F5 BIG-IP 17.5 LTS - 多云安全和应用交付

BIG-IP 是硬件平台和软件解决方案的集合,提供专注于安全性、可靠性和性能的服务

Posted by sysin on 2025-02-28
Estimated Reading Time 17 Minutes
Words 4k In Total
更新日期:Fri Feb 28 2025 09:17:05 GMT+0800,阅读量:

请访问原文链接:F5 BIG-IP 17.5 LTS - 多云安全和应用交付 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org


F5

BIG-IP is a collection of hardware platforms and software solutions providing services focused on security, reliability, and performance (sysin).

BIG-IP software products are licensed modules that run on top of F5’s Traffic Management Operation System® (TMOS).

BIG-IP 产品概述

更多介绍请参看:F5 BIG-IP 下载汇总 - 业界领先的应用交付与安全服务

BIG-IP

F5’s growing portfolio of products that provide the availability, performance, and security you need

  • BIG-IP Access Policy Manager (APM)

    Secures, simplifies, and protects user access to apps and data

  • BIG-IP Advanced Firewall Manager (AFM)

    Protects your network against incoming threats, including complex DDOS attacks

  • BIG-IP Advanced WAF

    Protects apps with behavioral analytics, bot defense, and app-layer encryption

  • BIG-IP Carrier-Grade NAT (CGNAT)

    Fast, scalable, and secure IPv4/IPv6 IP address management as part of a suite of consolidated functions

  • BIG-IP DNS

    Provides hyperscale and security during high query volumes and DNS DDoS attacks

  • BIG-IP Local Traffic Manager (LTM)

    Manages network traffic so applications are always fast, available, and secure

  • BIG-IP Policy Enforcement Manager (PEM)

    Improves network performance through effective policy management

  • BIG-IP Service Proxy for Kubernetes

    Gives multi-protocol ingress/egress signaling control, security, and visibility for cloud-native 5G

  • BIG-IP SSL Orchestrator

    Maximizes infrastructure efficiencies and security with encryption/decryption and traffic steering

  • Container Ingress Services

    Provides automation, orchestration, and networking services for container deployments

BIG-IP Deployment

Deploy your applications on-premises, in the cloud, or both.

  • BIG-IP iSeries Appliances

    Programmable ADC appliances with L4 and L7 throughput and connection rates

  • BIG-IP VIPRION Chassis and Blades

    Extends your infrastructure by adding blades without disrupting apps or users (sysin)

  • BIG-IP Virtual Edition

    Software-based traffic management, app security, and visibility

  • Cloud-Native Network Functions

    Cloud-native solutions that help you transition to cloud and 5G

  • F5 rSeries

    A fully automatable architecture, and the highest reliability, security and access control for your critical applications.

  • VELOS Chassis and Blades

    Gives you the agility and scale of modern architectures

BIG-IP 软件支持策略

Major Release and Long-Term Stability Release versions supported with active software development

Major Release, Minor Release, and Long-Term Stability Release versions First customer ship End of Software Development End of Technical Support Latest maintenance release
17.5.x February 27, 2025 January 1, 2029 January 1, 2029 N/A
17.1.x March 14, 2023 March 31, 2027 March 31, 2027 17.1.x
16.1.x July 7, 2021 July 31, 2025 July 31, 2025 16.1.5
15.1.x (EoL) December 11, 2019 December 31, 2024 December 31, 2024 15.1.10
14.1.x (EoL) December 11, 2018 December 31, 2023 December 31, 2023 14.1.5
13.1.x (EoL) December 19, 2017 December 31, 2022 December 31, 2023 13.1.5
12.1.x (EoL) May 18, 2016 May 18, 2021 May 18, 2022 12.1.5
11.6.x (EoL) May 10, 2016 May 10, 2021 May 10, 2022 11.6.5

Note: EoTS and EoSD will occur on the same date, unless specified otherwise (sysin).

新增功能

BIG-IP 版本 17.5.0 中的新增功能

General(通用)

有关软件生命周期的详细信息,请参阅以下内容:

  • K8986:F5 软件生命周期政策

  • K5903:BIG-IP 软件支持政策

  • 支持 16 插槽 VELOS 机箱配置(Early Access)

    BIG-IP 17.5.0 引入了对 CX1610 和 BX520 VELOS 平台机箱中 16 插槽集群配置的支持。从 F5OS-C 1.8.1 和 BIG-IP 17.5.0 开始支持此配置。

    注意:此功能当前作为 Early Access(EA)计划的一部分提供。标记为 EA 的功能可能支持有限,并可能在未来版本中发生更改。

  • BrightCloud SDK 和内存管理更新

    BrightCloud SDK 从版本 4 升级到版本 5.36 后,其内存占用将显著增加。

    因此,对于内存小于 16 GB 的平台,BrightCloud SDK 将不会被初始化。但 wr_urldbd 守护进程将继续运行以支持 customDB 功能,确保功能不中断。

    此更新有助于防止低端平台(4 GB 或 8 GB 内存)在升级过程中发生过度内存占用,从而维持系统稳定性。

  • BIND 升级

    由于 BIND 9.16 已到达生命周期终点(EoL)且不再接收安全更新 (sysin),已将 BIND 从 9.16.48 升级至 9.18.27。

    注意:该改进已在 BIG-IP 17.1.2 中引入,详见该版本的新增功能和安装说明。

  • 配置选项:在 dataplane 出现故障时延迟重启

    新增 sys db 变量 tmm.hsb.dataplanerebootaction。默认值为 enable,表示遇到 dataplane 故障时将重启系统。可选设置为 disable,将触发高可用性(HA)行为 go-offline-downlinks,避免立即重启。

  • DPDK 驱动程序升级

    DPDK(数据平面开发工具包)驱动已到达 EoL,不再接收安全更新。此次将其版本从 18.11.0 升级到 20.11.10,以支持 AWS ENA 版本 2.8.0。

  • Kerberos 升级

    在跨域 Kerberos 单点登录(SSO)场景中,子域用户无法访问服务 AD 中的服务。为解决该问题,Kerberos(krb5 lib)已从版本 1.18.2 升级至 1.19.1。

  • 支持 C3D

    新增对基于 TLS 1.3 的 C3D(客户端证书受限委派)的支持。

    注意:该功能已在 BIG-IP 17.1.1 中引入,详见该版本的新增功能和安装说明。

APM(Access Policy Manager)

  • 允许 HTTP 连接

    添加了 “Allow HTTP Connections” 设置,用于指定客户端是否可以通过不安全的 HTTP 而非 HTTPS 建立 VPN 连接。启用时,Edge Client 可在无法使用 HTTPS 的环境下使用 HTTP 建立连接;禁用时,只允许通过 HTTPS 连接。这一选项默认关闭 (sysin)。F5 不建议启用此功能,除非万不得已且采取了额外安全措施,以降低启用 HTTP 带来的风险。

  • 检查间隔(Check Interval)

    “Check Interval” 设置定义了访问策略中重复的终端检查(endpoint check)执行之间的时间间隔,用于确保会话期间客户端持续符合安全策略。任何不合规行为都会导致 VPN 会话终止。此选项仅适用于即将发布的 macOS 客户端版本 F5 Access。

  • 定制 Mac F5 Access 安装包

    用户现在可以下载为选定连接配置定制的 macOS F5 Access 安装包,并在 Mac 系统上安装。此功能亦仅适用于即将发布的 macOS F5 Access 客户端。

  • 桌面客户端设置

    在连接配置中,将原 “Win/Mac Edge Client” 菜单重命名为 “Desktop Client Settings”,涵盖 Windows、macOS 与即将发布的 macOS F5 Access 客户端设置。原 “F5 Access for Mac OS” 选项已移除,相关配置并入新的 “Desktop Client Settings”。

  • 通过 TMSH 增强 HTTP 身份验证超时设置

    增加了两个系统数据库变量 apm.http.connectiontimeoutapm.http.requesttimeout,用于配置 HTTP 身份验证时的连接超时(默认 10 秒)和请求超时(默认 60 秒)。这些默认值与旧版本一致,未改变实际行为。

  • 忽略 SSL 服务器证书失败

    添加了 “Ignore SSL Server Certificate Failures” 设置,该选项控制客户端在连接服务器时是否忽略 SSL/TLS 证书验证错误(如证书过期、不受信任 CA 或域名不匹配)。启用后,会允许连接继续进行。此选项默认关闭。F5 不建议开启,除非别无选择并配套其他安全措施。

ASM(Application Security Manager)

  • JSON Web Token 保护违规

    增加通过 JWT 验证 API 请求功能。对受 JWT 保护的访问配置来说,若请求中没有、格式错误或包含无效 token,访问受保护 URL 时将触发违规。

  • 增强 Base64 自动检测

    改进 Base64 自动检测,使用语义分析方式区分可读文本与编码数据,减少误报,提高精确度且不影响性能。

  • 非法登录尝试时验证 HTTP Authorization 头

    强化 HTTP 头授权保护,在尝试访问登录页面 URL 时,如果未能从 Authorization 头中获取凭据,将触发 “illegal login attempt”(非法登录尝试)违规。

  • 签名执行通知(就绪期前)

    在自动学习模式下,新签名或更新签名可能会在配置的执行准备期结束前被强制执行 (sysin)。系统现在会在学习建议中提示,提醒执行可能会超出准备期。

  • 高风险与高精度签名集强制执行设置

    在签名集的学习与拦截设置中新增 GUI 选项 “Enforce and Enable all Attack Signatures with High Risk & High Accuracy in the Signature Set”,启用后会对标记为高风险且高精度的签名集中的所有签名进行启用并强制执行,其它签名则仍处于试运行(staging)。

  • 改进攻击签名设置

    新增 GUI 选项 “Stage all Attack Signatures in the Signature Set”,可将签名集中的所有签名统一设置为试运行状态。

  • 二进制参数值类型自动检测

    支持将特定参数配置为二进制类型,从而避开对签名和特殊字符的检查,减少误报。

  • 自定义模式和屏蔽的数据保护

    对自定义屏蔽模式,支持配置在掩码数据字符串中仅暴露首尾若干字符、其余内容掩码。例如:字符串前两位与最后三位可见,其它部分掩码。这一设置可适用于所有自定义模式,并且对所有模式统一配置。

DNS(Domain Name System)

  • 增强 CNAME 查询处理能力

    当 CNAME 查询导致 BIG-IP DNS resolver 执行时间超过 DNS 缓存配置的次数限制时,将返回 SERVFAIL 错误。BIG-IP 17.5.0、17.1.0、16.1.5 及后续版本将 MAX_RESTART_COUNT 限制设置为 11,此前版本为固定的 8。

    同时新增系统数据库变量 sys db dnscache.maxqueryrestarts,以控制 unbound 在遇到 CNAME 记录时可重试的次数。调整该参数需谨慎,以避免接受过长的 CNAME 链。

  • 支持 ODoH 协议(Oblivious DNS over HTTPS)

    现在 BIG-IP 支持通过 ODoH 协议提升 DNS 隐私保护,引入加密和代理机制 (sysin)。ODoH 使用 HPKE(Hybrid Public Key Encryption)技术,保障 DNS 查询的公钥加密与身份认证。BIG-IP 支持配置 SVCB(服务绑定,类型 64)与 HTTPS RR(类型 65)资源记录,用于 ODoH 目标服务发现。

LTM(Local Traffic Manager)

  • 为 HSB 验证 Loopback 包添加数据载荷验证

    在具备硬件组件的平台上,新增诊断功能,定期发送验证 loopback 包至 HSB。新增以下系统数据库变量(可通过 tmsh modify sys db 编辑):

    1. tmm.hsb.loopbackValidation(默认启用,设为 disabled 可停止验证)
    2. tmm.hsb.loopbackvalidationErrthreshold(默认 0):若设为 0,仅记录损坏检测日志;若设为 >0,当检测到损坏包数量达阈值时,将触发 HSB 的 nic_failsafe 再重启系统。

    若发生损坏,将在 /var/log/tmm 中出现如下日志(有数量限制):

    notice HSB loopback corruption at offset 46. tx: 0x4f, rx: 0x50, len: 2043

    若达到 threshold,将进一步记录:

    notice Reached threshold count for corrupted HSB loopback packets

    之后系统通常会重启。除 i4600、i4800、i2600、i2800 和 i850 iSeries 平台外,HSB 验证支持所有配备 HSB 的硬件平台。

  • 优化 iSeries 平台上 switch 与 HSB 接口间的 FCS 错误检测与处理

    当检测到 FCS 错误时,可触发高可用 HA 操作。相关系统数据库变量:

    • bcm56xxd.hgmfcsthreshold(默认 0 表示禁用,设值为每秒错误次数阈值)
    • bcm56xxd.hgmfcsrebootaction(默认 enable,触发 nic_failsafe 重启;disable 时将触发 go-offline-downlinks)
    • bcm56xxd.hgmfcsnumpolls(定义连续检测出错轮数,默认 5,单位为秒)
  • 增强 DAGv2 行为

    增加支持锁定当前 DAGv2 表的系统数据库变量(示例命令):

    1
    2
    3
    4
    tmsh modify sys db dag.dagv2.pgs value ...
    tmsh modify sys db dag.dagv2.hsbs value ...
    tmsh modify sys db dag.dagv2.mirror.pgs value ...
    tmsh modify sys db dag.dagv2.mirror.hsbs value ...

    需同时保存常规表与镜像表,并确保 CMP 状态与表中定义一致,以应对刀片丢失情况。该功能同样适用于 LSN NAPT 部署中的 SP DAG。完成配置后,请重启 TMM。

  • 优化 DAG fold bit 配置

    在客户端/服务器 IP 地址数量有限的场景下,某些流量模式可能导致连接集中于单核 CPU。可通过设置 sys db dag.hash.fold.bits 来优化连接分布 (sysin)。修改后需重启相关服务。

  • 增加 QoS 配置灵活性

    原变量 tm.egressdscp 无法细粒度控制不同流量类型。引入新变量 tm.bgpegressdscptm.bfdegressdscp,分别控制 BGP 和 BFD 协议数据包的 DSCP 值。默认为 0,使用新设置需重启 BGP 或 BFD 会话。

  • 增强 FIPS 工具功能

    fipsutil 中添加了 -k 参数,可在分区初始化(INIT)时禁用 PEM 密钥导入。该限制持续有效,直到分区被重新初始化。
    注意:该功能最早在 BIG‑IP 17.1.2 中引入。

  • 支持后量子安全

    在客户端 TLS 1.3 中,BIG-IP 现在支持混合 X25519_Kyber768 密钥交换方式,提升对抗未来量子攻击的能力。该 ECC 曲线结合后量子密码坚固性,防止 “Harvest Now, Decrypt Later” 攻击,兼容当前协议,确保长期数据安全。

PEM(Policy Enforcement Manager)

  • 自定义 URL 分类增强

    PEM 可用的自定义 URL 分类数从 4,000 增加到 36,000,显著提升 URL 分类能力。

BIG‑IP VE(虚拟设备)

  • 在 GCP 上支持 Shielded VM 部署

    F5 现支持在 Google Cloud Platform 上部署启用 Secure Boot 的 Shielded VM 实例运行 BIG-IP 虚拟设备 (sysin)。Secure Boot 可确保 VM 启动的是受信任和验证的软件,增强安全性和可审计性。部署前请启用 GCP Shielded VM 的 Secure Boot,并从 MyF5 下载所需的启动镜像和公钥文件。

Distributed Cloud Services(分布式云服务)

  • 增强 Bot 防护的事务结果报告功能

    提升分布式云环境中 Bot 防御的事务结果报告功能,支持记录成功与失败的结果指标,以便更细化地分析和防护 Bot 行为。

下载地址

BIG-IP 17.1.0, Release 2023-03-14

百度网盘链接:https://pan.baidu.com/s/1ZR-GR518bCfo6bOrjZQeIw?pwd= <专享>

Filename Description Size
BIGIP-17.1.0-0.0.16.iso Use for upgrades. Does not include EUD. 2 GB
BIGIP-17.1.0-0.0.16.iso.md5 MD5 file for Use for upgrades. Does not include EUD. 59 Bytes
BIGIP-RECOVERY-17.1.0-0.0.16.iso Use for re-imaging. Includes EUD. 3 GB
BIGIP-RECOVERY-17.1.0-0.0.16.iso.md5 MD5 file for Use for re-imaging. Includes EUD. 66 Bytes
BIGIP-17.1.0-0.0.16.html BIGIP-17.1.0 release notes 1 MB

BIG-IP 17.1.0_Virtual-Edition, Release 2023-03-14

百度网盘链接:https://pan.baidu.com/s/1l1cIm87KE5-EfZobUtV9VA?pwd= <专享>

Filename Description Size
BIGIP-17.1.0-0.0.16.ALL-vmware.ova Image fileset for VMware ESXi Server 2 GB
BIGIP-17.1.0-0.0.16.ALL-vmware.ova.md5 MD5 file for Image fileset for VMware ESXi Server 68 Bytes
BIGIP-17.1.0-0.0.16.ALL.qcow2.zip Image file set for KVM Red Hat Enterprise Linux/CentOS 2 GB
BIGIP-17.1.0-0.0.16.ALL.qcow2.zip.md5 MD5 file for Image file set for KVM Red Hat Enterprise Linux/CentOS 67 Bytes
BIGIP-17.1.0-0.0.16.ALL.vhd.zip Image fileset for Microsoft Hyper-V 2 GB
BIGIP-17.1.0-0.0.16.ALL.vhd.zip.md5 MD5 file for Image fileset for Microsoft Hyper-V 65 Bytes

BIG-IP 17.5.0, Release 2025-02-27

百度网盘链接:https://pan.baidu.com/s/1ZR-GR518bCfo6bOrjZQeIw?pwd= <专享>

Filename Description Size
BIGIP-17.5.0-0.0.16.iso Use for upgrades. Does not include EUD. 2 GB
BIGIP-17.5.0-0.0.16.iso.md5 MD5 file for Use for upgrades. Does not include EUD. 59 Bytes
BIGIP-RECOVERY-17.5.0-0.0.16.iso Use for re-imaging. Includes EUD. 3 GB
BIGIP-RECOVERY-17.5.0-0.0.16.iso.md5 MD5 file for Use for re-imaging. Includes EUD. 66 Bytes
BIGIP-17.5.0-0.0.16.html BIGIP-17.5.0 release notes 1 MB

BIG-IP 17.5.0_Virtual-Edition, Release 2025-02-27

百度网盘链接:https://pan.baidu.com/s/1l1cIm87KE5-EfZobUtV9VA?pwd= <专享>

Filename Description Size
BIGIP-17.5.0-0.0.16.ALL-vmware.ova Image fileset for VMware ESXi Server 2 GB
BIGIP-17.5.0-0.0.16.ALL-vmware.ova.md5 MD5 file for Image fileset for VMware ESXi Server 68 Bytes
BIGIP-17.5.0-0.0.16.ALL.qcow2.zip Image file set for KVM Red Hat Enterprise Linux/CentOS 2 GB
BIGIP-17.5.0-0.0.16.ALL.qcow2.zip.md5 MD5 file for Image file set for KVM Red Hat Enterprise Linux/CentOS 67 Bytes
BIGIP-17.5.0-0.0.16.ALL.vhd.zip Image fileset for Microsoft Hyper-V 2 GB
BIGIP-17.5.0-0.0.16.ALL.vhd.zip.md5 MD5 file for Image fileset for Microsoft Hyper-V 65 Bytes

相关产品:F5 产品下载汇总 - 多云安全和应用交付

更多:HTTP 协议与安全


捐助本站 ❤️ Donate

点击访问官方网站


文章用于推荐和分享优秀的软件产品及其相关技术,所有软件默认提供官方原版(免费版或试用版),免费分享。对于部分产品笔者加入了自己的理解和分析,方便学习和研究使用。任何内容若侵犯了您的版权,请联系作者删除。如果您喜欢这篇文章或者觉得它对您有所帮助,或者发现有不当之处,欢迎您发表评论,也欢迎您分享这个网站,或者赞赏一下作者,谢谢!

支付宝赞赏 微信赞赏

赞赏一下


☑️ 评论恢复,欢迎留言❗️
敬请注册!点击 “登录” - “用户注册”(已知不支持 21.cn/189.cn 邮箱)。请勿使用联合登录(已关闭)