über Netzwerke.
Automatisierte Bereitstellung und Orchestrierung öffentlicher Cloud-Netzwerkkonstrukte.
Verteilte Lastausgleichsdienste für TCP-, UDP- und HTTPS-Anfragen zwischen App-Clustern über Clouds hinweg.
Granulare Sicherheitsrichtlinien zur Kontrolle des Zugriffs auf API-Endpunkte und Cluster in verteilten Cloud-Umgebungen.
Identifizieren Sie die Dienstverfügbarkeit über verteilte App-Cluster hinweg.
Routenbasierte Richtliniendurchsetzung für HTTP- und HTTPS-Verkehr.
Native TLS-Verschlüsselung für den gesamten Datentransfer über Netzwerke.
Die KI/ML-gestützte Erkennung böswilliger Benutzer führt eine Analyse des Benutzerverhaltens durch und weist basierend auf der Aktivität jedes Benutzers einen Verdachtswert und eine Bedrohungsstufe zu. Client-Interaktionen werden dahingehend analysiert, wie ein Client im Vergleich zu anderen abschneidet – Anzahl der getroffenen WAF-Regeln, verbotene Zugriffsversuche, Anmeldefehler, Fehlerraten und mehr. Die Abwehr böswilliger Benutzer ist eine adaptive Reaktions- und risikobasierte Einforderungsfunktion, die je nach Bedrohungsstufe des Benutzers unterschiedliche Herausforderungen wie Javascript- oder Captcha-Herausforderungen bereitstellt oder ihn vorübergehend blockiert.
Ermöglicht Mikrosegmentierung und Unterstützung für erweiterte Sicherheit auf Anwendungsebene durch die Entwicklung von Zulassungs-/Verweigerungslisten, Geo-IP-Filterung und die Erstellung benutzerdefinierter Regeln zum Reagieren auf eingehende Anfragen, einschließlich Übereinstimmungs- und Anfrageeinschränkungskriterien basierend auf einer Vielzahl von Attributen/Parametern, TLS-Fingerabdruck, Geo/Land, IP-Präfix, HTTP-Methode, Pfad, Headern und mehr.
Scannen und ordnen Sie beliebige Domänen automatisch zu, um alle gefährdeten Dienste und Infrastrukturen einschließlich Serverversionen und Betriebssysteme zu finden und bekannte Schwachstellen (CVEs) zu identifizieren. Gepaart mit dynamischen Anwendungssicherheitstests (DAST), um automatisierte Penetrationstests beliebiger Domänen durchzuführen, unbekannte Schwachstellen aufzudecken und Anleitungen zur Behebung bereitzustellen.
Cross-Origin Resource Sharing (CORS) ist immer dann nützlich, wenn der Browser standardmäßig Cross-Origin-Anfragen nicht zulässt und Sie diese aus bestimmten Gründen aktivieren müssen. Bei der CORS-Richtlinie handelt es sich um einen Mechanismus, der zusätzliche HTTP-Headerinformationen verwendet, um einem Browser mitzuteilen, dass er einer an einem Ursprung (einer Domäne) ausgeführten Webanwendung die Berechtigung zum Zugriff auf ausgewählte Ressourcen eines Servers an einem anderen Ursprung erteilen soll.
Identifizierung echter Client-IP-Adressen zur Überwachung, Protokollierung, Definition von Zulassungs-/Verweigerungsrichtlinien usw. Wenn diese Funktion aktiviert ist, zeigen Sicherheitsereignisse und Anforderungsprotokolle diese echte Client-IP-Adresse als Quell-IP an.
Die Unterstützung sowohl von TLS als auch von Mutual-TLS zur Authentifizierung mit richtlinienbasierter Autorisierung auf dem Load Balancer/Proxy bietet die Möglichkeit, eine End-to-End-Sicherheit des Anwendungsverkehrs durchzusetzen. Mutual TLS unterstützt die Möglichkeit, Client-Zertifikatsdetails in x-forwarded-client-cert (XFCC)-Anforderungsheadern an Ursprungsserver zu senden.
Der Support wird auf verschiedene Arten bereitgestellt, unter anderem per Konsolen-Ticketing sowie per E-Mail und Telefon-Support.
Verfügbarkeits-SLAs (99,999 %)
Prüfprotokolle (30 Tage)
Kennzahlen (< 30 Tage)
Anforderungsprotokolle (< 30 Tage)