F5 BIG-IP 17.5 LTS - 多云安全和应用交付

请访问原文链接：F5 BIG-IP 17.5 LTS - 多云安全和应用交付 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

BIG-IP is a collection of hardware platforms and software solutions providing services focused on security, reliability, and performance (sysin).

BIG-IP software products are licensed modules that run on top of F5’s Traffic Management Operation System® (TMOS).

BIG-IP 产品概述

更多介绍请参看：F5 BIG-IP 下载汇总 - 业界领先的应用交付与安全服务

BIG-IP

F5’s growing portfolio of products that provide the availability, performance, and security you need

• BIG-IP Access Policy Manager (APM)

  Secures, simplifies, and protects user access to apps and data

• BIG-IP Advanced Firewall Manager (AFM)

  Protects your network against incoming threats, including complex DDOS attacks

• BIG-IP Advanced WAF

  Protects apps with behavioral analytics, bot defense, and app-layer encryption

• BIG-IP Carrier-Grade NAT (CGNAT)

  Fast, scalable, and secure IPv4/IPv6 IP address management as part of a suite of consolidated functions

• BIG-IP DNS

  Provides hyperscale and security during high query volumes and DNS DDoS attacks

• BIG-IP Local Traffic Manager (LTM)

  Manages network traffic so applications are always fast, available, and secure

• BIG-IP Policy Enforcement Manager (PEM)

  Improves network performance through effective policy management

• BIG-IP Service Proxy for Kubernetes

  Gives multi-protocol ingress/egress signaling control, security, and visibility for cloud-native 5G

• BIG-IP SSL Orchestrator

  Maximizes infrastructure efficiencies and security with encryption/decryption and traffic steering

• Container Ingress Services

  Provides automation, orchestration, and networking services for container deployments

BIG-IP Deployment

Deploy your applications on-premises, in the cloud, or both.

• BIG-IP iSeries Appliances

  Programmable ADC appliances with L4 and L7 throughput and connection rates

• BIG-IP VIPRION Chassis and Blades

  Extends your infrastructure by adding blades without disrupting apps or users (sysin)

• BIG-IP Virtual Edition

  Software-based traffic management, app security, and visibility

• Cloud-Native Network Functions

  Cloud-native solutions that help you transition to cloud and 5G

• F5 rSeries

  A fully automatable architecture, and the highest reliability, security and access control for your critical applications.

• VELOS Chassis and Blades

  Gives you the agility and scale of modern architectures

BIG-IP 软件支持策略

Major Release and Long-Term Stability Release versions supported with active software development

Major Release, Minor Release, and Long-Term Stability Release versions	First customer ship	End of Software Development	End of Technical Support	Latest maintenance release
17.5.x	February 27, 2025	January 1, 2029	January 1, 2029	N/A
17.1.x	March 14, 2023	March 31, 2027	March 31, 2027	17.1.x
16.1.x	July 7, 2021	July 31, 2025	July 31, 2025	16.1.5
15.1.x (EoL)	December 11, 2019	December 31, 2024	December 31, 2024	15.1.10
14.1.x (EoL)	December 11, 2018	December 31, 2023	December 31, 2023	14.1.5
13.1.x (EoL)	December 19, 2017	December 31, 2022	December 31, 2023	13.1.5
12.1.x (EoL)	May 18, 2016	May 18, 2021	May 18, 2022	12.1.5
11.6.x (EoL)	May 10, 2016	May 10, 2021	May 10, 2022	11.6.5

Note: EoTS and EoSD will occur on the same date, unless specified otherwise (sysin).

新增功能

BIG-IP 版本 17.5.0 中的新增功能

General（通用）

有关软件生命周期的详细信息，请参阅以下内容：

• K8986：F5 软件生命周期政策

• K5903：BIG-IP 软件支持政策

• 支持 16 插槽 VELOS 机箱配置（Early Access）

  BIG-IP 17.5.0 引入了对 CX1610 和 BX520 VELOS 平台机箱中 16 插槽集群配置的支持。从 F5OS-C 1.8.1 和 BIG-IP 17.5.0 开始支持此配置。

  注意：此功能当前作为 Early Access（EA）计划的一部分提供。标记为 EA 的功能可能支持有限，并可能在未来版本中发生更改。

• BrightCloud SDK 和内存管理更新

  BrightCloud SDK 从版本 4 升级到版本 5.36 后，其内存占用将显著增加。

  因此，对于内存小于 16 GB 的平台，BrightCloud SDK 将不会被初始化。但 wr_urldbd 守护进程将继续运行以支持 customDB 功能，确保功能不中断。

  此更新有助于防止低端平台（4 GB 或 8 GB 内存）在升级过程中发生过度内存占用，从而维持系统稳定性。

• BIND 升级

  由于 BIND 9.16 已到达生命周期终点（EoL）且不再接收安全更新 (sysin)，已将 BIND 从 9.16.48 升级至 9.18.27。

  注意：该改进已在 BIG-IP 17.1.2 中引入，详见该版本的新增功能和安装说明。

• 配置选项：在 dataplane 出现故障时延迟重启

  新增 sys db 变量 tmm.hsb.dataplanerebootaction。默认值为 enable，表示遇到 dataplane 故障时将重启系统。可选设置为 disable，将触发高可用性（HA）行为 go-offline-downlinks，避免立即重启。

• DPDK 驱动程序升级

  DPDK（数据平面开发工具包）驱动已到达 EoL，不再接收安全更新。此次将其版本从 18.11.0 升级到 20.11.10，以支持 AWS ENA 版本 2.8.0。

• Kerberos 升级

  在跨域 Kerberos 单点登录（SSO）场景中，子域用户无法访问服务 AD 中的服务。为解决该问题，Kerberos（krb5 lib）已从版本 1.18.2 升级至 1.19.1。

• 支持 C3D

  新增对基于 TLS 1.3 的 C3D（客户端证书受限委派）的支持。

  注意：该功能已在 BIG-IP 17.1.1 中引入，详见该版本的新增功能和安装说明。

APM（Access Policy Manager）

• 允许 HTTP 连接

  添加了 “Allow HTTP Connections” 设置，用于指定客户端是否可以通过不安全的 HTTP 而非 HTTPS 建立 VPN 连接。启用时，Edge Client 可在无法使用 HTTPS 的环境下使用 HTTP 建立连接；禁用时，只允许通过 HTTPS 连接。这一选项默认关闭 (sysin)。F5 不建议启用此功能，除非万不得已且采取了额外安全措施，以降低启用 HTTP 带来的风险。

• 检查间隔（Check Interval）

  “Check Interval” 设置定义了访问策略中重复的终端检查（endpoint check）执行之间的时间间隔，用于确保会话期间客户端持续符合安全策略。任何不合规行为都会导致 VPN 会话终止。此选项仅适用于即将发布的 macOS 客户端版本 F5 Access。

• 定制 Mac F5 Access 安装包

  用户现在可以下载为选定连接配置定制的 macOS F5 Access 安装包，并在 Mac 系统上安装。此功能亦仅适用于即将发布的 macOS F5 Access 客户端。

• 桌面客户端设置

  在连接配置中，将原 “Win/Mac Edge Client” 菜单重命名为 “Desktop Client Settings”，涵盖 Windows、macOS 与即将发布的 macOS F5 Access 客户端设置。原 “F5 Access for Mac OS” 选项已移除，相关配置并入新的 “Desktop Client Settings”。

• 通过 TMSH 增强 HTTP 身份验证超时设置

  增加了两个系统数据库变量 apm.http.connectiontimeout 和 apm.http.requesttimeout，用于配置 HTTP 身份验证时的连接超时（默认 10 秒）和请求超时（默认 60 秒）。这些默认值与旧版本一致，未改变实际行为。

• 忽略 SSL 服务器证书失败

  添加了 “Ignore SSL Server Certificate Failures” 设置，该选项控制客户端在连接服务器时是否忽略 SSL/TLS 证书验证错误（如证书过期、不受信任 CA 或域名不匹配）。启用后，会允许连接继续进行。此选项默认关闭。F5 不建议开启，除非别无选择并配套其他安全措施。

ASM（Application Security Manager）

• JSON Web Token 保护违规

  增加通过 JWT 验证 API 请求功能。对受 JWT 保护的访问配置来说，若请求中没有、格式错误或包含无效 token，访问受保护 URL 时将触发违规。

• 增强 Base64 自动检测

  改进 Base64 自动检测，使用语义分析方式区分可读文本与编码数据，减少误报，提高精确度且不影响性能。

• 非法登录尝试时验证 HTTP Authorization 头

  强化 HTTP 头授权保护，在尝试访问登录页面 URL 时，如果未能从 Authorization 头中获取凭据，将触发 “illegal login attempt”（非法登录尝试）违规。

• 签名执行通知（就绪期前）

  在自动学习模式下，新签名或更新签名可能会在配置的执行准备期结束前被强制执行 (sysin)。系统现在会在学习建议中提示，提醒执行可能会超出准备期。

• 高风险与高精度签名集强制执行设置

  在签名集的学习与拦截设置中新增 GUI 选项 “Enforce and Enable all Attack Signatures with High Risk & High Accuracy in the Signature Set”，启用后会对标记为高风险且高精度的签名集中的所有签名进行启用并强制执行，其它签名则仍处于试运行（staging）。

• 改进攻击签名设置

  新增 GUI 选项 “Stage all Attack Signatures in the Signature Set”，可将签名集中的所有签名统一设置为试运行状态。

• 二进制参数值类型自动检测

  支持将特定参数配置为二进制类型，从而避开对签名和特殊字符的检查，减少误报。

• 自定义模式和屏蔽的数据保护

  对自定义屏蔽模式，支持配置在掩码数据字符串中仅暴露首尾若干字符、其余内容掩码。例如：字符串前两位与最后三位可见，其它部分掩码。这一设置可适用于所有自定义模式，并且对所有模式统一配置。

DNS（Domain Name System）

• 增强 CNAME 查询处理能力

  当 CNAME 查询导致 BIG-IP DNS resolver 执行时间超过 DNS 缓存配置的次数限制时，将返回 SERVFAIL 错误。BIG-IP 17.5.0、17.1.0、16.1.5 及后续版本将 MAX_RESTART_COUNT 限制设置为 11，此前版本为固定的 8。

  同时新增系统数据库变量 sys db dnscache.maxqueryrestarts，以控制 unbound 在遇到 CNAME 记录时可重试的次数。调整该参数需谨慎，以避免接受过长的 CNAME 链。

• 支持 ODoH 协议（Oblivious DNS over HTTPS）

  现在 BIG-IP 支持通过 ODoH 协议提升 DNS 隐私保护，引入加密和代理机制 (sysin)。ODoH 使用 HPKE（Hybrid Public Key Encryption）技术，保障 DNS 查询的公钥加密与身份认证。BIG-IP 支持配置 SVCB（服务绑定，类型 64）与 HTTPS RR（类型 65）资源记录，用于 ODoH 目标服务发现。

LTM（Local Traffic Manager）

• 为 HSB 验证 Loopback 包添加数据载荷验证

  在具备硬件组件的平台上，新增诊断功能，定期发送验证 loopback 包至 HSB。新增以下系统数据库变量（可通过 tmsh modify sys db 编辑）：

  1. tmm.hsb.loopbackValidation（默认启用，设为 disabled 可停止验证）
  2. tmm.hsb.loopbackvalidationErrthreshold（默认 0）：若设为 0，仅记录损坏检测日志；若设为 >0，当检测到损坏包数量达阈值时，将触发 HSB 的 nic_failsafe 再重启系统。

  若发生损坏，将在 /var/log/tmm 中出现如下日志（有数量限制）：

  notice HSB loopback corruption at offset 46. tx: 0x4f, rx: 0x50, len: 2043

  若达到 threshold，将进一步记录：

  notice Reached threshold count for corrupted HSB loopback packets

  之后系统通常会重启。除 i4600、i4800、i2600、i2800 和 i850 iSeries 平台外，HSB 验证支持所有配备 HSB 的硬件平台。

• 优化 iSeries 平台上 switch 与 HSB 接口间的 FCS 错误检测与处理

  当检测到 FCS 错误时，可触发高可用 HA 操作。相关系统数据库变量：

  • bcm56xxd.hgmfcsthreshold（默认 0 表示禁用，设值为每秒错误次数阈值）
  • bcm56xxd.hgmfcsrebootaction（默认 enable，触发 nic_failsafe 重启；disable 时将触发 go-offline-downlinks）
  • bcm56xxd.hgmfcsnumpolls（定义连续检测出错轮数，默认 5，单位为秒）

• 增强 DAGv2 行为

  增加支持锁定当前 DAGv2 表的系统数据库变量（示例命令）：

  1 2 3 4

  tmsh modify sys db dag.dagv2.pgs value ... tmsh modify sys db dag.dagv2.hsbs value ... tmsh modify sys db dag.dagv2.mirror.pgs value ... tmsh modify sys db dag.dagv2.mirror.hsbs value ...

  需同时保存常规表与镜像表，并确保 CMP 状态与表中定义一致，以应对刀片丢失情况。该功能同样适用于 LSN NAPT 部署中的 SP DAG。完成配置后，请重启 TMM。

• 优化 DAG fold bit 配置

  在客户端／服务器 IP 地址数量有限的场景下，某些流量模式可能导致连接集中于单核 CPU。可通过设置 sys db dag.hash.fold.bits 来优化连接分布 (sysin)。修改后需重启相关服务。

• 增加 QoS 配置灵活性

  原变量 tm.egressdscp 无法细粒度控制不同流量类型。引入新变量 tm.bgpegressdscp 和 tm.bfdegressdscp，分别控制 BGP 和 BFD 协议数据包的 DSCP 值。默认为 0，使用新设置需重启 BGP 或 BFD 会话。

• 增强 FIPS 工具功能

  在 fipsutil 中添加了 -k 参数，可在分区初始化（INIT）时禁用 PEM 密钥导入。该限制持续有效，直到分区被重新初始化。
  注意：该功能最早在 BIG‑IP 17.1.2 中引入。

• 支持后量子安全

  在客户端 TLS 1.3 中，BIG-IP 现在支持混合 X25519_Kyber768 密钥交换方式，提升对抗未来量子攻击的能力。该 ECC 曲线结合后量子密码坚固性，防止 “Harvest Now, Decrypt Later” 攻击，兼容当前协议，确保长期数据安全。

PEM（Policy Enforcement Manager）

• 自定义 URL 分类增强

  PEM 可用的自定义 URL 分类数从 4,000 增加到 36,000，显著提升 URL 分类能力。

BIG‑IP VE（虚拟设备）

• 在 GCP 上支持 Shielded VM 部署

  F5 现支持在 Google Cloud Platform 上部署启用 Secure Boot 的 Shielded VM 实例运行 BIG-IP 虚拟设备 (sysin)。Secure Boot 可确保 VM 启动的是受信任和验证的软件，增强安全性和可审计性。部署前请启用 GCP Shielded VM 的 Secure Boot，并从 MyF5 下载所需的启动镜像和公钥文件。

Distributed Cloud Services（分布式云服务）

• 增强 Bot 防护的事务结果报告功能

  提升分布式云环境中 Bot 防御的事务结果报告功能，支持记录成功与失败的结果指标，以便更细化地分析和防护 Bot 行为。

下载地址

BIG-IP 17.1.0, Release 2023-03-14

百度网盘链接：https://pan.baidu.com/s/1ZR-GR518bCfo6bOrjZQeIw?pwd= <专享>

Filename	Description	Size
BIGIP-17.1.0-0.0.16.iso	Use for upgrades. Does not include EUD.	2 GB
BIGIP-17.1.0-0.0.16.iso.md5	MD5 file for Use for upgrades. Does not include EUD.	59 Bytes
BIGIP-RECOVERY-17.1.0-0.0.16.iso	Use for re-imaging. Includes EUD.	3 GB
BIGIP-RECOVERY-17.1.0-0.0.16.iso.md5	MD5 file for Use for re-imaging. Includes EUD.	66 Bytes
BIGIP-17.1.0-0.0.16.html	BIGIP-17.1.0 release notes	1 MB

BIG-IP 17.1.0_Virtual-Edition, Release 2023-03-14

百度网盘链接：https://pan.baidu.com/s/1l1cIm87KE5-EfZobUtV9VA?pwd= <专享>

Filename	Description	Size
BIGIP-17.1.0-0.0.16.ALL-vmware.ova	Image fileset for VMware ESXi Server	2 GB
BIGIP-17.1.0-0.0.16.ALL-vmware.ova.md5	MD5 file for Image fileset for VMware ESXi Server	68 Bytes
BIGIP-17.1.0-0.0.16.ALL.qcow2.zip	Image file set for KVM Red Hat Enterprise Linux/CentOS	2 GB
BIGIP-17.1.0-0.0.16.ALL.qcow2.zip.md5	MD5 file for Image file set for KVM Red Hat Enterprise Linux/CentOS	67 Bytes
BIGIP-17.1.0-0.0.16.ALL.vhd.zip	Image fileset for Microsoft Hyper-V	2 GB
BIGIP-17.1.0-0.0.16.ALL.vhd.zip.md5	MD5 file for Image fileset for Microsoft Hyper-V	65 Bytes

BIG-IP 17.5.0, Release 2025-02-27

百度网盘链接：https://pan.baidu.com/s/1ZR-GR518bCfo6bOrjZQeIw?pwd= <专享>

Filename	Description	Size
BIGIP-17.5.0-0.0.16.iso	Use for upgrades. Does not include EUD.	2 GB
BIGIP-17.5.0-0.0.16.iso.md5	MD5 file for Use for upgrades. Does not include EUD.	59 Bytes
BIGIP-RECOVERY-17.5.0-0.0.16.iso	Use for re-imaging. Includes EUD.	3 GB
BIGIP-RECOVERY-17.5.0-0.0.16.iso.md5	MD5 file for Use for re-imaging. Includes EUD.	66 Bytes
BIGIP-17.5.0-0.0.16.html	BIGIP-17.5.0 release notes	1 MB

BIG-IP 17.5.0_Virtual-Edition, Release 2025-02-27

百度网盘链接：https://pan.baidu.com/s/1l1cIm87KE5-EfZobUtV9VA?pwd= <专享>

Filename	Description	Size
BIGIP-17.5.0-0.0.16.ALL-vmware.ova	Image fileset for VMware ESXi Server	2 GB
BIGIP-17.5.0-0.0.16.ALL-vmware.ova.md5	MD5 file for Image fileset for VMware ESXi Server	68 Bytes
BIGIP-17.5.0-0.0.16.ALL.qcow2.zip	Image file set for KVM Red Hat Enterprise Linux/CentOS	2 GB
BIGIP-17.5.0-0.0.16.ALL.qcow2.zip.md5	MD5 file for Image file set for KVM Red Hat Enterprise Linux/CentOS	67 Bytes
BIGIP-17.5.0-0.0.16.ALL.vhd.zip	Image fileset for Microsoft Hyper-V	2 GB
BIGIP-17.5.0-0.0.16.ALL.vhd.zip.md5	MD5 file for Image fileset for Microsoft Hyper-V	65 Bytes

---

相关产品：F5 产品下载汇总 - 多云安全和应用交付

更多：HTTP 协议与安全

---

---

• ← Previous Post
• Next Post →

---

---