- 博客(11)
- 收藏
- 关注
RSS订阅原创 Cookie会话保持加密,保护内网信息安全
摘要:针对Cookie信息明文展示易泄露的问题,建议开启Cookie加密功能。配置时需新建Cookieprofile,设置加密策略为preferred以兼容加密/未加密格式,自定义加密密码,并对pool名加密处理。将配置关联至相关VS后需进行业务验证,确保加密后业务正常运行。该变更建议在维护窗口期执行。
2026-03-09 15:54:30
145
原创 基于系统日志内容执行自定义指令
F5系统通过user_alert.conf文件实现日志触发自动运维功能,当检测到指定日志内容(如节点宕机)时自动执行预设命令(如抓包)。配置建议包括:避免简单日志匹配以防性能损耗,升级后需校验配置文件,先在测试环境验证。配置步骤为:编辑user_alert.conf定义告警名称、日志内容和执行命令;通过logger命令触发测试;验证指令执行结果。典型应用场景为节点故障时自动抓包以便快速排查。
2026-03-09 15:33:39
24
原创 F5 WAF安全Cookie处理指南
摘要:F5 AWAF在响应请求时会插入TS样式cookie(如TS01e598a2)。若后端服务器因安全原因需要移除或加固该cookie,可通过两种方式处理:1) 使用iRules移除特定cookie(匹配TS前缀的cookie);2) 通过F5管理界面添加HTTP安全属性:a) 启用HttpOnly属性(修改cookie_httponly_attr参数为1);b) 启用Secure属性(新建cookie_secure_attr参数为1)。两种方式均需重启ASM服务生效。
2026-02-12 16:27:31
880
原创 F5针对X-Forwarded-For行为变化(2)
BIG-IP 13.1.0及以上版本在处理X-Forwarded-For请求头时,会将该请求的真实源IP地址追加到已存在的X-Forwarded-For值后面,以逗号分隔。
2025-11-14 09:00:00
338
原创 F5针对X-Forwarded-For行为变化(1)
摘要:BIG-IP系统在13.1.0之前的版本中,当启用InsertX-Forwarded-For功能时,会在已有X-Forwarded-For头的基础上新增一行插入源IP地址,导致出现多个X-FF头的重复现象。例如,请求经过多个代理服务器后,系统会依次添加1.1.1.1、2.2.2.2和3.3.3.3三条独立X-FF头。测试显示11.5.4版本确实存在此行为,而13.0以上版本已修正该问题,改为规范化的X-FF头处理方式。(149字)
2025-11-02 16:41:30
934
原创 这周遇到的F5知识点总结
1.场景:如果使用的是F5-DNS设备 模块,当server或者virtual server关联的是gtm层面icmp,bigip_link,TCP等的健康探测时,有一个Ignore Down Response的参数,此参数默认为no,代表当探测到节点出现一次down的情况就将节点标记为down,而不需要等到指定的timeout时间才标记为down,如果设置为yes,则会等到timeout时间后才会标记为down。
2025-10-31 14:16:55
429
原创 F5设备单用户重置密码方法
本文介绍了F5设备(V9-V13版本)在忘记密码时的重置方法:通过GRUB菜单进入单用户模式,使用mount -a和passwd命令修改root或admin密码。该方法适用于常规密码恢复场景,操作简便有效。
2025-10-30 13:04:51
421
原创 使用OID监控F5设备上发布业务使用的SSL加密协议所触发的链接数
摘要:本文介绍了通过F5设备MIB库获取SSL/TLS协议版本监控数据的方法,列举了常用加密协议对应的OID值(包括TLS 1.2、TLS 1.1、TLS 1.0和SSLV3),便于运维人员直接集成到监控平台中,实现对SSL加解密业务中各协议版本连接数的全面监控。(99字)
2025-10-28 13:45:30
355
原创 F5旁路部署提取客户端真实IP指南
F5在C/S架构下通过旁路部署实现客户端真实IP透传,具体操作包括:1.创建TCP profile配置Options字段;2.编写iRule将客户端IP分割后插入TCP报头;3.将profile和iRule关联至Standard类型的VS;4.通过抓包验证IP地址已正确插入TCP报头。应用服务器只需读取TCP报头中kind为29的字段即可获取客户端真实IP。该方案完整实现了在旁路模式下透传源IP地址的需求。
2025-10-26 12:04:21
1127
原创 F5解密ClientIP实现流量精准控制
摘要:F5作为七层代理部署在防火墙后,需解密HTTP头中Base64加密的真实客户端IP(Clientip字段)。通过iRule实现:提取加密IP→Base64解密→匹配判断(如黑名单验证)。该方案可扩展至处理X-Forwarded-For等头部字段,实现IP限制、日志记录等精细化流量管控。(99字) 注:摘要提炼了核心需求(解密IP做判断)、关键技术(Base64解码+iRule)、实现价值(访问控制)及扩展性(其他HTTP头处理),符合150字限制。
2025-10-25 12:46:19
398
原创 F5实现User-Agent白名单防护方案
本文介绍了在F5设备上基于User-Agent实现请求过滤的方法:1)需配置standard类型F5并部署证书;2)使用iRule抓取请求中的User-Agent信息进行收集;3)通过白名单机制,仅允许指定User-Agent访问业务池(pool_yewupool),其他请求直接阻断。该方法通过两条iRule实现:第一条记录User-Agent日志,第二条进行白名单匹配,匹配成功转发至业务池,失败则丢弃请求。最后将iRule绑定到Virtual Server即可生效。
2025-10-24 15:07:36
735
irules记录客户端访问日志.pdf
2025-10-26
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人