认证
更新日期:2021 年 4 月 30 日
政府规定
F5 制定了有效的产品认证与评估程序,符合政府规定,有助于维护安全的 IT 环境。
联邦信息处理标准 (FIPS) 140-2
F5 提供虚拟版本 (VE)、全屏盒子 FIPS 平台、集成硬件安全模块 (HSM) PCI 卡和外部(网络 HSM)FIPS 解决方案,以满足最为严格的合规要求与架构。详情请见下表。
对于仅需要 FIPS 140-2 等级 1 解决方案的客户,F5 FIPS BIG-IP VE 包含了用于 x86 平台的经 NIST 验证、基于软件的加密模块。
F5 全屏盒子 FIPS 平台在 FIPS 140-2 等级 2 提供设备级验证,包括篡改明显标签贴纸的应用。
此外,F5 还提供一系列精选的 BIG-IP 平台,其中包括支持 FIPS 140-2 等级 2 实施以用于 RSA 密钥生成、使用与保护的 HSM。在 BIG-IP 集成式 HSM 上生成或导入至 BIG-IP 集成式 HSM 的密钥不可以纯文本格式提取。集成 HSM 的 BIG-IP 硬件设备拥有密封环氧包封层,若将其移除,则会导致卡不能用且不可访问密钥。多个平台支持内部 HSM 的 FIPS 140-2 等级 3 实施,以提供额外保护。此安全等级意味着内部 HSM 卡包括防篡改,可识别物理访问尝试、加密模块操作和/或篡改,并将破坏密钥并使卡不能用。
最后,F5 BIG-IP 支持外部(网络)HSM;详情请见下表。
公有云中的 FIPS 集成支持
- 亚马逊云科技 CloudHSM - 凭借 CloudHSM,您可以使用经 FIPS 140-2 等级 3 验证的 HSM 管理自己的加密密钥。BIG-IP v14.1.0 和 AWS 版本 1.0.18 和 1.1.0。
- Equinix SmartKey - 易于使用的云服务中的 HSM 级安全性(内置加密和标记化)和 FIPS 140-2 等级 3 认证。BIG-IP v14.1.0 和 SmartKey 客户端版本 2.9.804。
F5 FIPS 加密模块
| F5 模块 | BIG-IP 软件版本 | 经 NIST 验证的加密模块 | 整合验证证书 | 其他说明 |
|---|---|---|---|---|
以下虚拟机监控程序中的虚拟版本:
以下供应商确认
|
16.1.x | BIG-IP 加密模块 | 等级 1 (进行中) |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800
VIPRION B2250/B4450 |
16.1.x | F5 设备加密模块 | 等级 2 |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下 vCMP i5000、i5820-DF、i7000、i7820-DF、i15800
VIPRION B2250/B4450 |
16.1.x | F5 vCMP 加密模块 | 等级 2 (进行中) |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下虚拟机监控程序中的虚拟版本:
以下供应商确认
|
16.1.x 与 SSL Orchestrator |
BIG-IP 加密模块 | 等级 1 (进行中) |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
i5000、i5820-DF、i7000、i7820-DF、i11800-DS、i15800 |
16.1.x 与 SSL Orchestrator |
F5 设备加密模块 | 等级 2 (进行中) |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下虚拟机监控程序中的虚拟版本:
以下供应商确认
|
15.1.x | BIG-IP 加密模块 | 等级 1 (进行中) |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
10350v-F i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800 VIPRION B2250/B4450 |
15.1.x | F5 设备加密模块 | 等级 2 (进行中) |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
i5000、i5820-DF、i7000、i7820-DF、i15800 上的 vCMP VIPRION B2250/B4450 |
15.1.x | F5 vCMP 加密模块 | 等级 2 (进行中) |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
VELOS BX110 上的 BIG-IP 租户 |
14.1.4 | BIG-IP 加密模块 | 等级 1 (进行中) |
支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下虚拟机监控程序中的虚拟版本:
以下供应商确认
|
14.1.2 | BIG-IP 加密模块 | 等级 1:3596 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
10350v-F、i7800 |
14.1.2 | F5 设备加密模块 | 等级 2:3841 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下虚拟机监控程序中的虚拟版本:
以下供应商确认
|
14.1.0.3 | BIG-IP 加密模块 | 等级 1:3596 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
5250v-F、7200v-F、10200v-F、10350v-F i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800 VIPRION B2250/B4450 |
14.1.0.3 | F5 设备加密模块 | 等级 2:3629 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下 vCMP i5000、i5820-DF、i7000、i7820-DF、i15800 VIPRION B2250/B4450 |
14.1.0.3 | F5 vCMP 加密模块 | 等级 2:3623 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下虚拟机监控程序中的虚拟版本:
以下供应商确认
|
13.1.1 | BIG-IP 加密模块 | 等级 1:2911 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
4000、5250v-F、7200v-F、10200v-F、10350v-F i4000、i5000、i5820-DF、i7000、i7820-DF、i10800、i11800-DS、i15800 VIPRION B2250/B4450 |
13.1.1 | F5 设备加密模块 | 等级 2:3450 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下 vCMP VIPRION B2250/B4450 |
13.1.1 | F5 vCMP 加密模块 | 等级 2:3439 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
4000、7000、10350v-F i4000、i5000、i7000 VIPRION B2250/B4450 |
13.1.0 | F5 设备加密模块 | 等级 2:3142 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下 vCMP VIPRION B2250/B4450 |
13.1.0 | F5 vCMP 加密模块 | 等级 2:3179 | 支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
以下虚拟机监控程序中的虚拟版本:
以下供应商确认
|
12.1.2 HF1 |
BIG-IP 加密模块 | 等级 1:2911 |
DFARS 252.204-7012/CUI NIST SP 800-171 |
集成加密模块
| F5 模型 集成模块 |
经 NIST 验证的加密模块 | 整合验证证书 | 其他说明 |
|---|---|---|---|
| 10350v-F、i5820-DF、i7820-DF | NITROXIII CNN35XX-NFBE-G HSM Family | 等级 3:2495 | NITROXIII 为内部 FIPS 部分支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
| 5250v-F、7200v-F、10200v-F | NITROX XL CN16XX-NFBE HSM Family | 等级 3:1369 | NITROX XL 为内部 FIPS 部分支持: DFARS 252.204-7012/CUI NIST SP 800-171 |
外部加密模块
| F5 系统 外部模块 |
经 NIST 验证的加密模块 | 整合验证证书 | 其他说明 |
|---|---|---|---|
| BIG-IP、VIPRION 和虚拟版本 v11.2 及以上 | Thales nShield Connect 500+; nShield Connect 1500+; nShield Connect 6000+ |
等级 2:1203 和 1733 等级 3:1197 和 1742 |
不受支持:DFARS 252.204-7012/NIST SP 800-171 |
| BIG-IP、VIPRION 和虚拟版本 v11.5 及以上 | SafeNet Luna SA 6000 | 等级 2:1347 等级 3:1167 |
不受支持:DFARS 252.204-7012/NIST SP 800-171 |
历史 FIPS
虽然兼容 FIPS 140-2,但 F5 BIG-IP 6900F 和 8900F 却不支持在其 HSM 中进行必要的固件升级,因此已将其转移至历史 FIPS 列表。若要查找证书,请访问 CMVP 验证模块搜索页面,通过“验证状态”=“历史”进行高级搜索。
| F5 模块 | 经 NIST 验证的加密模块 | 整体 FIPS 等级 | 安全策略 | 统一验证证书 |
|---|---|---|---|---|
| BIG-IP 6900F、8900F | 集成模块: Cavium Nitrox XL CN1520-VBD-04-0201 |
等级 2 | 等级 2 安全策略 等级 3 安全策略 |
FIPS 140-2 验证证书: 等级 2:1360 等级 3:1361 |
使用 F5 FIPS 兼容解决方案的主要优势:
- 高性能 SSL - 行业领先的性能,具备行业推荐的标准。
- 统一平台 - BIG-IP 能够将提供安全密钥存储的 HSM 与在单一设备上具有 SSL 密钥管理和证书管理的应用程序交付解决方案进行整合。其他解决方案需要为每个 Web 服务器提供单独的系统或经 FIPS 认证的卡,但 BIG-IP 系统的密钥管理框架允许可处理更高流量级别的高度可扩展的安全基础架构。此外,企业还可以轻松将新服务添加至基础架构。
- 保护资源 - F5 解决方案通过保护企业资源安全与企业品牌形象,维护企业声誉。
机密未分类信息 (CUI) DFARS 252.204-7012/NIST SP 800-171 是截至 2017 年 12 月美国国防部的承包商授权指令,并通过涵盖非对称及对称加密操作的经 FIPS 验证的解决方案实现。特定的 F5 FIPS 平台可直接满足此要求,或通过添加 F5 FIPS 模块符合此要求。有关符合资格的平台及详细信息,请参见上文。
信息技术安全性评估通用标准(简称“通用标准”,CC)
通用标准是用于评估 IT 产品安全性的国际标准 (ISO 15408)。该组要求评估硬件、软件、防火墙和服务器。评估目标是提供一定程度的保证,确保设备或软件能够安全处理数据,并且不含可能损害数据完整性的要素。
通用标准向美国国防部和联邦情报机构保证,他们购买的产品符合操作安全信息系统的统辖要求。其他联邦机构和某些金融企业发现,为其敏感部署购买经通用标准批准的产品要容易得多。F5 已获得网络设备和防火墙协同保护配置文件和保护配置文件模块认证,以及 EAL 2+ 和 EAL 4+ 认证。详情请参阅以下图表和链接。
通用标准认证
| F5 模块 | 软件版本 | 认证信息 | 安全目标 |
|---|---|---|---|
包括 i5820-DF 的 i4000 系列、i5000 系列;包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列 VIPRION B2250/B4450 在 vCMP 主机运行的 以下虚拟机监控程序中的 BIG-IP Virtual Edition:
|
16.1.x LTM+AFM | (进行中) | 网络设备协作保护配置文件 v2.2e 有状态流量过滤器防火墙 PP 模块 1.4e 版本 |
包括 i5820-DF 的 i4000 系列、i5000 系列;包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列 VIPRION B2250/B4450 在 vCMP 主机运行的 以下虚拟机监控程序中的 BIG-IP Virtual Edition:
|
16.1.x LTM+APM | (进行中) |
网络设备协作保护配置文件 v2.2e |
包括 i5820-DF 的 i5000 系列、包括 i7820-DF 的 i7000 系列、i11000 系列、i15000 系列 以下虚拟机监控程序中的 BIG-IP Virtual Edition:
|
16.1.x SSL Orchestrator | (进行中) |
网络设备协作保护配置文件 v2.2e SSL/TLS 检测代理的 PP 模块 |
10350v-F 包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列 VIPRION B2250/B4450 在 vCMP 主机运行的 以下虚拟机监控程序中的 BIG-IP Virtual Edition:
|
15.1.x LTM+AFM |
(进行中) |
网络设备协作保护配置文件 v2.1 有状态流量过滤器防火墙 PP 模块 1.2 版本 |
10350v-F 包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列 VIPRION B2250/B4450 在 vCMP 主机运行的 以下虚拟机监控程序中的 BIG-IP Virtual Edition:
Centos 7 上的 KVM |
15.1.x LTM+APM | (进行中) |
网络设备协作保护配置文件 v2.1 |
VELOS BX110 上的 BIG-IP 租户 |
14.1.4 LTM+AFM | (进行中) |
网络设备协作保护配置文件 v2.2e 有状态流量过滤器防火墙 PP 模块 1.4e 版本 |
VELOS BX110 上的 BIG-IP 租户 |
14.1.4 LTM+APM | (进行中) |
网络设备协作保护配置文件 v2.2e |
以下虚拟机监控程序中的 BIG-IP Virtual Edition: VMware ESXi 6.5.0 Windows Server 2019 中的 Hyper-V 10.0 版本 Centos 7 上的 KVM |
14.1.2 LTM+AFM | 有状态流量过滤器防火墙协作保护配置文件 2.0e 版本 | |
以下虚拟机监控程序中的 BIG-IP Virtual Edition:
Centos 7 上的 KVM |
14.1.2 LTM+APM | 网络设备协作保护配置文件 2.1 版本 | |
10350v-F 包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列 VIPRION B2250/B4450 在 vCMP 主机运行的 |
14.1.0.3 LTM+AFM | 有状态流量过滤器防火墙协作保护配置文件 2.0e 版本 | |
10350v-F 包括 i5820-DF 的I5000 系列、包括 i7820-DF 的 i7000 系列、i10000 系列、i11000 系列、i15000 系列 VIPRION B2250/B4450 在 vCMP 主机运行的 |
14.1.0.3 LTM+APM | 网络设备协作保护配置文件 v2.1 | |
10350v-F i5000 系列、i7000 系列、i10000 系列、i11000 系列、i15000系列 VIPRION B2250/B4450 在 vCMP 主机运行的 |
13.1.1 LTM+AFM | 有状态流量过滤器防火墙协作保护配置文件 2.0e 版本 | |
10350v-F i5000 系列、i7000 系列、i10000 系列、i11000 系列、i15000系列 VIPRION B2250/B4450 在 vCMP 主机运行的 |
13.1.1 LTM+APM | 网络设备协作保护配置文件 2.0e 版本 | |
10350v-F i5000 系列、i7000 系列 VIPRION B2250/B4450 在 vCMP 主机运行的 |
12.1.3.4 LTM+AFM | 有状态流量过滤器防火墙协作保护配置文件 1.0 版本 | |
10350v-F i5000 系列、i7000 系列 VIPRION B2250/B4450 在 vCMP 主机运行的 |
12.1.3.4 LTM+APM | 网络设备协作保护配置文件 1.0 版本 | |
BIG-IP |
11.5.1 ADF-Base (LTM+AFM) | 安全目标 基于网络设备 NIAP 保护配置文件 1.1 版本和扩展包状态流量过滤器防火墙网络设备保护配置文件 1.0 版本 |
|
BIG-IP |
11.5.1 ADC-AP (LTM+APM) | 安全目标 基于网络设备 1.1 版本的 NIAP 保护配置文件 |
|
BIG-IP 6900、8900、11050 |
10.2.2 LTM + ACA+ PSM | NIAP 通用标准认证 EAL 2+ |
F5 Networks BIG-IP 本地流量管理器安全目标 |
涉密项目商业解决方案 (CSfC)
CSfC 是国家安全局/中央安全局 (NSA/CSS) 计划,旨在使商业产品可用于分层解决方案,保护国家安全系统 (NSS) 机密数据。该计划共有两个部分:供应商申请将其产品列入一个或多个组件清单中;然后集成商可以从这些清单中选择产品以创建解决方案。所有列出的组件必须同时通过通用标准认证和 FIPS 验证,才能将产品列入组件清单。
| F5 产品 | 组件清单 |
|---|---|
| BIG-IP 14.1.2 | 进行中 |
| BIG-IP 14.1.0.3 | CSfC 流量过滤防火墙 |
| BIG-IP 13.1.1 | CSfC 流量过滤防火墙 |
| BIG-IP 12.1 LTM+AFM | CSfC 流量过滤防火墙 |
美国政府 IPv6 一致性认证 (USGv6)
美国管理和预算办公室 (OMB) 在 OMB 备忘录 M-05-22 中要求所有联邦机构需在其网络中使用 IPv6。美国政府 IPv6 一致性认证 (USGv6) 是一套用于获得支持 IPv6 的主机、路由器和网络安全设备的技术标准。美国国家标准与技术研究院 (NIST) 创建了 USGv6 一致性标准,以支持美国政府采用 IPv6。
F5 BIG-IP 经 IPv6 Ready 和 USGv6 认证。请参阅公告:F5 获得 IPv6-Ready Gold Logo 和 USGv6 认证
| F5 平台 | 产品版本 | 认证信息 |
|---|---|---|
| BIG-IP i-series | 14.1.0.3 | 徽标 ID:02-C-001985 |
| BIG-IP Virtual Edition | 13.1.3 build 4 | 徽标 ID:02-C-001912 |
| VIPRION B2250 | 13.1.1 build 4 | 徽标 ID:02-C-001900 |
| BIG-IP i10000 系列 | 13.1.1 build 4 | 徽标 ID:02-C-001799 |
| BIG-IP | 12.1.0 build 0.0.1434 | 黄金徽标 ID:02-C-001578 |
| BIG-IP | 12.1.0 build 0.0.1434 | 黄金徽标 ID:02-C-001514 |
| BIG-IP | 11.6.0 HF6 build 0.442 | 徽标 ID:02-C-001463 |
| BIG-IP | 11.5.2 build 141.0 | 徽标 ID:02-C-001426 |
| BIG-IP | 11.4.1 build 635.0 | 徽标 ID:02-C-001282 |
| BIG-IP 10000 系列 | 11.3.0 build 3248.0 | 黄金徽标 ID:02-C-001106 |
| BIG-IP 10000 系列、VIPRION B4300 系列 | 11.3.0 及所有以上版本 | USGv6 由 UNH-IOL 提供结果 |
| BIG-IP 10000 系列 | 11.3、12.1 | IPv6 Gold 第二阶段 Gold Logo ID #02-C-001106 |
联合互通性试验司令部 (JITC) 启用公钥 (PKE)
美国国防部信息系统局 (DISA) 的联合互通性试验司令部 (JITC) 提供基于风险的测试评估和认证服务、工具和环境,以确保并支持快速部署互通性和操作有效的信息技术和国家安全系统。对客户或服务器进行测试以确保其为启用公钥 (PKE) 并能够提供安全服务,如身份验证、机密性、不可否认性和访问控制。JITC PKE 测试方面包括 NIST 和 JITC 认证、在线证书状态协议 (OCSP)、证书吊销列表 (CRL) 和国防部通用访问卡 (CAC)。
F5 BIG-IP 经美国国防部认证为启用公钥 (PKE)。请参阅公告:F5 获得联合互通性试验司令部 (JITC) 认证
| F5 模块 | 认证详情 | 备注 |
|---|---|---|
| BIG-IP v 11.2 | 经认证 | 与国防部通用访问卡 (CAC) 协同工作 |
NIST 800-53
NIST 特别出版物 800-53 — 联邦信息系统及机构安全与隐私控制 — 是定义如何处理联邦政府内部信息安全和风险管理的核心标准。该标准由 NIST、美国国防部、情报机构和国家安全系统委员会制定,就持续监控和 FISMA 要求提供指导。此外,其还支持基于风险的方法以保护关键任务和业务功能。
F5 将此 240 多页的文档提炼为 NIST 800-53 Rev 4 F5 iApp。该 iApp提供数页相关的问题和任务,以协助管理员在其 BIG-IP 设备上应用相关的安全控制,为企业节省管理时间和资源。
如果机构希望改进 DIACAP流程,或希望遵守 FISMA,F5 NIST 800-53 Rev 4 iApp 将帮助确保对 BIG-IP 的正确配置设置进行审查和设置。
美国国防部信息网络批准产品目录
美国国防部 DoDIN APL 是已完成互通性 (IO) 和信息保障 (IA) 认证的产品单一综合列表。DoDIN APL 认证可验证系统是否符合 DISA 外勤安全办公室 (FSO) 安全技术实施指南 (STIG),并与之配置一致。
有关 DoDIN APL 流程的更多信息,请访问 DoDIN APL 测试和认证网站。
| Cert/TN 号码 | 产品 | 外部认证 |
|---|---|---|
| F5 Networks BIG-IP Rel. 15.1 | (进行中) | |
| 1906001 | F5 Networks BIG-IP Rel. 14.1 | 认证 |
| 1630801 | F5 Networks BIG-IP Rel. 13.1 | 认证 |
| 1312201 | F5 Networks BIG-IP Rel. 11.6 | 认证 |
F5, Inc. 无障碍合规性报告
下列报告涵盖以下无障碍标准/指南的合规程度:
- Web 内容无障碍指南 2
- 2017 年 1 月 18 日发布修订后的 508 节标准,并更正于 2018 年 1 月 22 日
其他认证
如欲获取更多关于 F5 持有的其他证书信息,请联系 F5 销售部。