这是很早前写的一个样例,基于业务模板,系统自动化创建业务配置 业务输入模板(可以通过任何形式产生,例如一个自服务的portal website): createvs.txt createpool.txt createmonitor.txt 中间程序F5_Deploy.py, 中间输出 tmsh.txt (作为ssh.py的输入) (如果系统支持iControlRest,可以直接利用Python执行REST) 自动执行ssh.py [crayon-6623ca2dbcdc4136388250/] &n…
文档描述了V12 DNS的行为变化,以及由此带来的配置、运维方面的影响。 下载密码请关注微信 F5技术 后回复downloadpwd 即可获得 手机可以长按如下二维码并识别
224022:HTTP response 统计信息(例如版本,状态码等)从以前的server side改到在client side统计,这样可以更准确反映客户端所得到的responses 224131:GSLB中全局设置send-wildcard-rrs(控制是否跟随掩码wideip的创建而自动在BIND中创建通配A记录,例如*.cnadn.net)默认被启用,即以后会自动创建对应的通配A记录 227347,增加可以控制cookie 属性的irule命令 250670,修正http cookie 命令不再增加无用的…
对应的SOL: https://support.f5.com/kb/en-us/solutions/public/17000/100/sol17181.html https://support.f5.com/kb/en-us/solutions/public/17000/200/sol17227.html 影响: 如果没有开启BIND的递归则不受(CVE-2015-5986)影响,如果开启则会在特定情况下收到影响,具体参考SOL17227,如果必须开启递归,请考虑使用ACL限制只有可信网络可以使用递归。 如果没有开…
如果一个企业希望当用户访问任意SSL加密的数据时也能监控其内容的话,同时又希望用户不要觉察到TA可能在被监控(至少对于绝大部分普通用户来说),可以考虑使用SSL forward proxy。该功能的基本原理类似于前段时间某强大的传说中的火墙干的那样,当请求通过时候,实时on-fly签发一张让用户感觉不到的server证书,这样客户端SSL实际是和中间设备(F5)在通信,F5在server侧模拟充当普通客户与实际网站通信,从而实现数据解密。 对于F5来说,其实际通信过程如下: client 发起 client hel…
F5有一个很酷的在线分析工具,能够给F5管理员提供对设备的在线分析和诊断,用户只需上传设备的qkview文件,系统即可以自动组织分析出当前设备存在的问题,qkview采集时点系统的状态数据等,是一个非常厉害的工具,是一个利器。同时ihealth API系统通过REST提供了一套访问接口,我们可以利用该工具,通过脚本完成一系列的自动化工作,用于帮组日常维护及巡检,例如定期产生qkview数据并自动上传到ihealth,并自动提取产生的问题建议(ihealth每周更新维护一次其联想分析数据库,定期执行检测可帮组发现最新…
漏洞介绍https://www.openssl.org/~bodo/ssl-poodle.pdf 强制sslv3.0会是的BEAST攻击变得很容易,v3.0不是一个安全的协议版本。 规避: 禁用ssl v3.0 F5: -如果ssl卸载在F5上,那么ssl profile中可以设置关闭ssl v3.0 (BIGIP v11.5以后版本默认已弃用ssl3.0 因此不受影响) *如果你的用户还很多使用sslv3.0的话,请谨慎。具体可以通过命令查看profile的统计中sslv3.0使用占比情况。 -F5…
sol15629: Multiple GNU Bash vulnerabilities F5补丁发布: https://support.f5.com/kb/en-us/solutions/public/15000/600/sol15629.html 使用F5防御: http://f5networks-ss.stor.sinaapp.com/Anti-shellshock.html
AFM模块可用于抵抗很多种类型的DOS攻击,在系统中对各个攻击类型的检测设置一般如上图所示,包含三个配项,其含义如下: Detection Threshold PPS, 每秒包数,系统会自动采样最近1分钟内每秒包数(profile结果中的stats 1m),若统计值大于设置值,则系统认为攻击发生。攻击发生后,系统每秒采样一次值,若值依旧大于设定阀值则攻击在持续,低于该值,系统认为攻击停止。 Detection Threshold percent,这是相对值,系统将最近1分钟(stats 1m)的值与最…
在F5的monitor中我们总会看到两个计时器选项interval和timeout,通俗的讲就是每隔interval时间执行探测一次,如果timeout时间之内没有应答(回复),则认为失败。 但这里面有不少细节,这里的timeout到底是指的什么,是指每一次探测所要等待的时间还是总时间,如果针对第一次的探测响应在第二次探测发出后才回来,会是什么结果?应用层的行为是否会反过来影响探测? 事实上monitor用两个维度来看待上述两个计时器,当0s monitor开始工作时,系统将开始维持两个监控状态,一个…
SSL external handshake卸载,将一台F5的SSL握手处理offload给另一台F5, 这为部署VE或者购买很多低端硬件设备,又想节约投资的用户提供了方便。 SSL session mirroring,支持mirror SSL session 信息 扩展Traffic group 支持数量到127个 支持通过dns产生pool adaptive response time,为monitor增加基于monitor延迟时间的状态判定 kernal 升级 NET-SNMP升级到5.7.2 基于每part…
COPYRIGHT © 2023 Cloud Native 应用交付. ALL RIGHTS RESERVED.
Theme Kratos Made By Seaton Jiang