白皮书

DDoS 架构图和白皮书

Updated October 01, 2020
  • Share via AddThis

简介

20 多年来,F5 始终致力于帮助客户保护应用安全,抵御分布式拒绝服务 (DDoS) 攻击。随着时间的推移,F5 已研发出核心产品功能,帮助应用和服务保持对 DDoS 攻击的灵活性。自 2018 年以来,许多引人关注的攻击促使服务提供商和托管服务提供商 (MSP)、金融组织和企业重新设计网络以纳入 DDoS 保护。F5 与客户携手努力,共同制定了包括云和本地组件的 DDoS 保护参考架构。

参考架构包括多层本地防御,为第 3 层至第 7 层提供安全保护。网络防御层保护 DNS 和第 3 层及第 4 层的安全。免遭网络攻击后,应用防御层可以利用其 CPU 资源为高层应用提供保护。这种设计使组织能够抵御所有类型的 DDoS 攻击,并在整个组织的数据中心提供诸多裨益。最后,DDoS 保护解决方案的云组件可作为缓解容量耗尽攻击的安全保障机制。

DDoS 的四大类别

虽然 DDoS 威胁环境在不断发生变化,但 F5 探究发现攻击类型仍为以下四种类型且具有以下特点:

  • 容量耗尽攻击 - 发生在第 3 层、第 4 层或第 7 层的大规模攻击。L3-4 层的攻击通常是 UDP 欺骗流量。
  • 非对称攻击 - 单方面或无状态 UDP 流量。
  • 算力攻击 - 旨在消耗 CPU 和内存的攻击,通常通过 TCP 在 L7 上进行。
  • 基于漏洞的攻击 - 利用软件漏洞实施的攻击。

防御机制发展已相对成熟,可以应对不同类别的机制,而且知名企业现已了解如何在特定安排中部署这些机制,以最大程度提高公司安全态势。通过与这些企业并肩合作并对其组件进行轻微调整,F5 开发了 DDoS 缓解推荐架构,可以适应具体数据中心规模,满足行业要求。

构建 DDoS 保护解决方案

以下 DDoS 防护参考架构基于知名的行业组件构建。有些可能由其他供应商和提供商提供,但有些为 F5 的特定组件。

DDoS 保护架构组件

图 1 将 DDoS 架构组件与其缓解的四种 DDoS 攻击类别进行映射。

攻击类别 缓解组件
容量

基于云的清理服务

清理中心(分布式/选播模型)

IP 信誉数据库

黑洞

Flowspec

非对称

基于云的清理服务

清理中心(分布式/anycast模型)

IP 信誉数据库

黑洞

Flowspec

计算

应用交付控制器

网络防火墙

Web 应用防火墙

基于漏洞

IP 信誉数据库

入侵防御/检测系统 (IPS/IDS)

应用交付控制器

Web 应用防火墙

图 1:DDoS 缓解组件与攻击类型的映射

基于云的 DDoS 清理服务

基于云的 DDoS 清理服务是任何 DDoS 缓解架构的关键组件。当攻击者在组织的 1 Gbps 入口点发送 50 Gbps 数据时,任何数量的本地设备都无法解决此问题。由真正的公有云或组织带宽服务提供商内部托管的云服务,通过择优去劣从而解决此问题。

DDoS 感知网络防火墙

长期以来,网络防火墙始终是外围安全的基石。然而,许多网络防火墙根本无法抵御 DDoS 攻击。事实上,许多热门的防火墙可以通过最简单的第 4 层攻击被禁用。如果防火墙无法识别和缓解攻击,单纯的吞吐量并不能解决问题。

对于基于第 3 层和第 4 层的安全控制设备,F5 建议架构师选择高容量的 DDoS 感知网络防火墙。具体来说,架构师应该寻求支持数百万(而非数千)的同时连接,并且能够在不影响合法流量的情况下防御各种攻击(如 SYN 洪水)。

应用交付控制器

应用交付控制器 (ADC) 能够提供网络中的战略控制点。当选择、配置和控制得当时,它们可以显著加强 DDoS 防御。例如,F5 ADC 的全代理属性可通过验证 HTTP 和 DNS 等常用协议,减少计算和基于漏洞的威胁。基于这些原因,F5 强烈推荐使用全代理 ADC。

Web 应用防火墙具有 DDoS 集成保护

Web 应用防火墙是更高级别的组件,它能够理解并执行应用的安全策略。该组件可以检测并缓解应用层攻击,无论是 HTTP 洪水容量耗尽攻击还是基于漏洞的攻击。某些供应商可提供 Web 应用防火墙。但对于有效的 DDoS 架构,F5 只推荐其开发的 Web 应用防火墙模块,原因如下:

  • F5 Web 应用防火墙可以提供额外服务,如防黑客攻击、Web 抓取防护和 PCI 合规。
  • F5 客户可以从使用 ADC 和 Web 应用防火墙的组合中受益,并且同时采用应用交付和应用安全策略。
  • F5 ADC 可以卸载和检查 SSL 流量。通过将其与 Web 应用防火墙相结合,客户可以在一台设备中整合 SSL 终止和加密有效负载的安全分析。

入侵检测和防御系统

入侵检测和预防系统 (IDS/IPS) 在缓解 DDoS 方面发挥重要作用。F5 建议,IDS/IPS 功能应仅仅部署在单一地点(例如,整合至第 4 层防火墙)。相反,IDS/IPS 应部署在战略实例中,处于可能需要特定额外保护的后端组件前,如数据库或特定 Web 服务器。IPS 并非 Web 应用防火墙的替代。保护基础架构和应用的安全类似于“剥洋葱”。IPS 旨在阻止顶层的攻击 - 协议,而 WAF 旨在为较低层(应用)提供保护。

IP 信誉数据库

IP 信誉数据库有助于防止 DDoS 攻击者利用已知的扫描器探测应用,以便日后进行利用和渗透,从而帮助抵御非对称拒绝服务攻击。IP 信誉数据库可由内部生成,也可来自外部订阅服务。F5 IP 信誉解决方案结合了来自开源情报 (OSINT)、F5 数据和第三方馈送的情报,以广泛覆盖恶意域。

多层 DDoS 防护架构

F5 建议采用云/本地混合 DDoS 解决方案。容量耗尽攻击将由 F5 Silverline DDoS Protection(通过 F5 Silverline 云基平台提供的服务)予以缓解。Silverline DDoS Protection 将分析并移除大部分攻击流量。

有时,DDoS 活动可能包括必须在本地解决的应用层攻击。这些非对称和算力攻击可以使用网络防御层和应用防御层予以缓解。网络防御层由 L3 和 L4 网络防火墙服务和对应用防御层的简单负载均衡组成。应用防御层由更复杂(以及 CPU 更密集型)的服务组成,包括 SSL 终止和 Web 应用防火墙堆栈。

F5 DDoS 防护混合参考架构图
图 2:F5 DDoS 防护混合参考架构图

对于 DDoS 防护架构中的本地部分,将网络防御和应用防御区别开来大有裨益。

  • 网络层和应用防御层可以独立进行扩展。例如,当 Web 应用防火墙使用量增长时,可在应用层中添加其他设备(或刀片)而不影响网络层。
  • 网络和应用防御层可以使用不同的硬件平台,甚至不同的软件版本。
  • 当新策略应用于应用防御层时,网络防御层只能将一部分流量引导至新策略,直到新策略得到完全验证。

F5 组件与功能

图 3 显示了提供特定功能所需的组件。DDoS 防护参考架构的 F5 组件包括:

  • Silverline DDoS Protection
  • BIG-IP® AFM™ (AFM)
  • BIG-IP® Local Traffic Manager™ (LTM)
  • BIG-IP® DNS™ 与 DNS Express™
  • BIG-IP® Advanced Web Application Firewall ™ (Advanced WAF)
  网络防御 应用防御 DNS

F5 组件

SilverLine DDoS

防护

BIG-IP AFM

BIG-IP LTM

BIG-IP LTM

BIG-IP Advanced WAF(API安全-新一代WAF)

BIG-IP DNS 与 DNS Express™

OSI 模型

第 3 层和第 4 层

第 3 层和第 4 层

第 7 层

DNS

功能

容量清理

流量仪表板

网络防火墙

第 4 层负载均衡

IP 拒绝列表

SSL 终止

Web 应用防火墙

二级负载均衡

DNS 解析

DNSSEC

缓解攻击

容量耗尽洪水

放大攻击

协议允许列表

SYN 洪水

ICMP 洪水

格式错误的数据包

TCP 洪水

已知恶意攻击者

Slowloris 攻击

Slow POST

Apache Killer

RUDY/Keep Dead

SSL 攻击

UDP 洪水

DNS 洪水

NXDOMAIN 洪水

NXNS

DNSSEC 攻击

图 3:F5 组件与 DDoS 缓解功能的映射

替代性、综合的本地保护措施

虽然多层架构在高带宽环境中更受欢迎,但 F5 深知,对许多客户而言,构建多个 DDoS 层可能会在低带宽环境中矫枉过正。这些客户目前正在部署 DDoS 缓解外围设备,将应用交付与网络和 Web 应用防火墙服务整合。

此处推荐的做法仍然适用。对网络和应用防御层的引用可以简单地应用于备用架构中的单一综合层。

使用 DDoS 保护架构维护可用性

容量防御云

每个组织都有可能遭遇大规模的 DDoS 容量耗尽攻击,这种攻击能够淹没其面向互联网的入口带宽容量。为了抵御这些攻击,它们可能会改变路由(使用 BGP 路由公告),将入站流量引导至高带宽数据中心,这些数据中心可以清除恶意流量,并将清除后的流量送回组织的源数据中心。

可能影响云 DDoS 提供商选择的因素包括抓取设施的地理位置、带宽容量、延迟、缓解时间和解决方案价值。如图 4 所示,DDoS 攻击的带宽消耗可能达到数百 Gbps,使基础机构面临完全不堪重负的危险。

某些情况下,当云抓取器在组织数据中心的附近无抓取中心时,传入请求可能额外需要一些时间。为了减少潜在延迟,MSP 和其他全球企业应利用战略性放置在其业务可能受到攻击影响的区域内的云抓取器。

容量与功能

保持可用性以抵御容量耗尽攻击取决于全球覆盖 - 北美、欧洲和亚洲的数据中心,以及全球容量的比特或每个中心的数百千兆比特。

各组织纷纷表示,只有在攻击活动后,才会实现云抓取器的真正价值。决定其满意度的问题包括:

  • 是否昂贵?
  • 误报的概率如何?
  • 我们能否察觉并控制合法流量的交付?

Always Available 或 Always On

组织可以使用 Silverline DDoS Protection Always Available 订阅,在检测到 DDoS 攻击时通过 F5 Silverline 路由流量。或者,Silverline DDoS Protection Always On 订阅可以随时通过 F5 Silverline 路由流量,以确保提升组织网络和应用的可用性。

部署模型

Silverline DDoS Protection 主要有两种部署模型:路由模型和代理模型。

路由模型适用于需要保护整个网络基础架构的企业。Silverline DDoS Protection 采用边界网关协议 (BGP),将所有流量路由到其抓取和保护中心,并利用通用路由封装 (GRE) 隧道/L2 VPN/Equinix Cloud Exchange 将清理后的流量送回源网络。路由模型是一种可扩展的设计,适用于具有大型网络部署的企业。它不需要任何特定应用配置,并且可以提供简单的选项来开启或关闭 Silverline DDoS Protection。

代理模型适用于需要保护应用免受批量 DDoS 攻击,但没有公共 C 类网络的企业。DNS 用于将所有流量路由到 F5 Silverline 抓取中心。清理后的流量通过公共互联网传送至应用源服务器。

Silverline DDoS Protection 使用的返回流量方式包括:

  • GRE 隧道。
  • Equinix Cloud Exchange。
  • L2 VPN。
  • 公共互联网。

容量耗尽攻击聚焦:放大攻击

图 4 显示,在 2019-2020 年,全球最大的 DDoS 攻击记录被多次打破。为了达到此类带宽消耗,这些攻击使用洪水攻击(如 ACK、NTP、RESET、SSDP、SYN 和 UDP)以及 TCP Anomaly、UDP Fragment 和 CLDAP Reflection 组合,从成千上万的不知情公共互联网帖文向目标受害者发送。

图 4:2020 年 DDoS 攻击新高度
图 4:2020 年 DDoS 攻击新高度

本地网络防御

网络防御层围绕网络防火墙而建立,旨在缓解算力攻击,如 SYN 洪水攻击和 ICMP 碎片洪水攻击。该层还能缓解容量耗尽攻击,甚至是缓解入口点的拥堵情况(通常为额定管道大小的 80% 至 90%)。许多组织在此层整合了他们的 IP 信誉数据库,并在 DDoS 攻击期间根据来源对 IP 地址加以控制。

某些组织通过第一层将 DNS 传递到 DMZ 中的 DNS 服务器。在这种配置中,通过适当的第 4 层控制,他们可以在将 DNS 数据包发送至服务器之前对其进行验证。

图 5:网络防御层防范网络层 DDoS 攻击
图 5:网络防御层防范网络层 DDoS 攻击

私有云防御

对于采用虚拟化优先策略的企业而言,如果没有专门的硬件,缓解针对其虚拟化基础架构的 DDoS 攻击可能是一项挑战。在 x86 COTS 服务器上运行的虚拟化安全解决方案往往缺乏定制设备的高性能属性,因此在许多情况下,几乎不可能有效缓解以软件为中心的 DDoS 攻击。

图 6:作为私有云 DDoS 防护参考架构一部分的 SmartNIC
图 6:作为私有云 DDoS 防护参考架构一部分的 SmartNIC

F5 应对这项挑战的解决方案利用新一代网络接口卡 (NIC),即 SmartNIC 来支持 BIG-IP AFM Virtual Edition (VE) 解决方案。通过在这些 SmartNIC 中编程嵌入式高性能 FPGA,以便在 DDoS 攻击到达 BIG-IP VE 和应用服务器之前对其进行检测和阻断,F5 能够阻断比任何类似的纯软件解决方案强大 300 倍的攻击,以确保应用始终在线。将 DDoS 缓解措施从 BIG-IP AFM VE 卸载至 SmartNIC,不仅可以释放 VE CPU 周期,以优化其他安全功能(如 WAF 或 SSL),还可以将 TCO 降低 47%。

算力 DDoS 攻击聚焦:缓解 TCP 和 SSL 连接洪水攻击

作为第 4 层攻击,TCP 连接洪水攻击可以影响网络上任何有状态设备,尤其是无法抵御 DDoS 的防火墙。攻击的目的是消耗每个有状态设备中流连接表的内存。通常这些连接洪水是空的真实内容。它们可以被添加到网络层的大容量连接表中,或通过全代理防火墙得到缓解。

SSL 连接洪水攻击是专门用来攻击终止加密流量的设备。由于必须维护的加密上下文,每个 SSL 连接可以消耗 50,000 至 100,000 字节的内存,使得 SSL 攻击特别艰难。

F5 推荐使用容量和全代理技术缓解 TCP 和 SSL 连接洪水攻击。图 7 显示了基于 F5 的网络防火墙的连接容量。

平台系列 TCP 连接表大小 SSL 连接表大小

VIPRION 机箱

1200 万 - 1.44 亿

100 万 - 3200 万

高端设备

2400 万 - 3600 万

250 万 - 700 万

中端设备

2400 万

400 万

低端设备

600 万

70 万 - 240 万

虚拟版(与 SmartNIC VE)

300 万

70 万

图 7:F5 硬件平台的连接能力

本地应用防御

应用防御层是 F5 建议部署应用感知、CPU 密集型防御机制的层,如登录页、Web 应用防火墙策略和使用 F5 iRules 的动态安全上下文。通常,这些组件将与该层的目标 IDS/IPS 设备共享机架空间。

这也是 SSL 终止通常发生的层。虽然有些组织在网络防御层终止 SSL,但由于 SSL 密钥的敏感性和禁止将其保留在安全外围的策略,这种情况不太常见。

图 8:Web 应用防火墙可防御应用层 DoS 攻击
图 8:Web 应用防火墙可防御应用层 DoS 攻击

非对称 DDoS 攻击聚焦:缓解 GET 洪水攻击

递归 GET 和 POST 是当今最严重的攻击之一。它们很难与合法流量区分开来。GET 洪水攻击会使数据库和服务器不堪重负,而且它们还可能导致“反向满管”。F5 记录了一个攻击者向受害者发送 100Mb 的 GET 查询,并得到了 20Gb 的数据。

缓解 GET 洪水的策略包括:

  • 登录页防御。
  • DDoS 保护配置文件。
  • 真实浏览器执行。
  • CAPTCHA。
  • Request-Throttling iRules。
  • 自定义 iRules。

这些策略的配置与设置可以在 F5 DDoS 推荐实践文档中找到。

DNS DDoS 缓解

DNS 是仅次于 HTTP 的第二大目标服务。当 DNS 遭到破坏时,所有外部数据中心服务(而不仅仅是单个应用)都会受到影响。这种单点完全失效的情况,再加上 DNS 基础架构往往准备不足,使得 DNS 成为攻击者的首要目标。

针对查询洪水,过度提供 DNS 服务

DNS 服务历来预配不足。相当比例的 DNS 部署都存在预配不足的情况,以至于其根本无法阻止中小型 DDoS 攻击。

DNS 缓存已呈现出常态化趋势,原因在于可以提升 DNS 服务的感知性能,并且可对标准 DNS 查询攻击提供一定程度的弹性。攻击者已经转向所谓的“域名不存在”(或 NXDOMAIN)攻击,这种攻击会迅速消耗缓存提供的性能优势。

为了解决此问题,F5 建议使用名为 F5 DNS Express™ 的特殊高性能 DNS 代理模块,对 BIG-IP DNS 域名服务进行前置。DNS Express 在现有的 DNS 服务器前完全充当解析器。从服务器加载区域信息,然后解析每一个请求或返回 NXDOMAIN。由于它并非缓存,所以不能通过 NXDOMAIN 查询洪水进行耗尽。

考虑 DNS 服务布局

通常情况下,DNS 服务作为独立于第一安全外围的一组设备存在。这样做法的目的是为了让 DNS 独立于它所服务的应用。例如,如果数据中心有一部分出现问题,DNS 可以将请求重定向到二级数据中心(或云端)。将 DNS 与安全层和应用层分开,可以成为保持最大灵活性和可用性的有效策略。

一些拥有多个数据中心的大型企业会联合使用 BIG-IP DNS 和 DNS Express 与 BIG-IP AFM 防火墙模块,在主要安全外围之外提供 DNS 服务。这种方法的主要好处在于,即使遇到网络防御因遭受 DDoS 而离线的情况,仍然可以使用 DNS 服务。

无论是在 DMZ 内部亦或外部提供 DNS 服务,均可以在 DNS 请求到达 DNS 服务器之前使用 BIG-IP DNS 或 BIG-IP AFM 对其进行验证。

参考架构用例

以下是参考架构的三个用例,这些用例映射到三个典型的客户场景:

  1. 托管服务提供商(移动或固网)
  2. 大型金融服务机构 (FSI) 数据中心
  3. 企业数据中心

以下每个用例都包含部署场景图、用例具体内容的简短描述以及该场景中推荐的 F5 组件。另请参见图 14,了解更多规模信息。

托管服务提供商 DDoS 防护参考架构(移动或固网)

MSP 数据中心的用例就是为各种应用提供安全保障,同时最大化数据中心资源的价值。投资回报率 (ROI) 对于 MSP 而言至关重要,如果可以,他们往往希望使用一台设备完成所有的工作,并且愿意在 DDoS 攻击期间离线。

对于此用例,MSP 会将所有的鸡蛋放在一个篮子里,获得最具成本效益的解决方案,但也将面临严峻的可用性挑战。

另一方面,通过将具有深厚知识的专业资源集中在一个平台,组织效率将得以提升。F5 提供的高可用性系统、大规模和卓越性能以及鼎力的支持,有助于进一步降低风险。

当然,节省资金是此整合架构的最大优势。出色的 DDoS 解决方案使用已在工作的设备,以便每天都能提供创收的应用。而综合环境则有助于节省机架空间、电力和管理。

地点 F5 设备

Silverline DDoS Protection:

Always On 订阅

Always Available 订阅

综合本地层

中高端 BIG-IP 设备对

许可插件:BIG-IP DNS

许可插件:Advanced WAF

许可插件:BIG-IP AFM

许可插件:BIG-IP Application Policy Manager (APM)

图 9:对 MSP 部署方案的规模建议

大型 FSI DDoS 防护参考架构

图 10:F5 DDoS 防护大型 FSI 数据中心部署方案图
图 10:F5 DDoS 防护大型 FSI 数据中心部署方案图

大型 FSI 方案

大型 FSI 数据中心方案为成熟且被广泛认可的 DDoS 保护用例。通常情况下,FSI 会有多个服务提供商,但可能会放弃这些提供商的容量 DDoS 产品,而选择另一种抓取服务。其中许多提供商还可能拥有备份云抓取器,作为防止其主要云抓取器无法缓解 DDoS 容量耗尽攻击的保险政策。

FSI 数据中心内部往往很少有企业人员,因此不需要下一代防火墙。

除联邦军事机构,金融情报机构拥有最严格的安全策略。例如,几乎所有 FSI 都必须在整个数据中心对有效负载进行加密。FSI 拥有互联网上价值最高的资产类别(银行账户),因此它们经常成为 DDoS 和黑客攻击的目标。双层本地架构使 FSI 组织能够在应用层扩展其 CPU 密集型的全面安全策略,而不受网络层投资的影响。

该用例使 FSI 能够制定抵御 DDoS 的解决方案,同时保留(实际上是利用)他们已有的安全设备。网络防御层的防火墙继续执行其工作,而应用防御层的 BIG-IP 设备则继续预防违规行为。

地点 F5 设备

Silverline DDoS Protection:

Always On 订阅

Always Available 订阅

网络层

VIPRION 机箱(对)

VIPRION 插件:BIG-IP AFM

应用层

中端 BIG-IP 设备

许可插件:Advanced WAF

DNS

中端 BIG-IP 设备(对)

图 11:对 FSI 部署方案的规模建议

企业 DDoS 防护参考架构

图 12:F5 DDoS 防护企业数据中心部署方案图
图 12:F5 DDoS 防护企业数据中心部署方案图

企业客户方案

企业 DDoS 抵御方案与大型 FSI 方案类似。主要区别在于,企业在数据中心内部确实有工作人员,因此需要下一代防火墙 (NGFW) 服务。他们可能会在入口和出口都使用单一的 NGFW,但如此会使他们容易受到 DDoS 攻击,因为 NGFW 并非为处理不断演变或多载体的 DDoS 攻击而设计。

F5 建议企业从 F5 Silverline 这样的云抓取器中获得对 DDoS 容量耗尽攻击的保护。在本地,建议的企业架构包括位于与入口应用流量分开路径上的小型 NGFW。通过使用网络防御层和应用防御层,企业可以充分利用非对称扩展的优势,如果他们发现 CPU 很紧张,就可以添加更多的 F5 WAF 设备。

不同的垂直行业和公司拥有不同的要求。通过在这两层使用 F5 设备,企业架构使客户能够决定在何处对 SSL 流量进行解密(并可选择重新加密)最合理。例如,企业可以在网络防御层对 SSL 进行解密,并将解密后的流量镜像到正在监测高级威胁的网络分流器。

地点 F5 设备

Silverline DDoS Protection:

Always On 订阅

Always Available 订阅

网络层

高端 BIG-IP 设备(对)

许可插件:BIG-IP AFM

应用层

中端 BIG-IP 设备

许可插件:Advanced WAF

DNS

中端 BIG-IP 设备(对)

图 13:对企业客户部署方案的规模建议

规模规范

图 14 显示了可满足企业扩展需求的 F5 硬件设备的规格。

  吞吐量 SYN 洪水(每秒) ICMP 洪水 HTTP 洪水(JavaScript 重定向) TCP 连接 SSL 连接

VIPRION 2400 4-刀片机箱

160 Gbps

1.96 亿

100 Gbps

350,000 RPS

4800 万

1000 万

10200V 设备

高端设备

80 Gbps

8000 万

56 Gbps

175,000 RPS

3600 万

700 万

7200V 设备

中端设备

40 Gbps

4000 万

32 Gbps

131,000 RPS

2400 万

400 万

5200v 设备

低端设备

30 Gbps

4000 万

32 Gbps

131,000 RPS

2400 万

400 万

图 14:F5 针对 DDoS 防护的硬件规格。具体建议请参见用例。

结论

此建议的 DDoS 防护参考架构借鉴了 F5 与客户共同抵御 DDoS 攻击的长期经验。服务提供商逐渐体验到综合措施带来的成功。全球金融服务机构正认识到,建议的混合架构代表了他们所有安全控制的理想位置。企业客户也在围绕此架构重新安排和架构他们的安全控制。在可预见的未来,混合 DDoS 防护架构应继续提供架构师对抗现代 DDoS 威胁所需的灵活性和可管理性。