F5 制定了有效的产品认证与评估程序,符合政府规定,以利维护安全的 IT 环境。
F5 提供虚拟版本 (VE)、全屏盒子 FIPS 平台、集成硬件安全模块 (HSM) PCI 卡和外部(网络 HSM)FIPS 解决方案,以满足最为严格的合规要求与架构。详情请见下表。
对于仅需要 FIPS 140-2 等级 1 解决方案的客户,F5 FIPS BIG-IP VE 包含了用于 x86 平台的经 NIST 验证、基于软件的加密模块。
F5 全屏盒子 FIPS 平台在 FIPS 140-2 等级 2 提供设备级验证,包括篡改明显标签贴纸的应用。
此外,F5 还提供一系列精选的 BIG-IP 平台,其中包括支持 FIPS 140-2 等级 2 实施以用于 RSA 密钥生成、使用与保护的 HSM。在 BIG-IP 集成式 HSM 上生成或导入至 BIG-IP 集成式 HSM 的密钥不可以纯文本格式提取。集成 HSM 的 BIG-IP 硬件设备拥有密封环氧包封层,若将其移除,则会导致卡不能用且不可访问密钥。多个平台支持内部 HSM 的 FIPS 140-2 等级 3 实施,以提供额外保护。此安全等级意味着内部 HSM 卡包括防篡改,可识别物理访问尝试、加密模块操作和/或篡改,并将破坏密钥并使卡不能用。
最后,F5 BIG-IP 支持外部(网络)HSM;详情请见下表。
F5 模块 | BIG-IP 软件版本 | 经 NIST 验证的加密模块 | 整合验证证书 | 其他说明 |
---|---|---|---|---|
以下虚拟机监控程序中的虚拟版本:
以下供应商确认
|
15.1 | BIG-IP 加密模块 | 等级 1 (进行中) |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
10350v-F i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800 VIPRION B2250/B4450 |
15.1 | F5 设备加密模块 | 等级 2 |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下 vCMP i5000、i5820-DF、i7000、i7820-DF、i15800
VIPRION B2250/B4450 |
15.1 | F5 vCMP 加密模块 | 等级 2 (进行中) |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下虚拟机监控程序中的虚拟版本:
以下供应商确认
|
14.1.2 | BIG-IP 加密模块 | 等级 1 (进行中) |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
10350v-F、i7800 |
14.1.2 | F5 设备加密模块 | 等级 2 (进行中) |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下虚拟机监控程序中的虚拟版本:
以下供应商确认
|
14.1.0.3 | BIG-IP 加密模块 | 等级 1:3596 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
5250v-F、7200v-F、10200v-F、10350v-F i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800 VIPRION B2250/B4450 |
14.1.0.3 | F5 设备加密模块 | 等级 2:3629 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下 vCMP i5000、i5820-DF、i7000、i7820-DF、i15800 VIPRION B2250/B4450 |
14.1.0.3 | F5 vCMP 加密模块 | 等级 2:3623 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下虚拟机监控程序中的虚拟版本:
以下供应商确认
|
13.1.1 | BIG-IP 加密模块 | 等级 1:2911 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
4000、5250v-F、7200v-F、10200v-F、10350v-F i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800 VIPRION B2250/B4450 |
13.1.1 | F5 设备加密模块 | 等级 2:3450 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下 vCMP VIPRION B2250/B4450 |
13.1.1 | F5 vCMP 加密模块 | 等级 2:3439 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
4000、7000、10350v-F i4000、i5000、i7000 VIPRION B2250/B4450 |
13.1.0 | F5 设备加密模块 | 等级 2:3142 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下 vCMP VIPRION B2250/B4450 |
13.1.0 | F5 vCMP 加密模块 | 等级 2:3179 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下虚拟机监控程序中的虚拟版本:
以下供应商确认
|
12.1.2 HF1 | BIG-IP 加密模块 | 等级 1:2911 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
F5 模型 集成模块 |
经 NIST 验证的加密模块 | 整合验证证书 | 其他说明 |
---|---|---|---|
10350v-F、i5820-DF、i7820-DF | NITROXIII CNN35XX-NFBE-G HSM Family | 等级 3:2495 | NITROXIII 为内部 FIPS 部分支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
5250v-F、7200v-F、10200v-F | NITROX XL CN16XX-NFBE HSM Family | 等级 3:1369 | NITROX XL 为内部 FIPS 部分支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
F5 系统 外部模块 |
经 NIST 验证的加密模块 | 整合验证证书 | 其他说明 |
---|---|---|---|
BIG-IP、VIPRION 和虚拟版本 v11.2 及以上 | Thales nShield Connect 500+; nShield Connect 1500+; nShield Connect 6000+ |
等级 2:1203 和 1733 等级 3:1197 和 1742 |
不受支持:DFARS 252.204-7012/NIST SP 800-171 |
BIG-IP、VIPRION 和虚拟版本 v11.5 及以上 | SafeNet Luna SA 6000 | 等级 2:1347 等级 3:1167 |
不受支持:DFARS 252.204-7012/NIST SP 800-171 |
虽然兼容 FIPS 140-2,但 F5 BIG-IP 6900F 和 8900F 却不支持在其 HSM 中进行必要的固件升级,因此已将其转移至历史 FIPS 列表。若要查找证书,请访问 CMVP 验证模块搜索页面,通过“验证状态”=“历史”进行高级搜索。
F5 模块 | 经 NIST 验证的加密模块 | 整体 FIPS 等级 | 安全策略 | 统一验证证书 |
---|---|---|---|---|
BIG-IP 6900F、8900F | 集成模块: Cavium Nitrox XL CN1520-VBD-04-0201 |
等级 2 | 等级 2 安全策略 等级 3 安全策略 |
FIPS 140-2 验证证书: 等级 2:1360 等级 3:1361 |
使用 F5 FIPS 兼容解决方案的主要益处:
通用标准是用于评估 IT 产品安全性的国际标准 (ISO 15408)。该组要求评估硬件、软件、防火墙和服务器。评估目标是提供一定程度的保证,确保设备或软件能够安全处理数据,并且不含可能损害数据完整性的要素。
通用标准向美国国防部和联邦情报机构保证,他们购买的产品符合操作安全信息系统的统辖要求。其他联邦机构和某些金融企业发现,为其敏感部署购买经通用标准批准的产品要容易得多。F5 已获得网络设备和防火墙协同保护配置文件认证,以及 EAL 2+ 和 EAL 4+ 认证。详情请参阅以下图表和链接。
F5 模块 | 软件版本 | 认证信息 | 安全目标 |
---|---|---|---|
10350v-F 包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列 VIPRION B2250/B4450 vCMP 以下虚拟机监控程序中的 BIG-IP 虚拟版本:
Centos 7 上的 KVM |
15.1 LTM+AFM | (进行中) | 网络设备协作保护配置文件 v2.1 状态流量过滤器防火墙 PP 模块 1.2 版本 |
10350v-F 包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列 VIPRION B2250/B4450 vCMP 以下虚拟机监控程序中的 BIG-IP 虚拟版本:
Centos 7 上的 KVM |
15.1 LTM+APM | (进行中) |
网络设备协作保护配置文件 v2.1 |
以下虚拟机监控程序中的 BIG-IP 虚拟版本:
Centos 7 上的 KVM |
14.1.2 LTM+AFM |
(进行中) |
状态流量过滤器防火墙协作保护配置文件 2.0e 版本 |
以下虚拟机监控程序中的 BIG-IP 虚拟版本:
Centos 7 上的 KVM |
14.1.2 LTM+APM |
(进行中) |
网络设备协作保护配置文件 2.1 版本 |
10350v-F 包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列 VIPRION B2250/B4450 vCMP |
14.1.0.3 LTM+AFM | 状态流量过滤器防火墙协作保护配置文件 2.0e 版本 | |
10350v-F 包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列 VIPRION B2250/B4450 vCMP |
14.1.0.3 LTM+APM | 网络设备协作保护配置文件 v2.1 | |
10350v-F i5000 系列、i7000 系列、i10000 系列、i11000 系列、i15000系列 VIPRION B2250/B4450 vCMP |
13.1.1 LTM+AFM | 状态流量过滤器防火墙协作保护配置文件 2.0e 版本 | |
10350v-F i5000 系列、i7000 系列、i10000 系列、i11000 系列、i15000系列 VIPRION B2250/B4450 vCMP |
13.1.1 LTM+APM |
|
网络设备协作保护配置文件 2.0e 版本 |
10350v-F i5000系列、i7000系列 VIPRION B2250/B4450 vCMP |
12.1.3.4 LTM+AFM | 状态流量过滤器防火墙协作保护配置文件 1.0 版本 | |
10350v-F i5000系列、i7000系列 VIPRION B2250/B4450 vCMP |
12.1.3.4 LTM+APM | 网络设备协作保护配置文件 1.0 版本 | |
BIG-IP | 11.5.1 ADF-Base (LTM+AFM) | BSI-DSZ-CC-0856-2017 EAL4+ | 安全目标 基于网络设备 NIAP 保护配置文件 1.1 版本和扩展包状态流量过滤器防火墙网络设备保护配置文件 1.0 版本 |
BIG-IP | 11.5.1 ADC-AP (LTM+APM) | BSI-DSZ-CC-0975-2018 EAL4+ | 安全目标 基于网络设备 1.1 版本的 NIAP 保护配置文件 |
BIG-IP 6900、8900、11050 | 10.2.2 LTM + ACA+ PSM | NIAP 通用标准认证 EAL 2+ | F5 Networks BIG-IP 本地流量管理器安全目标 |
CSfC 是国家安全局/中央安全局 (NSA/CSS) 计划,旨在使商业产品可用于分层解决方案,保护国家安全系统 (NSS) 机密数据。该计划共有两个部分:供应商申请将其产品列入一个或多个组件清单中;然后集成商可以从这些清单中选择产品以创建解决方案。所有列出的组件必须同时通过通用标准认证和 FIPS 验证,才能将产品列入组件清单。
F5 产品 | 组件清单 |
---|---|
BIG-IP 14.1.2 | 进行中 |
BIG-IP 14.1.0.3 | 进行中 |
BIG-IP 13.1.1 | CSfC 流量过滤防火墙 |
BIG-IP 12.1 LTM+AFM | CSfC 流量过滤防火墙 |
美国管理和预算办公室 (OMB) 在 OMB 备忘录 M-05-22 中要求所有联邦机构需在其网络中使用 IPv6。美国政府 IPv6 一致性认证 (USGv6) 是一套用于获得支持 IPv6 的主机、路由器和网络安全设备的技术标准。美国国家标准与技术研究院 (NIST) 创建了 USGv6 一致性标准,以支持美国政府采用 IPv6。
F5 BIG-IP 经 IPv6 Ready 和 USGv6 认证。请参阅公告:F5 获得 IPv6-Ready Gold Logo 和 USGv6 认证
F5 平台 | 产品版本 | 认证信息 |
---|---|---|
BIG-IP 10000 系列、VIPRION B4300 系列 | 11.3.0 及所有以上版本 | USGv6 由 UNH-IOL 提供结果 |
BIG-IP 10000 系列 | 11.3、12.1 | IPv6 Gold 第二阶段 Gold Logo ID #02-C-001106 |
美国国防部信息系统局 (DISA) 的联合互通性试验司令部 (JITC) 提供基于风险的测试评估和认证服务、工具和环境,以确保并支持快速部署互通性和操作有效的信息技术和国家安全系统。对客户或服务器进行测试以确保其为启用公钥 (PKE) 并能够提供安全服务,如身份验证、机密性、不可否认性和访问控制。JITC PKE 测试方面包括 NIST 和 JITC 认证、在线证书状态协议 (OCSP)、证书吊销列表 (CRL) 和国防部通用访问卡 (CAC)。
F5 BIG-IP 经美国国防部认证为启用公钥 (PKE)。请参阅公告:F5 获得联合互通性试验司令部 (JITC) 认证
F5 模块 | 认证详情 | 备注 |
---|---|---|
BIG-IP v 11.2 | 经认证 | 与国防部通用访问卡 (CAC) 协同工作 |
NIST 特别出版物 800-53 - 联邦信息系统及机构安全与隐私控制 - 是定义如何处理联邦政府内部信息安全和风险管理的核心标准。该标准由 NIST、美国国防部、情报机构和国家安全系统委员会制定,就持续监控和 FISMA 要求提供指导。此外,其还支持基于风险的方法以保护关键任务和业务功能。
F5 将此 240 多页的文档提炼为 NIST 800-53 F5 iApp。该 iApp提供数页相关的问题和任务,以协助管理员在其 BIG-IP 设备上应用相关的安全控制,为组织节省管理时间和资源。
如果机构希望改进 DIACAP流程,或希望遵守 FISMA,F5 NIST 800-53 iApp 将帮助确保对 BIG-IP 的正确配置设置进行审查和设置。
美国国防部 DoDIN APL 是已完成互通性 (IO) 和信息保障 (IA) 认证的产品单一综合列表。DoDIN APL 认证可验证系统是否符合 DISA 外勤安全办公室 (FSO) 安全技术实施指南 (STIG),并与之配置一致。
有关 DoDIN APL 流程的更多信息,请访问 DoDIN APL 测试和认证网站。
Cert/TN 号码 | 产品 | 外部认证 |
---|---|---|
1906001 | F5 Networks BIG-IP Rel. 14.1 | 认证 |
1630801 | F5 Networks BIG-IP Rel. 13.1 | 认证 |
1312201 | F5 Networks BIG-IP Rel. 11.6 | 认证 |
如欲获取更多关于 F5 持有的其他证书信息,请联系 F5 销售部。