随着更多的应用流量通过网络上传输，敏感数据面临着被盗、安全漏洞和攻击的威胁，尤其是在应用层。F5的BIG-IP®应用安全管理器™  (ASM)  是一个先进的Web应用防火墙，可显著减少和控制数据、知识产权和Web应用丢失或损坏的风险。BIG-IP  ASM提供了端到端的应用保护、高级监控以及集中报告，并可以满足关键的法规要求。

      BIG-IP  ASM是业内最全面的Web应用安全与应用完整性解决方案。对于对业务至关重要的应用，屡获殊荣的BIG-IP  ASM能够使其保持机密性、可用性和高性能，从而保护了您企业的安全，并维护了企业的声誉，其主要优体现在以下几方面;

• 确保应用的可用性全面防护第7层DoS攻击、暴力攻击以及危险的FTP和SMTP命令等等。
• 获得现成的应用安全策略利用预置的快速部署策略和最少量的配置提供保护
• 更敏捷地应对威胁注重利用自动安全策略来实现快速应用开发和部署。
• 增强应用安全和性能提供先进的应用保护，同时在应用安全和加速方面，提升性能，保证经济高效。
• 降低成本，实现法规遵从利用内置的应用安全防护功能，满足安全标准的要求。

        BIG-IP ASM全局的流量管理实现了实时流量策略构建器

        BIG-IP  ASM的核心是动态策略构建器引擎，它负责自动的自我学习并创建安全策略。它围绕新发现的漏洞自动构建和管理安全策略，部署快速、敏捷的业务流程，而无需手工干预。当流量通过BIG-IP  ASM传输时，策略构建器解析请求和响应，提供独特的能力检验完整的客户端和应用流量的双向流程—包括数据和协议。通过利用先进的统计和启发式引擎，策略构建器可以过滤掉攻击和异常流量。策略构建器也可以在被告知站点更新的模式下运行。通过解析响应和请求，它可以探测站点的变化，并且相应地自动更新策略，而无需用户干预。

         BIG-IP ASM 现成的保护能力

     BIG-IP ASM配备了一套预置应用安全策略，可为Microsoft Outlook Web Access、LotusDomino邮件服务器、Oracle  E-Business  Financials和Microsoft  Office  SharePoint等常用的应用提供现成的保护能力。此外，BIG-IP  ASM包含快速部署策略，可立即为任何客户应用提供安全保障。这套经过验证的策略无需要花费任何时间进行配置，并且可以根据启发式学习和特定的客户应用安全需求，用作创建更先进的策略的起点。

        高级执行能力

    BIG-IP  ASM可保护任何参数免遭客户端的篡改，并且通过验证登录参数和应用流来防御强制浏览和逻辑缺陷攻击。BIG-IP  ASM还可以防护OWASP十大Web应用安全漏洞1以及零日Web应用攻击。

          满足安全标准的要求

先进的内置安全防护和远程审计功能可帮助您的企业以经济高效的方式满足行业安全标准的要求，包括PCI  DSS、HIPAA、Basel  II和SOX，您既不需要购置多个设备，也不需要对应用进行更改或重写。BIG-IP  ASM提供了针对新型威胁的高级报告能力，例如第7层拒绝服务攻击 (DoS)和暴力攻击。此外，BIG-IP ASM与WhiteHat、Splunk和Secerno集成，可支持漏洞评估、审计和实时数据库报告功能，从而实现安全违规检查、攻击防护和法规遵从。

         经济高效的应用安全与可用性

许多网站和应用都遭受过安全威胁，这些安全威胁会导致业务中断，并损害企业的品牌。BIG-IP  ASM可以报告以前未知的威胁，例如暴力攻击，并且可减轻Web应用威胁，从而保护企业免遭数据侵害。BIG-IP  ASM有助于预防棘手而且代价高昂的应用侵害，这些侵害可导致企业遭受数百万美元的损失，包括收入下降、监管机构处罚和品牌价值受损等。

       全面的应用安全与加速

BIG-IP  ASM与BIG-IP®  WebAccelerator™  可同时在BIG-IP®  本地流量管理器™  设备上运行，因此您可以确保应用的安全，同时提高应用性能。这个高效的多解决方案平台在不降低性能的情况下增加安全性。您可以立即过滤攻击，并对Web应用进行加速，从而改善用户体验。由于不需要向网络中增添新的设备，您可以获得一体化的解决方案，从而实现最高的成本效益。

      集成的XML防火墙

BIG-IP  ASM提供了特定应用的XML过滤和验证功能，保证Web应用的XML输入的结构正确。它提供了模式验证常见攻击防御和XML解析器拒绝服务预防。

       DataGuard™和伪装

BIG-IP  ASM通过分离数据和隐藏信息而预防敏感数据的泄露（例如信用卡号码、社会安全号码等）。此外，BIG-IP  ASM隐藏错误页面和应用错误信息，防止黑客发现底层架构并发起有针对性的攻击。

      漏洞评估

与WhiteHat  Sentinel  Security的集成提供了一种独特的漏洞评估服务，该服务将自动化工具与专业的高技能应用安全专家联系在一起。通过与BIG-IP  ASM集成，业界领先的WhiteHat  Sentinel服务可以扫描Web应用，并创建专门处理应用中发现的漏洞的BIG-IPASM规则。这样可以通过接近即时的漏洞控制响应而进行经过验证并且可行的漏洞评估，从而在开发人员纠正漏洞代码时保护应用的安全。

     攻击签名的实时更新

为了保证最新的防护能力，新攻击的新签名需要经常更新。BIG-IP  ASM每天查询F5签名服务，并自动下载和应用新的签名。

SMTP和FTP安全

BIG-IP ASM使FTP服务器组的管理轻松易行。BIG-IP ASM验证FTP协议，控制暴力攻击，而且也可以对允许的FTP命令进行白名单控制。此外，BIG-IP  ASM可以执行命令长度限制和主动/被动连接。对于SMTP，BIG-IP  ASM提供了额外的全面安全检查。它还支持灰名单，目的是预防垃圾邮件，执行SMTP协议，将危险SMTP命令加入黑名单，并且控制目录获取攻击。BIG-IP ASM的速率限制能力有助于应对拒绝服务（DoS）攻击。

     集中的高级报告和数据库安全

Splunk是一个大型的高速索引和搜索解决方案，提供了15种不同的BIG-IP ASM特定报告。这些报告提供了攻击和流量趋势的深入信息、用于讨论的长期数据汇总、故障响应的加速以及风险发生之前无法预期的威胁的识别。对Web访问敏感数据、破坏数据库或者执行DoS攻击，SecernoDataWall和BIG-IP  ASM共

享相同的报告。恶意用户可以被隔离，同时报告和告警对这些攻击的类型和威胁提供了即时的侦测和信息。