F5 BIG-IP 17.5 LTS - 多云安全和应用交付-优快云博客

本文链接：https://blog.youkuaiyun.com/sysinside/article/details/148636019

F5 BIG-IP 17.5 LTS - 多云安全和应用交付

BIG-IP 是硬件平台和软件解决方案的集合，提供专注于安全性、可靠性和性能的服务

请访问原文链接：https://sysin.org/blog/f5-big-ip-17-lts/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

BIG-IP 是一套由硬件平台和软件解决方案组成的产品组合，旨在提供以安全性、可靠性和性能为核心的服务（sysin）。

BIG-IP 软件产品是运行于 F5 Traffic Management Operating System®（TMOS）之上的授权模块。

BIG-IP 产品概述

更多介绍请参见：F5 BIG-IP - 业界领先的应用交付与安全服务

BIG-IP

F5 不断扩展的产品组合，可为你提供所需的可用性、性能和安全性

BIG-IP Access Policy Manager (APM)

保护、简化并保障用户对应用和数据的访问
BIG-IP Advanced Firewall Manager (AFM)

防护网络免受入站威胁，包括复杂的 DDoS 攻击
BIG-IP Advanced WAF

利用行为分析、机器人防护和应用层加密保护应用程序
BIG-IP Carrier-Grade NAT (CGNAT)

作为整合功能套件的一部分，实现快速、可扩展且安全的 IPv4/IPv6 地址管理
BIG-IP DNS

在高查询量和 DNS DDoS 攻击期间提供超大规模处理能力和安全性
BIG-IP Local Traffic Manager (LTM)

管理网络流量，确保应用始终快速、可用且安全
BIG-IP Policy Enforcement Manager (PEM)

通过高效的策略管理提升网络性能
BIG-IP Service Proxy for Kubernetes

为云原生 5G 提供多协议入口/出口信令控制、安全性和可视性
BIG-IP SSL Orchestrator

通过加密/解密和流量引导功能，最大化基础架构效率和安全性
Container Ingress Services

为容器部署提供自动化、编排和网络服务

BIG-IP 部署方式

可在本地、云端或两者结合的环境中部署应用。

BIG-IP iSeries Appliances

支持 L4 和 L7 吞吐量及连接速率的可编程 ADC 设备
BIG-IP VIPRION Chassis and Blades

通过添加刀片扩展基础设施，无需中断应用或用户
BIG-IP Virtual Edition

基于软件的流量管理、应用安全与可视化解决方案
Cloud-Native Network Functions

支持向云和 5G 迁移的云原生解决方案
F5 rSeries

提供完全可自动化的架构，为关键应用提供最高级别的可靠性、安全性与访问控制
VELOS Chassis and Blades

为你提供现代架构所需的敏捷性与可扩展性

BIG-IP 软件支持策略

Major Release and Long-Term Stability Release versions supported with active software development

Major Release, Minor Release, and Long-Term Stability Release versions	First customer ship	End of Software Development	End of Technical Support	Latest maintenance release
17.5.x	February 27, 2025	January 1, 2029	January 1, 2029	N/A
17.1.x	March 14, 2023	March 31, 2027	March 31, 2027	17.1.x
16.1.x	July 7, 2021	July 31, 2025	July 31, 2025	16.1.5
15.1.x (EoL)	December 11, 2019	December 31, 2024	December 31, 2024	15.1.10
14.1.x (EoL)	December 11, 2018	December 31, 2023	December 31, 2023	14.1.5
13.1.x (EoL)	December 19, 2017	December 31, 2022	December 31, 2023	13.1.5
12.1.x (EoL)	May 18, 2016	May 18, 2021	May 18, 2022	12.1.5
11.6.x (EoL)	May 10, 2016	May 10, 2021	May 10, 2022	11.6.5

Note: EoTS and EoSD will occur on the same date, unless specified otherwise (sysin).

新增功能

BIG-IP 版本 17.5.0 中的新增功能

General（通用）

有关软件生命周期的详细信息，请参阅以下内容：

K8986：F5 软件生命周期政策
K5903：BIG-IP 软件支持政策
支持 16 插槽 VELOS 机箱配置（Early Access）

BIG-IP 17.5.0 引入了对 CX1610 和 BX520 VELOS 平台机箱中 16 插槽集群配置的支持。从 F5OS-C 1.8.1 和 BIG-IP 17.5.0 开始支持此配置。

注意：此功能当前作为 Early Access（EA）计划的一部分提供。标记为 EA 的功能可能支持有限，并可能在未来版本中发生更改。
BrightCloud SDK 和内存管理更新

BrightCloud SDK 从版本 4 升级到版本 5.36 后，其内存占用将显著增加。

因此，对于内存小于 16 GB 的平台，BrightCloud SDK 将不会被初始化。但 wr_urldbd 守护进程将继续运行以支持 customDB 功能，确保功能不中断。

此更新有助于防止低端平台（4 GB 或 8 GB 内存）在升级过程中发生过度内存占用，从而维持系统稳定性。
BIND 升级

由于 BIND 9.16 已到达生命周期终点（EoL）且不再接收安全更新 (sysin)，已将 BIND 从 9.16.48 升级至 9.18.27。

注意：该改进已在 BIG-IP 17.1.2 中引入，详见该版本的新增功能和安装说明。
配置选项：在 dataplane 出现故障时延迟重启

新增 sys db 变量 tmm.hsb.dataplanerebootaction。默认值为 enable，表示遇到 dataplane 故障时将重启系统。可选设置为 disable，将触发高可用性（HA）行为 go-offline-downlinks，避免立即重启。
DPDK 驱动程序升级

DPDK（数据平面开发工具包）驱动已到达 EoL，不再接收安全更新。此次将其版本从 18.11.0 升级到 20.11.10，以支持 AWS ENA 版本 2.8.0。
Kerberos 升级

在跨域 Kerberos 单点登录（SSO）场景中，子域用户无法访问服务 AD 中的服务。为解决该问题，Kerberos（krb5 lib）已从版本 1.18.2 升级至 1.19.1。
支持 C3D

新增对基于 TLS 1.3 的 C3D（客户端证书受限委派）的支持。

注意：该功能已在 BIG-IP 17.1.1 中引入，详见该版本的新增功能和安装说明。

APM（Access Policy Manager）

允许 HTTP 连接

添加了 “Allow HTTP Connections” 设置，用于指定客户端是否可以通过不安全的 HTTP 而非 HTTPS 建立 VPN 连接。启用时，Edge Client 可在无法使用 HTTPS 的环境下使用 HTTP 建立连接；禁用时，只允许通过 HTTPS 连接。这一选项默认关闭 (sysin)。F5 不建议启用此功能，除非万不得已且采取了额外安全措施，以降低启用 HTTP 带来的风险。
检查间隔（Check Interval）

“Check Interval” 设置定义了访问策略中重复的终端检查（endpoint check）执行之间的时间间隔，用于确保会话期间客户端持续符合安全策略。任何不合规行为都会导致 VPN 会话终止。此选项仅适用于即将发布的 macOS 客户端版本 F5 Access。
定制 Mac F5 Access 安装包

用户现在可以下载为选定连接配置定制的 macOS F5 Access 安装包，并在 Mac 系统上安装。此功能亦仅适用于即将发布的 macOS F5 Access 客户端。
桌面客户端设置

在连接配置中，将原 “Win/Mac Edge Client” 菜单重命名为 “Desktop Client Settings”，涵盖 Windows、macOS 与即将发布的 macOS F5 Access 客户端设置。原 “F5 Access for Mac OS” 选项已移除，相关配置并入新的 “Desktop Client Settings”。
通过 TMSH 增强 HTTP 身份验证超时设置

增加了两个系统数据库变量 apm.http.connectiontimeout 和 apm.http.requesttimeout，用于配置 HTTP 身份验证时的连接超时（默认 10 秒）和请求超时（默认 60 秒）。这些默认值与旧版本一致，未改变实际行为。
忽略 SSL 服务器证书失败

添加了 “Ignore SSL Server Certificate Failures” 设置，该选项控制客户端在连接服务器时是否忽略 SSL/TLS 证书验证错误（如证书过期、不受信任 CA 或域名不匹配）。启用后，会允许连接继续进行。此选项默认关闭。F5 不建议开启，除非别无选择并配套其他安全措施。

ASM（Application Security Manager）

JSON Web Token 保护违规

增加通过 JWT 验证 API 请求功能。对受 JWT 保护的访问配置来说，若请求中没有、格式错误或包含无效 token，访问受保护 URL 时将触发违规。
增强 Base64 自动检测

改进 Base64 自动检测，使用语义分析方式区分可读文本与编码数据，减少误报，提高精确度且不影响性能。
非法登录尝试时验证 HTTP Authorization 头

强化 HTTP 头授权保护，在尝试访问登录页面 URL 时，如果未能从 Authorization 头中获取凭据，将触发 “illegal login attempt”（非法登录尝试）违规。
签名执行通知（就绪期前）

在自动学习模式下，新签名或更新签名可能会在配置的执行准备期结束前被强制执行 (sysin)。系统现在会在学习建议中提示，提醒执行可能会超出准备期。
高风险与高精度签名集强制执行设置

在签名集的学习与拦截设置中新增 GUI 选项 “Enforce and Enable all Attack Signatures with High Risk & High Accuracy in the Signature Set”，启用后会对标记为高风险且高精度的签名集中的所有签名进行启用并强制执行，其它签名则仍处于试运行（staging）。
改进攻击签名设置

新增 GUI 选项 “Stage all Attack Signatures in the Signature Set”，可将签名集中的所有签名统一设置为试运行状态。
二进制参数值类型自动检测

支持将特定参数配置为二进制类型，从而避开对签名和特殊字符的检查，减少误报。
自定义模式和屏蔽的数据保护

对自定义屏蔽模式，支持配置在掩码数据字符串中仅暴露首尾若干字符、其余内容掩码。例如：字符串前两位与最后三位可见，其它部分掩码。这一设置可适用于所有自定义模式，并且对所有模式统一配置。

DNS（Domain Name System）

增强 CNAME 查询处理能力

当 CNAME 查询导致 BIG-IP DNS resolver 执行时间超过 DNS 缓存配置的次数限制时，将返回 SERVFAIL 错误。BIG-IP 17.5.0、17.1.0、16.1.5 及后续版本将 MAX_RESTART_COUNT 限制设置为 11，此前版本为固定的 8。

同时新增系统数据库变量 sys db dnscache.maxqueryrestarts，以控制 unbound 在遇到 CNAME 记录时可重试的次数。调整该参数需谨慎，以避免接受过长的 CNAME 链。
支持 ODoH 协议（Oblivious DNS over HTTPS）

现在 BIG-IP 支持通过 ODoH 协议提升 DNS 隐私保护，引入加密和代理机制 (sysin)。ODoH 使用 HPKE（Hybrid Public Key Encryption）技术，保障 DNS 查询的公钥加密与身份认证。BIG-IP 支持配置 SVCB（服务绑定，类型 64）与 HTTPS RR（类型 65）资源记录，用于 ODoH 目标服务发现。

LTM（Local Traffic Manager）

为 HSB 验证 Loopback 包添加数据载荷验证

在具备硬件组件的平台上，新增诊断功能，定期发送验证 loopback 包至 HSB。新增以下系统数据库变量（可通过 tmsh modify sys db 编辑）：
1. tmm.hsb.loopbackValidation（默认启用，设为 disabled 可停止验证）
2. tmm.hsb.loopbackvalidationErrthreshold（默认 0）：若设为 0，仅记录损坏检测日志；若设为 >0，当检测到损坏包数量达阈值时，将触发 HSB 的 nic_failsafe 再重启系统。
若发生损坏，将在 /var/log/tmm 中出现如下日志（有数量限制）：

notice HSB loopback corruption at offset 46. tx: 0x4f, rx: 0x50, len: 2043

若达到 threshold，将进一步记录：

notice Reached threshold count for corrupted HSB loopback packets

之后系统通常会重启。除 i4600、i4800、i2600、i2800 和 i850 iSeries 平台外，HSB 验证支持所有配备 HSB 的硬件平台。
优化 iSeries 平台上 switch 与 HSB 接口间的 FCS 错误检测与处理

当检测到 FCS 错误时，可触发高可用 HA 操作。相关系统数据库变量：
- bcm56xxd.hgmfcsthreshold（默认 0 表示禁用，设值为每秒错误次数阈值）
- bcm56xxd.hgmfcsrebootaction（默认 enable，触发 nic_failsafe 重启；disable 时将触发 go-offline-downlinks）
- bcm56xxd.hgmfcsnumpolls（定义连续检测出错轮数，默认 5，单位为秒）
增强 DAGv2 行为

增加支持锁定当前 DAGv2 表的系统数据库变量（示例命令）：
```
tmsh modify sys db dag.dagv2.pgs value ...
tmsh modify sys db dag.dagv2.hsbs value ...
tmsh modify sys db dag.dagv2.mirror.pgs value ...
tmsh modify sys db dag.dagv2.mirror.hsbs value ...
```
需同时保存常规表与镜像表，并确保 CMP 状态与表中定义一致，以应对刀片丢失情况。该功能同样适用于 LSN NAPT 部署中的 SP DAG。完成配置后，请重启 TMM。
优化 DAG fold bit 配置

在客户端／服务器 IP 地址数量有限的场景下，某些流量模式可能导致连接集中于单核 CPU。可通过设置 sys db dag.hash.fold.bits 来优化连接分布 (sysin)。修改后需重启相关服务。
增加 QoS 配置灵活性

原变量 tm.egressdscp 无法细粒度控制不同流量类型。引入新变量 tm.bgpegressdscp 和 tm.bfdegressdscp，分别控制 BGP 和 BFD 协议数据包的 DSCP 值。默认为 0，使用新设置需重启 BGP 或 BFD 会话。
增强 FIPS 工具功能

在 fipsutil 中添加了 -k 参数，可在分区初始化（INIT）时禁用 PEM 密钥导入。该限制持续有效，直到分区被重新初始化。
注意：该功能最早在 BIG‑IP 17.1.2 中引入。
支持后量子安全

在客户端 TLS 1.3 中，BIG-IP 现在支持混合 X25519_Kyber768 密钥交换方式，提升对抗未来量子攻击的能力。该 ECC 曲线结合后量子密码坚固性，防止 “Harvest Now, Decrypt Later” 攻击，兼容当前协议，确保长期数据安全。

PEM（Policy Enforcement Manager）

自定义 URL 分类增强

PEM 可用的自定义 URL 分类数从 4,000 增加到 36,000，显著提升 URL 分类能力。

BIG‑IP VE（虚拟设备）

在 GCP 上支持 Shielded VM 部署

F5 现支持在 Google Cloud Platform 上部署启用 Secure Boot 的 Shielded VM 实例运行 BIG-IP 虚拟设备 (sysin)。Secure Boot 可确保 VM 启动的是受信任和验证的软件，增强安全性和可审计性。部署前请启用 GCP Shielded VM 的 Secure Boot，并从 MyF5 下载所需的启动镜像和公钥文件。

Distributed Cloud Services（分布式云服务）

增强 Bot 防护的事务结果报告功能

提升分布式云环境中 Bot 防御的事务结果报告功能，支持记录成功与失败的结果指标，以便更细化地分析和防护 Bot 行为。

下载地址

BIG-IP 17.5.0, Release 2025-02-27

百度网盘链接：https://sysin.org/blog/f5-big-ip-17-lts/

Filename	Description	Size
BIGIP-17.5.0-0.0.16.iso	Use for upgrades. Does not include EUD.	2 GB
BIGIP-17.5.0-0.0.16.iso.md5	MD5 file for Use for upgrades. Does not include EUD.	59 Bytes
BIGIP-RECOVERY-17.5.0-0.0.16.iso	Use for re-imaging. Includes EUD.	3 GB
BIGIP-RECOVERY-17.5.0-0.0.16.iso.md5	MD5 file for Use for re-imaging. Includes EUD.	66 Bytes
BIGIP-17.5.0-0.0.16.html	BIGIP-17.5.0 release notes	1 MB

BIG-IP 17.5.0_Virtual-Edition, Release 2025-02-27

百度网盘链接：https://sysin.org/blog/f5-big-ip-17-lts/

Filename	Description	Size
BIGIP-17.5.0-0.0.16.ALL-vmware.ova	Image fileset for VMware ESXi Server	2 GB
BIGIP-17.5.0-0.0.16.ALL-vmware.ova.md5	MD5 file for Image fileset for VMware ESXi Server	68 Bytes
BIGIP-17.5.0-0.0.16.ALL.qcow2.zip	Image file set for KVM Red Hat Enterprise Linux/CentOS	2 GB
BIGIP-17.5.0-0.0.16.ALL.qcow2.zip.md5	MD5 file for Image file set for KVM Red Hat Enterprise Linux/CentOS	67 Bytes
BIGIP-17.5.0-0.0.16.ALL.vhd.zip	Image fileset for Microsoft Hyper-V	2 GB
BIGIP-17.5.0-0.0.16.ALL.vhd.zip.md5	MD5 file for Image fileset for Microsoft Hyper-V	65 Bytes