hub do fabricante
F5
Tudo que existe no ronutz.com para F5, em um só lugar: todas as ferramentas, agrupadas por família, seguidas de todos os artigos. As ferramentas computam localmente no seu navegador; os artigos são fundamentados na documentação do fabricante.
Ferramentas (38)
BIG-IP LTM - Local Traffic Manager
Decodificador de cookie de persistência BIG-IP
Decodifique um cookie de persistência BIGipServer da F5 no IP e porta do membro do pool, ou gere um cookie a partir de um endereço e porta. Roda inteiramente no seu navegador.
RedesExplicador de cipher string do F5
Cole uma cipher string do F5 BIG-IP e veja cada palavra-chave e operador explicado, além de uma análise de segurança, tudo no seu navegador.
TLS e transporteExplicador de métodos de persistência
Cole perfis de persistência e virtual servers do BIG-IP e veja o método por trás de cada um, seus modos de falha e a cadeia de primário para fallback, tudo no seu navegador.
RedesExplicador de perfil SSL do F5
Cole um perfil client-ssl ou server-ssl do tmsh e veja o papel dele, a matriz de protocolos TLS e uma análise de segurança cobrindo cadeia, renegociação, SNI, OCSP e TLS mútuo — tudo no seu navegador.
TLS e transporteExplicador de perfis de protocolo L4 do LTM
A decisão de perfis de protocolo em cartões: o tcp full-proxy com todos os recursos, os quatro f5-tcp-* vivos que a F5 atualiza continuamente (somente leitura, ajustados via perfis filhos) versus o trio legado -optimized congelado, o caminho de pacotes PVA do FastL4 com o par loose para roteamento assimétrico, e o caso HTTP estreito-mas-rápido do FastHTTP com sua lista completa de critérios de uso e o K8024 como leitura obrigatória.
RedesExplicador de source-mask do OneConnect
Cole um profile one-connect para a auditoria completa das opções com a semântica e os padrões da própria man page, ou simule uma máscara contra IPs reais de clientes e veja os grupos de reuso se formarem. A demonstração principal: o SNAT traduz primeiro, então um único endereço SNAT colapsa todos os clientes em um só grupo de reuso, não importa quão estreita seja a máscara.
RedesSeletor de métodos de balanceamento
Cole um ltm pool e veja o método de balanceamento explicado nos termos da própria F5, com verificações cruzadas contra o resto do pool, ou responda duas perguntas e receba uma recomendação com fontes. Tudo no seu navegador.
Redes
iRules
Calculadora de runtime de iRules
Transforme estatísticas de timing de iRules em tempo real de execução, custo de CPU por requisição e máximo de requisições por segundo.
RedesClassificador iRules vs LTM policy
Por bloco when, um veredito honesto: exprimível em uma LTM policy (com um esboço de migração na gramática dos próprios exemplos do fabricante), verifique na sua versão, ou iRule obrigatória com os bloqueadores nomeados. Policies são a camada sem programação; esta ferramenta diz quais blocos pertencem a ela.
RedesExplicador da ordem de eventos de iRules
Escolha o conjunto de perfis de um virtual server do BIG-IP — Client-SSL, HTTP, Server-SSL, pool — e veja a ordem em que os eventos de iRule comuns disparam, de CLIENT_ACCEPTED a CLIENT_CLOSED, como linha do tempo e lista. Tudo no seu navegador.
RedesExplicador de comando-contexto de iRules
Cole uma iRule: cada bloco when explicado com a descrição oficial do evento, seus comandos inventariados e vinculados, a ordem de avaliação por priority documentada, e uma auditoria de CMP que captura as construções que rebaixam seu virtual server para um único TMM.
RedesLinter de desempenho de iRules
Cole um iRule; ele sinaliza anti-padrões de desempenho documentados pela F5 linha por linha, com severidade, causa e correção. O principal: variáveis globais demovem o CMP. Local, sem rede.
Redes
TMOS - Traffic Management Operating System · F5OS · Plataformas
Calculadora de cadência de lançamentos da F5
A F5 passou para uma cadência de segurança mensal em julho de 2026. Isto calcula as próximas datas de lançamento endurecido e de notificação de segurança para você planejar janelas de patch. Local, sem rede.
RedesCalculadora de threads do BigD
Informe a contagem de vCPUs (e se o sistema é hyperthreaded) para obter a quantidade de threads do BigD que o BIG-IP 21.1 deriva automaticamente, pelas fórmulas documentadas da F5, além do teto do bigd.numprocs e do limite de 15.000 monitores.
RedesConstrutor de tcpdump para BIG-IP
Monta um comando tcpdump correto para o BIG-IP a partir de opções estruturadas: a sintaxe de interface da TMM, o nível de detalhe de fluxo, o snaplen, a gravação em arquivo e um filtro BPF. Ele formata o comando para você executar; não captura nada.
RedesExplicador de configuração tmsh
Cole um trecho de bigip.conf do BIG-IP e receba uma explicação em português de cada objeto, além da estrutura, totalmente no seu navegador.
RedesExplicador de licença F5 BIG-IP
Cole o seu /config/bigip.license, arquivo completo ou um trecho, e receba uma leitura em linguagem clara: tipo de gerenciamento, datas de licenciamento com o veredito de upgrade da K7727, Registration Key e plataforma, módulos ativos e opcionais, restrições e tokens de recursos. Roda inteiramente no seu navegador.
RedesExplicador de packet filters do BIG-IP
Cole regras net packet-filter para a caminhada de primeira correspondência ordenada com a semântica do próprio man page, detecção de sombreamento, e o contexto de plataforma dentro do qual cada decisão de filtro vive. Adicione uma linha sim: e um simulador honesto de três estados responde qual regra casa com seu pacote.
RedesService check date do F5
Informe uma versão do BIG-IP para obter a service check date mínima que a licença precisa ter, ou informe uma service check date para ver a versão mais recente para a qual você pode atualizar. Baseado na tabela pública de License Check Date da F5 (K7727); roda inteiramente no seu navegador.
Redes
BIG-IP DNS (antigo GTM - Global Traffic Manager)
Explicador do fluxo de decisão GSLB
A decisão em duas camadas do BIG-IP DNS, explicada: seleção de pool no wide IP, depois a cadeia preferred, alternate e fallback dentro do pool, com a gramática validada e as regras do manual verificadas.
RedesExplicador do protocolo iQuery
Decodifique a saída do iqdump do F5 BIG-IP DNS e as mensagens iQuery do /var/log/gtm, ou explique a arquitetura do iQuery (malha, porta 4353, confiança SSL, iqdump, gtmd, big3d). Roda localmente.
RedesPontuador longest-match de topologia GTM
Decisões de topologia computadas como o BIG-IP DNS computa: a ordenação Longest Match com justificativa por registro, a caminhada de pontuação com sombreamento exibido, maior pontuação vence, empates em round robin.
Redes
F5 AWAF - Advanced WAF (antigo BIG-IP ASM - Application Security Manager)
Estimador de envenenamento do aprendizado automático do AWAF
Quantas requisições um atacante precisa para abrir um buraco na sua política do BIG-IP Advanced WAF quando o Policy Builder fica em aprendizado automático sobre tráfego não confiável? Informe seus limites de Loosen e os recursos do atacante; a ferramenta calcula o mínimo de fontes, requisições e tempo para forçar um afrouxamento automático, e barra os casos que o tornam impossível. Roda inteiramente no seu navegador.
Segurança e WAFExplicador de política declarativa do AWAF
Cole uma política de segurança declarativa do BIG-IP Advanced WAF (JSON) e receba uma leitura seção por seção, em linguagem clara e fundamentada no schema publicado pela F5, com alertas de segurança que interpretam os valores: enforcement transparent significa somente monitoramento, além de staging de assinaturas, Data Guard desligado e cookies sem Secure ou HttpOnly. Roda inteiramente no seu navegador.
Segurança e WAFExplicador de técnicas de evasão do AWAF
Digite o nome de uma subviolação ou "evasions" para as oito subviolações de evasão do F5 explicadas, cada uma com seu padrão e o truque de codificação que ela detecta, ou cole o bloco evasions de uma política declarativa de WAF para ler cada uma como habilitada ou desabilitada, com a contagem de passes do Multiple decoding. Baseado no F5 K7929; roda inteiramente no seu navegador.
Segurança e WAFInterpretador de accuracy/risk de signature do AWAF
Leia a Accuracy e o Risk publicados de uma attack signature e ela diz o quão propensa a falso positivo é, o quão danoso um match real seria, e a jogada de ajuste. O F5 define accuracy como suscetibilidade a falso positivo, então accuracy baixa significa muitos falsos positivos. Roda inteiramente no seu navegador.
Segurança e WAFInterpretador de sugestão de aprendizado do AWAF
Conecta o estimador de envenenamento e a triagem de falso-positivo. Caracterize uma sugestão do Traffic Learning e ela diz se aceitá-la afrouxa ou aperta a política, se um afrouxamento é uma correção de falso positivo ou uma relaxação de segurança, e se o aprendizado Automático está prestes a fazer enforcement por você. Roda inteiramente no seu navegador.
Segurança e WAFTriagem de falso-positivo do AWAF
O outro lado do estimador de envenenamento: relaxe um falso positivo genuíno do Advanced WAF corretamente, com escopo, e pare antes de relaxar um ataque real. Escolha uma categoria de violação, seu violation rating médio, e se está enforced, staged ou transparent, e obtenha o veredito baseado em rating do F5 e a correção com escopo. Roda inteiramente no seu navegador.
Segurança e WAFTriagem de request-log do AWAF
Cole uma entrada de request-log do ASM (syslog key-value ou CEF) e ela extrai a política, o support ID para correlação de log, o status da requisição, o violation rating, o IP do cliente, método e URI, classifica cada violação, e dá o veredito baseado em rating do F5, depois faz a ponte para a ferramenta de triagem de falso-positivo. Roda inteiramente no seu navegador.
Segurança e WAFVerificador de brecha por diff de política do AWAF
Cole uma política declarativa de WAF antes e depois e ela classifica cada mudança relevante para segurança como afrouxamento ou aperto, e responde a pergunta que importa depois do ajuste: isto abriu uma brecha? Sinaliza afrouxamentos que ampliam a proteção além de uma única entidade em contraste com um allow de entidade única devidamente delimitado. Roda inteiramente no seu navegador.
Segurança e WAF
BIG-IP AFM - Advanced Firewall Manager
Explicador de contexto e regras do AFM
Caminhe um pacote pela ordem de contextos documentada do AFM e veja a semântica que decide resultados reais: accept passa um contexto e o tráfego é processado de novo no próximo, só accept-decisively encerra a caminhada, regras de ICMP em um virtual server ou self IP são ignoradas, e policies em staging registram sem aplicar. Uma policy sozinha recebe a auditoria de regras redundantes e conflitantes que o próprio sistema define.
RedesExplicador de vetores DoS e perfis AFM
Cada vetor DoS do AFM explicado nas palavras da própria F5, com a mecânica de limiares detalhada e a configuração verificada: a inversão silenciosa de mitigação abaixo da detecção, a semântica do modo automático, policiamento sem detecção e a interação com SYN cookies. Somente configuração defensiva.
Redes
BIG-IP Zero Trust Access (antigo BIG-IP APM - Access Policy Manager)
Explicador de métodos SSO do APM
Os oito métodos de SSO que o próprio capítulo do APM define, cada cartão carregando o veredito que decide indisponibilidades: um objeto SSO mal configurado de qualquer método não-formulário pode desabilitar o SSO de todos os métodos naquela sessão do usuário; Form Based e Forms - Client Initiated são os únicos isentos. O Kerberos entrega sua lista completa de pré-requisitos, incluindo a linha que vale emoldurar: o Kerberos SSO do APM não precisa nem usa um arquivo keytab.
Identidade e tokensReferência de variáveis de sessão do APM
O capítulo de Session Variables como uma consulta ciente de padrões: cole session.ad.last.attr.memberOf e ele resolve contra os próprios templates do capítulo, cole uma expressão mcget e cada referência dentro dela é explicada com a auditoria de variáveis seguras junto, a clássica armadilha do valor vazio nomeada com exatidão: um mcget puro em session.logon.last.password volta vazio, porque variáveis seguras exigem -secure.
Identidade e tokens
Automação e Integração
Explicador de declaração AS3
Cole o JSON que você faz POST em /mgmt/shared/appsvcs/declare e ele o lê de volta: se é uma requisição AS3 completa ou uma declaração apenas ADC, o schemaVersion e os metadados, e a árvore Tenant para Application para recurso com cada classe explicada, verificando as regras estruturais que o F5 documenta. Roda inteiramente no seu navegador.
RedesExplicador de Telemetry Streaming (TS)
Cole o JSON que você faz POST em /mgmt/shared/telemetry/declare e ele lê de volta para você: confirma a classe de topo Telemetry, lê o Controls opcional, e percorre cada objeto de classe agrupado pelo seu papel no pipeline de telemetria: as fontes de dados que produzem telemetria (system pollers, event listeners), os consumidores que a encaminham para fora (Splunk, Azure, AWS, DataDog, Prometheus e o resto do catálogo), e as classes de agrupamento e endpoint. Ele sinaliza as lacunas de pipeline que fazem uma declaração ter sucesso mas não fazer nada. O TS é a terceira extensão do F5 Automation Toolchain: o AS3 e o DO configuram a caixa, o TS a observa.
RedesExplicador e validador de declaração DO
Cole o JSON que você faz POST em /mgmt/shared/declarative-onboarding e ele lê de volta para você: se é um wrapper de requisição DO ou uma declaração Device pura, as opções de topo, e os objetos de classe do tenant Common agrupados pela fase em que o DO os provisiona, com cada classe nomeada e explicada. Também verifica as regras estruturais que a F5 documenta e sinaliza as pegadinhas que mordem em produção, da mudança do padrão de allowService no DO 1.36 a um usuário root sem seu oldPassword. O DO é o irmão do AS3: o DO faz o onboarding de L1-L3, o AS3 os serviços de L4-L7.
Redes
Artigos (97)
BIG-IP LTM - Local Traffic Manager
As Quatro Codificações de Cookie do BIG-IP, Byte a Byte
Um passo a passo preciso pelas quatro formas sem criptografia do cookie de persistência do BIG-IP: IPv4 padrão com seus bytes de endereço invertidos e porta com bytes trocados, IPv4 e IPv6 em route domains, e a forma IPv6, cada uma com uma decodificação resolvida.
Segurança e WAFLerCertificados, Chaves e Construção de Cadeia num Perfil SSL
Um perfil client-ssl vincula um certificado de servidor à sua chave privada e, de forma crucial, a um bundle de cadeia que permite aos clientes construir um caminho até uma raiz confiável. O construto moderno cert-key-chain também permite que um perfil sirva vários tipos de certificado, escolhidos por cliente — a base de implantações RSA-mais-ECDSA e SNI.
Certificados e PKILerCipher Rules, Cipher Groups do F5 e Por Que a Expansão É Específica de Versão
O BIG-IP v13 substituiu as cipher strings editadas à mão por cipher rules e cipher groups, um modelo mais legível onde as rules guardam strings e os groups as combinam com permitir, restringir e excluir. A lista final e ordenada de suites ainda vem da base de cifras específica de cada TMOS, e é por isso que a mesma string expande de forma diferente entre versões.
TLS e transporteLerCiphers TLS 1.3 e TLS 1.2 no BIG-IP
O TLS 1.3 mudou o que é uma cipher suite, e por isso o BIG-IP trata 1.3 e 1.2 de formas diferentes. Uma suite 1.2 agrupa troca de chaves, autenticação e a cifra em massa; uma suite 1.3 nomeia apenas a cifra em massa e o hash. Saber disso explica por que keywords antigas de cipher string não direcionam o 1.3.
TLS e transporteLerCookies de Persistência do BIG-IP: O Que São e Por Que Vazam
Por que um F5 BIG-IP insere um cookie BIGipServer, o que a persistência por cookie faz, o que o valor do cookie realmente codifica e por que a forma padrão, sem criptografia, entrega um endereço interno e uma porta a qualquer um que leia a resposta.
Segurança e WAFLerEscolhendo um Método de Persistência (e Seus Modos de Falha)
A maioria das necessidades de persistência é atendida pela afinidade de endereço de origem ou pela persistência por cookie, mas ambas têm modos de falha bem conhecidos: a afinidade de origem desmorona atrás de NAT, e os cookies precisam de HTTP. Saber onde cada método falha é o que transforma uma escolha padrão em uma escolha deliberada.
RedesLerEspelhamento de persistência em um par HA
Os registros de persistência vivem na memória do BIG-IP ativo. Em um failover, o standby assume as conexões, mas a menos que a persistência tenha sido espelhada para ele, ele não conhece os mapeamentos cliente-member existentes, e clientes podem ser rebalanceados no meio da sessão. O espelhamento troca um pouco de overhead por sessões grudentas que sobrevivem ao failover.
RedesLerFallback de Persistência e as Configurações Match-Across
Um virtual server pode carregar dois métodos de persistência, um primário e um fallback usado quando o primário não encontra registro, e três configurações match-across que decidem quão amplamente um registro de persistência é compartilhado. Ambos são fáceis de configurar errado de formas que só aparecem sob carga.
RedesLerFechando o Vazamento: Criptografia de Cookie no BIG-IP
Como impedir que um cookie de persistência do BIG-IP divulgue endereços internos criptografando-o, como fica o valor criptografado, as opções relacionadas de hash e nome de cookie, e os compromissos de cada uma.
Segurança e WAFLerHabilitando e Desabilitando Versões do TLS com o Campo options
O campo options de um perfil SSL é uma lista de flags, e as flags de protocolo funcionam por SUBTRAÇÃO: uma versão do TLS é oferecida a menos que uma flag no- correspondente a desabilite. Essa lógica de 'desabilitar, não habilitar' é uma fonte frequente de surpresa, e é onde mora a higiene de TLS 1.0/1.1.
TLS e transporteLerImpondo Forward Secrecy no F5 BIG-IP
Forward secrecy não é uma caixa de seleção no BIG-IP; é uma consequência da configuração de cifras num perfil SSL. Este artigo mostra como as cipher rules e os cipher groups do BIG-IP controlam se o conjunto negociado usa uma troca de chaves efêmera (ECDHE/DHE) ou RSA estático, por que a preferência de cifra do lado servidor importa, e como o TLS 1.3 remove a escolha. Ele encerra com como a Fortinet e o Netskope impõem a mesma propriedade.
TLS e transporteLerLendo uma Cipher String do F5
Uma cipher string do F5 é uma lista ordenada de conjuntos de cifras separados por dois-pontos, onde cada conjunto combina palavras-chave com um sinal de mais e um operador inicial pode excluir, remover ou rebaixar a prioridade. Quando você consegue ler a gramática, uma string densa como ECDHE:RSA:!SSLv3:@STRENGTH torna-se um conjunto claro de instruções.
TLS e transporteLerMétodos de balanceamento do BIG-IP, e o que cada um pondera
O load-balancing-mode de um pool decide quem recebe a próxima conexão, e o BIG-IP documenta 19 deles. Eles diferem em dois eixos: se reagem ao estado dos servidores, e o que exatamente ponderam quando reagem, conexões, sessões, velocidade de resposta ou medições de monitores.
RedesLerMétodos de Persistência do BIG-IP e em Que Cada Um se Baseia
O BIG-IP oferece vários métodos de persistência, e a única coisa que têm em comum é o objetivo: enviar um cliente que retorna ao mesmo membro do pool. Aquilo em que cada um se baseia, cookie, endereço de origem, ID de sessão SSL ou um valor extraído por iRule, decide onde cada um se encaixa e onde cada um falha.
RedesLerMétodos e configurações de persistência por cookie no BIG-IP
Além do que um cookie de persistência do BIG-IP contém, há a questão de como ele chega lá. O BIG-IP oferece quatro métodos de cookie, insert, rewrite, passive e hash, e um conjunto de opções de profile para o nome, o tempo de vida e as flags de segurança do cookie. Elas decidem o comportamento operacional do cookie, separado do seu valor codificado.
Segurança e WAFLerO Que um Cookie do BIG-IP Conta a um Atacante
O cookie de persistência é um caso clássico de divulgação de informação: revela endereços IP internos, portas, tamanho do pool e route domains a qualquer cliente. Por que isso importa para reconhecimento, como scanners coletam o cookie e como pensar sobre o risco.
Segurança e WAFLerOneConnect: Reuso É um Problema de Agrupamento, e o SNAT Reescreve os Grupos
O OneConnect estaciona conexões ociosas do lado servidor e as entrega à próxima requisição elegível. A source mask define elegível, de 0.0.0.0 compartilhando entre todos os clientes a uma máscara de host mantendo o reuso por cliente. A pegadinha que ambos os artigos K declaram: o SNAT traduz primeiro, a máscara vê apenas o endereço traduzido, então um endereço SNAT significa um grupo.
RedesLerOrdenação e negociação de ciphers no BIG-IP
Uma cipher string expandida é uma lista ordenada, e a ordem não é cosmética: com preferência de servidor, o BIG-IP escolhe o primeiro cipher da sua própria lista que o cliente também suporta. Isso torna a posição de cada cipher um controle de segurança real, que é por que a expansão os mostra em ordem.
TLS e transporteLerPerfis Client SSL e Server SSL no BIG-IP
Um BIG-IP pode ficar no meio de uma conexão TLS e descriptografá-la. Um perfil client-ssl faz o BIG-IP ser o servidor TLS para o cliente; um perfil server-ssl o faz ser o cliente TLS para o pool. Saber qual lado cada perfil controla é a chave para designs de offload, bridging e recriptografia.
TLS e transporteLerPerfis de Protocolo: TCP Vivo, TCP Congelado e os Dois Caminhos Rápidos
O menu de tcp esconde três decisões. O anúncio do 13.0 da F5 dividiu a família full-proxy em perfis vivos que ela atualiza continuamente (somente leitura, ajustados via filhos) e um trio legado congelado que ainda é distribuído. O FastL4 troca o proxy por um caminho de pacotes em hardware, e o FastHTTP é o caso HTTP estreito que precisa passar em todos os critérios da sua lista.
RedesLerPersistência por endereço de origem e o problema do mega-proxy
A persistência por endereço de origem fixa um cliente a um pool member pelo seu IP, o que é simples e agnóstico de protocolo mas frágil na internet moderna. NATs grandes fazem muitos clientes parecerem um só, e clientes móveis mudam de endereço no meio da sessão. Ambos quebram a premissa da qual o método depende.
RedesLerQuais Palavras-Chave de Cifra TLS São Seguras e Quais Não São
A diferença entre uma cipher string robusta e uma perigosa é um punhado de palavras-chave. A forward secrecy vem de ECDHE e DHE; os riscos vêm de RC4, 3DES, SSLv3, EXPORT, NULL e DH anônimo. Conhecer a lista curta permite ler a segurança de uma cipher string num relance.
TLS e transporteLerRenegociação, Renegociação Segura e OCSP Stapling
Três configurações do perfil SSL moldam a segurança do handshake depois da primeira mensagem: renegotiation decide se uma conexão pode renegociar, secure-renegotiation impõe a proteção da RFC 5746, e ocsp-stapling permite que o BIG-IP anexe uma prova de revogação fresca para que os clientes não precisem ligar para a CA.
TLS e transporteLerTLS Mútuo com peer-cert-mode
A maior parte do TLS prova o servidor ao cliente. O TLS mútuo também prova o cliente ao servidor, e num BIG-IP isso é trabalho do peer-cert-mode mais um bundle de CA confiável. A lacuna a observar é a diferença entre solicitar um certificado de cliente e de fato exigir e validar um.
Certificados e PKILerTLS pós-quântico no BIG-IP: híbridos ML-KEM do 17.5 ao 21.1
A história pós-quântica do BIG-IP é uma linhagem: a troca de chaves híbrida X25519MLKEM768 chegou na era do 17.5.0, e o 21.1.0 completa a família de curvas NIST com SecP256r1MLKEM768 e SecP384r1MLKEM1024, no TLS do lado do cliente e do lado do servidor, conforme o FIPS 203. Ao redor, o 21.1 torna o lado clássico mais rápido e mais estrito: aceleração de hardware do X25519 via Intel QAT ligada por padrão, perfis SSL pai com padrão TLS 1.3 e DTLS 1.2, nonce em requisições OCSP e melhorias no C3D. Aqui está o que cada peça significa e como implantar sem quebrar um único cliente legado.
RedesLerTráfego de IA no BIG-IP: MCP de perfis a persistência e proteção
O BIG-IP 21.0 ensinou o TMOS a falar Model Context Protocol com perfis HTTP, JSON e SSE; o 21.1 o tornou fluente, com um perfil de persistência nativo aimcp que prende uma sessão de IA a um backend usando um Mcp-Session-ID encapsulado e criptografado, e um template de política MCP Protection no Advanced WAF mirando o OWASP MCP Top 10: tool poisoning, exposição de segredos e injeção. Aqui está o que cada peça faz, verificado contra as release notes e manuais da F5, incluindo a ressalva que importa: respostas em streaming SSE não passam pela inspeção do lado da resposta.
RedesLer
iRules
CMP: Os Núcleos Que Você Pagou, e as Linhas de iRule Que os Devolvem
O clustered multiprocessing roda um TMM por núcleo e espalha os fluxos entre eles. Um virtual server rebaixado roda tudo no TMM0. A lista de rebaixamento é curta e documentada: variáveis globais acima de tudo, com static:: como cura, mais duas armadilhas por TMM (chaves em RULE_INIT, perfis de estatísticas) que não rebaixam mas quebram premissas em silêncio.
RedesLerDesempenho de iRules: ciclos, timing e a calculadora de runtime
Como os iRules realmente executam dentro do TMM (um interpretador Tcl que compila para bytecode), o que o comando timing mede, por que a média de ciclos é o número confiável e o máximo é descartado, e como transformar ciclos em tempo real de execução, custo de CPU por requisição e máximo de requisições por segundo.
RedesLerEventos de Handshake SSL em iRules
Os perfis Client-SSL e Server-SSL adicionam seus próprios eventos de iRule em torno do handshake TLS. CLIENTSSL_CLIENTHELLO dispara antes de o handshake concluir, o que torna possível a seleção de perfil e pool baseada em SNI; CLIENTSSL_HANDSHAKE dispara depois. O lado Server-SSL os espelha na conexão com o pool.
TLS e transporteLerFastL4 vs Standard: Quais Eventos de iRule Você Tem
Um virtual server Standard é um proxy TCP completo e expõe o conjunto rico de eventos de iRule L7 e SSL. Um virtual server FastL4 é um caminho rápido baseado em pacotes, otimizado para throughput, e deliberadamente abre mão da maioria desses eventos. Escolher o perfil é escolher quais eventos existem.
RedesLeriRules, CMP e o namespace static::
O Clustered Multiprocessing espalha o tráfego de um servidor virtual por todos os TMMs, mas um construto desfaz isso silenciosamente: uma variável global demove o virtual para um único núcleo. É por isso que globais estão descontinuadas, o que o namespace static:: e os data groups fazem no lugar, e como o RULE_INIT amarra tudo.
RedesLeriRules: escolhendo entre if, switch, class match e arrays static
Quando um iRule precisa comparar um valor com muitos e agir, há quatro ferramentas comuns: if encadeado, switch, um data group com class match, e um array static:: indexado diretamente. A F5 de fato ordenou essas opções por velocidade. Aqui está essa ordem, e as duas perguntas que decidem qual usar.
RedesLerLaços e listas em iRules, e por que eles bloqueiam
iRules suportam foreach, for e while, e a maioria dos comandos de lista do Tcl. Mas laços rodam em linha em um TMM de thread única, então um laço grande por requisição trava aquela conexão. Aqui está qual laço usar, quais comandos de lista você realmente tem, e por que o foreach é o primeiro a buscar.
RedesLerLado Cliente vs Lado Servidor em iRules
Um virtual server do BIG-IP é um proxy completo: ele mantém uma conexão separada com o cliente e com o membro do pool. Os eventos de iRule rodam em um contexto ou no outro, e comandos como IP::remote_addr retornam coisas diferentes dependendo do lado em que você está. Conhecer essa fronteira evita toda uma classe de bugs confusos.
RedesLerO Que Faz um Evento Disparar: Provisionamento e Perfis
Um evento de iRule só está disponível se duas coisas se alinharem: o módulo ao qual ele pertence está provisionado, e o perfil que o produz está anexado ao virtual server. Alguns eventos precisam de um terceiro ingrediente — um comando collect explícito. Especifique um evento cujos pré-requisitos faltam e não há erro; ele simplesmente nunca dispara.
RedesLerOrdem de Eventos de iRule: O Ciclo de Vida da Conexão
iRules são orientadas a eventos, e os eventos disparam em uma ordem fixa conforme o BIG-IP processa uma conexão: aceitar o cliente, concluir o handshake TLS do cliente, analisar a requisição, escolher um membro do pool, conectar a ele, concluir o handshake TLS do servidor, enviar a requisição, ler a resposta, encerrar. Conhecer essa ordem é a diferença entre uma iRule que funciona e uma que dá erro.
RedesLerPrioridade de iRule e Múltiplas Regras
A ordem de eventos governa quais eventos disparam e quando. O comando priority governa algo diferente: quando várias iRules (ou vários handlers) escutam o mesmo evento, qual roda primeiro. A prioridade padrão é 500, números menores rodam mais cedo, e acertar isso importa quando a saída de uma regra alimenta outra.
RedesLerProcedimentos em iRules: código reutilizável com proc e call
Desde o BIG-IP 11.4, um iRule pode definir um bloco de código uma vez como um procedimento e chamá-lo de qualquer lugar, inclusive de outros iRules que não estão anexados a nenhum servidor virtual. Aqui está como proc e call funcionam, como argumentos e padrões são declarados, e a única regra de namespace que confunde todo mundo.
RedesLer
TMOS - Traffic Management Operating System · F5OS · Plataformas
A Anatomia de um Arquivo bigip.conf
Todo objeto de uma configuração BIG-IP segue a mesma forma: um módulo, um componente, um tipo opcional, um nome e um corpo delimitado por chaves. Quando você enxerga esse padrão, uma parede de configuração tmsh vira uma árvore legível de virtual servers, pools, monitores e perfis.
RedesLerA cadência mais rápida da F5: lançamentos endurecidos e notificações de segurança mensais
Em 6 de julho de 2026 a F5 mudou de uma cadência trimestral para mensal de lançamentos de segurança: lançamentos de software endurecido na terceira quarta-feira de cada mês a partir de 15 de julho, e notificações de segurança um mês depois começando em 19 de agosto. Aqui está exatamente o que mudou, por que a F5 diz que mudou, o que permanece igual, e o que isso significa para como você aplica patches.
RedesLerA história operacional do BIG-IP 21.x: upgrade in-place, plano de controle 64-bit e BigD em escala
O BIG-IP 21.1 muda como você atualiza (in-place, com verificação de compatibilidade Dry Run), do que o plano de controle é feito (mergeD 64-bit, Java 21, bibliotecas TMSH 64-bit), como ele sobrevive à pressão de memória (prioridade OOM para o MCPd), a velocidade das respostas (MCPD multi-thread e um BigD multi-thread de 15.000 monitores) e como migra (UCS platform-migrate com validate). Cada afirmação vem das release notes da F5, incluindo os limites honestos: in-place não é in-service, e o 21.x não roda em iSeries nem VIPRION.
RedesLerA Service Check Date do BIG-IP, e por que uma atualização pode se recusar a carregar
Toda versão do BIG-IP carrega uma License Check Date estática, e toda licença carrega uma Service Check Date. Se a data da licença for anterior à data da versão, o sistema atualizado inicializa mas silenciosamente se recusa a carregar sua configuração. Aqui está o que é cada data, de onde ela vem e como a verificação funciona.
RedesLerAnatomia de um arquivo de licença do BIG-IP
O arquivo /config/bigip.license é legível por humanos, e aprender a lê-lo responde perguntas operacionais reais: quais módulos estão de fato licenciados, quais são os limites de throughput e sessões, se um upgrade vai carregar e se o BIG-IQ está gerenciando a licença. Aqui está o arquivo, seção por seção, a partir de duas licenças reais de laboratório.
RedesLerBIG-IP, TMOS e F5OS: Uma Linha do Tempo de Versões para Deslizar
O BIG-IP a plataforma e o TMOS o software eram a mesma coisa até 2004, quando a versão 9.0 os separou e migrou a caixa de BSD para um host Linux com o microkernel TMM. Esta linha do tempo interativa desliza do BIG-IP Controller de 1997 até o BIG-IP 21.0, mostrando a versão do software e o sistema operacional embaixo dele em cada passo, incluindo por que os números saltam direto de 17 para 21.
RedesLerCapturando com segurança em um BIG-IP de produção
O tcpdump em um BIG-IP toca o plano de dados e o sistema de arquivos de um dispositivo que está carregando tráfego ao vivo. Alguns hábitos, limitar a captura, observar o espaço em disco e ser deliberado quanto ao detalhe, evitam que uma captura de diagnóstico vire um incidente.
RedesLerCapturando em VLANs, self-IPs e trunks
0.0 captura em todas as interfaces da TMM, mas às vezes você quer restringir a captura a um segmento. O BIG-IP permite indicar uma VLAN, um self-IP ou outros especificadores de interface no lugar de 0.0, e cada escolha muda o que você vê.
RedesLerComo Funciona um Virtual Server do BIG-IP
Um virtual server é a porta de entrada de um BIG-IP. Ele vincula um IP e uma porta de escuta, aplica uma pilha de perfis, decide a persistência, escolhe um membro do pool e traduz o endereço de origem em direção ao backend. Ler essas partes em ordem mostra exatamente como uma conexão será tratada.
RedesLerComo os Monitores de Saúde do LTM Decidem Ativo ou Inativo
Um monitor de saúde é a sondagem que um BIG-IP usa para decidir se um membro de backend pode receber tráfego. Suas strings de envio e recebimento, seu intervalo e timeout, e onde ele está anexado determinam juntos com que rapidez uma falha é percebida e como um membro é marcado como inativo.
RedesLerLendo uma captura do BIG-IP: o trailer da F5 no Wireshark
Uma captura feita com o sufixo de detalhe da TMM carrega bytes extras após cada pacote. Sozinho, isso parece ruído. Com o dissecador f5ethtrailer, o Wireshark transforma isso em campos legíveis que dizem exatamente como o BIG-IP tratou cada fluxo.
RedesLerNíveis de detalhe da TMM e peer flows (:n, :nn, :nnn, :p)
O sufixo com dois-pontos na interface de captura do BIG-IP é a parte mais confusa e mais útil da sintaxe. Ele controla quanto metadado interno da TMM é anexado a cada pacote e se você captura um lado da conexão ou os dois.
RedesLerPacket Filters: O Checkpoint Antes de Tudo, e a Chave Que Vem Desligada
Packet filters do BIG-IP são uma política de acesso baseada em BPF sobre o tráfego de entrada, avaliada como uma lista global única em ordem ascendente, primeira correspondência terminal vence. A chave mestra vem desabilitada, exceções trusted superam qualquer regra que você escreva, ARP e os ICMPs importantes passam direto por padrão, conexões estabelecidas são invisíveis para ela, e a porta de gerenciamento nunca a encontra. E mais: a partir da v16 existe um segundo objeto, sem relação, usando o mesmo nome.
RedesLerPools e métodos de balanceamento no BIG-IP
Um pool é o grupo de members de backend para o qual um virtual server envia tráfego, e o método de balanceamento decide qual member recebe cada conexão. Os métodos se dividem em estáticos, que seguem um padrão fixo, e dinâmicos, que reagem à carga ao vivo, e a escolha molda quão uniforme e quão inteligentemente o tráfego se espalha.
RedesLerProfiles em um virtual server
Um virtual server do BIG-IP não tem um comportamento fixo; ele é montado a partir de profiles, cada um configurando uma camada da conexão. Profiles de protocolo, de aplicação, de SSL e de persistência se empilham para definir como o tráfego é tratado, e herdam configurações de profiles pais, que é a chave de como a config do BIG-IP se mantém gerenciável.
RedesLerRecuperando um BIG-IP que não carrega a config após uma atualização
Quando um BIG-IP atualizado inicializa mas sua configuração nunca carrega, a causa usual é uma service check date mais antiga do que a nova versão exige. A correção é reativar a licença, o que redefine a data. Aqui está como reconhecer, como reativar com segurança e como evitar da próxima vez.
RedesLerSNAT e o problema do tráfego de retorno
Para uma conexão balanceada funcionar, a resposta do pool member precisa voltar pelo BIG-IP. Se o member roteia seu tráfego de retorno direto para o cliente, a conexão quebra. O SNAT resolve isso tornando o BIG-IP o endereço de origem ao qual o member responde, ao custo de esconder o IP real do cliente.
RedesLertcpdump no BIG-IP: como ele difere do tcpdump padrão
Em um BIG-IP, o tcpdump é o mesmo binário que você conhece do Linux, mas a interface em que você captura não é uma NIC. A interface especial 0.0 e os sufixos de detalhe exclusivos da F5 mudam como você monta o comando. Esta é a base para todo o resto.
RedesLerTipos de virtual server do BIG-IP, e o que cada um realmente faz
Um BIG-IP descarta tráfego por padrão; o virtual server é o listener que o aceita, e seu tipo decide o modelo de processamento, de um full proxy que termina e reorigina conexões a um encaminhador pacote a pacote que se comporta como roteador. Escolher o tipo é escolher quanto a caixa pode entender.
RedesLerUpgrade vs Update no BIG-IP: por que a distinção decide se a data de licença é verificada
A F5 traça uma linha precisa entre um upgrade e um update, com base em qual parte do número de versão muda. Não é só terminologia: a service check date só é imposta em um upgrade, então saber qual dos dois você está fazendo diz se uma data de licenciamento pode te bloquear.
RedesLer
BIG-IP DNS (antigo GTM - Global Traffic Manager)
Como o iQuery Conecta o BIG-IP DNS ao Resto da Rede
O iQuery é o protocolo XML que o BIG-IP DNS usa para saber se os objetos que ele resolve estão realmente no ar. Este artigo percorre a malha: gtmd e big3d, as conexões de longa duração na TCP 4353, a confiança por certificado SSL que o bigip_add estabelece, o que o iqdump mostra e a razão clássica de um virtual server estar verde no LTM mas vermelho no DNS.
RedesLerDNS como motor de política: multi-RPZ no BIG-IP 21.1
Response Policy Zones transformam um resolvedor em ponto de aplicação de política, e o BIG-IP DNS 21.1 transforma um feed em muitos: até 65.535 zonas RPZ por cache DNS, avaliadas por precedência configurável, transferidas com segurança via TSIG HMAC-SHA-512, e armadas com o conjunto completo de ações RPZ, de NXDOMAIN e CNAME de jardim murado a PASSTHRU, DROP e TCP-only. Respostas A por FQDN substituem o único IP global de jardim murado, e os gatilhos vão além do QNAME para IP do cliente e IP da resposta.
RedesLerLoad Balancing no BIG-IP DNS: o Wide IP, o Pool e a Cadeia de Três Passos
Uma resposta GSLB é decidida duas vezes: o wide IP escolhe um pool, e o pool escolhe um membro através de uma cadeia preferred, alternate e fallback. A cadeia carrega as regras em que as pessoas tropeçam: o alternate só pode ser estático, o fallback ignora disponibilidade de propósito, e None cascateia até um agregado via BIND.
RedesLerRegistros de Topologia do GTM: Longest Match É uma Ordenação, Não a Escolha
O balanceamento por topologia pontua candidatos a partir de uma lista ordenada de registros, e a ordenação é o que o Longest Match de fato faz. O primeiro registro a corresponder a um candidato o pontua, os posteriores ficam sombreados, e a maior pontuação vence, e é por isso que um curinga pesado realmente pode vencer um /32 leve.
RedesLerUma consulta, seis atendentes: a ordem de processamento do BIG-IP DNS
Uma consulta DNS que chega a um listener do BIG-IP pode ser respondida por iRules, pelo processamento DNSSEC, por um wide IP de GSLB, pelo DNS Express, por um cache DNS, pelo BIND local ou por um pool de servidores DNS reais. A F5 documenta uma precedência estrita entre eles, e a maioria das surpresas no BIG-IP DNS, do registro que responde quando você esperava GSLB ao Rapid Response silenciando o BIND, se resolve lendo essa ordem corretamente.
RedesLer
F5 AWAF - Advanced WAF (antigo BIG-IP ASM - Application Security Manager)
Aprendizado automático em produção: como um atacante envenena uma política de WAF
Deixado em modo de aprendizado Automatic sobre tráfego não confiável, o Policy Builder do BIG-IP Advanced WAF aceita e aplica uma sugestão assim que seu learning score chega a 100%, e algumas sugestões desabilitam violações ou ampliam entidades. Um atacante que inunda tráfego de aparência legítima a partir de fontes suficientes consegue levar um afrouxamento a 100% e abrir um buraco. O design do F5 resiste a isso com limites de fontes, sessões e tempo, mas a postura segura é aprendizado Manual por padrão e construir apenas a partir de tráfego confiável.
Segurança e WAFLerBlocking vs Transparent: o que o modo de enforcement do Advanced WAF realmente faz
O enforcementMode de uma política de WAF decide se ela protege ou apenas observa. Em modo blocking, requisições que disparam uma violação configurada para bloquear são rejeitadas. Em modo transparent, nada é bloqueado mesmo quando uma violação dispara, então a política é somente monitoramento. Confundir os dois é um dos erros mais comuns em WAF.
Segurança e WAFLerComo uma política declarativa do BIG-IP Advanced WAF é estruturada
Uma política declarativa de WAF é um arquivo JSON que descreve uma política de segurança como um conjunto de ajustes sobre um template base. A chave para lê-la é o modelo de template e ajustes: tudo o que a política não menciona mantém o padrão do template, então uma seção ausente significa padrão, não desativado.
Segurança e WAFLerContent Profiles do Advanced WAF: analisando JSON, XML, GraphQL e GWT com segurança
Um content profile diz ao Advanced WAF como analisar um payload estruturado, JSON, XML, GraphQL, GWT ou texto simples, para que ele possa aplicar assinaturas de ataque a campos individuais e impor limites estruturais que barram abuso do parser e negação de serviço. Veja o que cada tipo de profile faz, os atributos de defesa que importam e as boas práticas e cuidados.
Segurança e WAFLerData Guard: mascarando dados sensíveis nas respostas
O Data Guard é a proteção do lado da resposta do Advanced WAF. Ele examina as respostas do servidor em busca de informações sensíveis, como números de cartão de crédito, números de Seguro Social dos EUA e padrões personalizados, e as mascara antes que cheguem ao cliente. Diferente da maioria das verificações de WAF, que inspecionam a requisição, o Data Guard protege o que vaza para fora.
Segurança e WAFLerF5 DataSafe: criptografia de camada de aplicação no lado do cliente, e suas arestas
O DataSafe é a camada de proteção contra fraude da F5 que criptografa campos sensíveis dentro do navegador, antes que um Trojan ou key logger no navegador consiga lê-los. Ele injeta JavaScript que criptografa os dados no lado do cliente com uma chave pública por sessão, decifrada no BIG-IP com a chave privada. Veja como funciona, o que cada recurso faz e os cuidados que pegam as pessoas.
Segurança e WAFLerL7 Behavioral DoS (BaDoS): como o Advanced WAF aprende o normal e mitiga o resto
O L7 Behavioral DoS é a defesa por machine learning do Advanced WAF contra DDoS na camada de aplicação. Ele aprende uma baseline de tráfego normal, observa o estresse do servidor e, quando o servidor sofre, constrói assinaturas dinâmicas e isola os IPs bad-actor, mitigando com medidas escalonadas. Veja como funciona, os dois modos de detecção e os cuidados que importam.
Segurança e WAFLerLidando com falsos positivos no Advanced WAF: triagem por rating, depois ajuste com escopo
Um falso positivo é tráfego legítimo que dispara uma política de segurança. No F5 AWAF - Advanced WAF (antigo BIG-IP ASM - Application Security Manager) o violation rating é o sinal de triagem: ratings 1 e 2 são provavelmente falsos positivos que você pode aceitar, rating 3 precisa de investigação, e ratings 4 e 5 bloqueiam mesmo com os Block flags desligados e devem ser limpos em vez de relaxados. A correção é sempre com escopo na URL ou parâmetro específico, nunca um disable para toda a política, e a regra que rege tudo é relaxar apenas onde um falso positivo de fato ocorreu.
Segurança e WAFLerPolíticas aninhadas no Advanced WAF: herança pai/filho e microsserviços de política
O Advanced WAF oferece duas formas de estruturar a configuração de política em camadas em vez de escrever uma política plana: políticas pai e filho, em que os filhos herdam elementos obrigatórios de um pai, e microsserviços de política de segurança, em que uma única política carrega subconfigurações aninhadas correspondidas por hostname e URL. Veja como cada uma funciona e quando usá-la.
Segurança e WAFLerSession Tracking do Advanced WAF: encontrando e detendo o cliente por trás das requisições
O session tracking permite que o Advanced WAF identifique o usuário, sessão, dispositivo ou IP por trás de um fluxo de requisições, e aja sobre essa identidade, registrando, adiando o bloqueio ou bloqueando tudo, quando um cliente cruza um limiar de violações. Veja como funciona a session awareness, as três ações e por que o rastreamento por usuário supera o rastreamento por session ID.
Segurança e WAFLerSinais e desafios no lado do cliente: como o Advanced WAF distingue um navegador de um bot
Para separar navegadores reais de automação, o Advanced WAF injeta JavaScript nas respostas e lê o que retorna, uma verificação de integridade do cliente, uma sondagem de capacidades, um fingerprint de dispositivo e, em último caso, um CAPTCHA. Veja o que cada artefato coleta, a ordem em que escalam e os cuidados que os quebram.
Segurança e WAFLerStaging de assinaturas e o período de prontidão para enforcement
Staging é como o Advanced WAF permite que uma assinatura de ataque nova ou atualizada corresponda e registre sem bloquear, para que você a revise antes que ela possa rejeitar tráfego. Combinado com o período de prontidão para enforcement, isso significa que uma política pode estar em modo blocking e ainda assim não bloquear uma assinatura em staging. Veja como ler esse estado.
Segurança e WAFLerTécnicas de evasão: como o Advanced WAF normaliza a codificação do atacante
Atacantes escondem payloads dentro de codificações incomuns para que uma assinatura nunca veja os caracteres reais. O BIG-IP Advanced WAF responde com oito subviolações de evasão sob a única violação 'Evasion technique detected', cada uma normalizando ou detectando um truque: %u decoding, Apache whitespace, Bad unescape, Bare byte decoding, Directory traversals, IIS backslashes, IIS Unicode codepoints e Multiple decoding. As oito são habilitadas por padrão.
Segurança e WAFLerWAF sobre QUIC: proteção web HTTP/3 no BIG-IP 21.1
O BIG-IP 21.1 estende o Advanced WAF, o Bot Defense e a proteção L7 DoS a virtual servers HTTP/3, com a mesma fidelidade de inspeção do HTTP/1.1 e do HTTP/2 e qualquer tipo de template de política. Os limites importam tanto quanto o recurso: apenas lado do cliente, sem DoS comportamental, sem criação de virtual server HTTP/3 pela UI do WAF, e a implementação de HTTP/3 do LTM continua experimental. Ao lado, o API Security ganha importação de OpenAPI 3.1 e o logging remoto ganha o formato Splunk key-value Extended.
RedesLer
BIG-IP AFM - Advanced Firewall Manager
Contextos do AFM: Accept É um Bilhete para o Próximo Posto de Controle
O Network Firewall caminha pacotes pelos contextos em ordem fixa: global, route domain, depois virtual server ou self IP, com a porta de gerenciamento à parte. A ação de um casamento é aplicada e o tráfego é processado de novo no próximo contexto, então accept continua, só accept-decisively encerra a caminhada, regras de ICMP em contextos de borda são ignoradas, e staging registra sem aplicar.
RedesLerPolíticas de Evicção de Conexões: O Que o BIG-IP Joga ao Mar, e Quando
A tabela de conexões é finita, e algo decide o que morre primeiro quando ela enche. Antes da 11.6 isso era o adaptive reaper e duas chaves de db; desde a 11.6 é a política de evicção: gatilhos de marca-d'água cujo significado muda com o contexto de anexação, estratégias que o manual honestamente chama de estatísticas e oportunistas, e um bloco de slow-flow com um padrão limpo de monitorar primeiro.
RedesLerProteção contra SYN Flood no BIG-IP: Cookies, Limiares e Quem Responde Primeiro
Um SYN flood ataca o estado half-open da tabela de conexões. A resposta do BIG-IP é o SYN cookie: um SYN-ACK sem estado com o estado codificado no número de sequência. A parte interessante é o empilhamento: limiares globais e por VS no LTM, cookies de hardware por VLAN e um vetor de device do AFM que tem precedência sobre tudo isso, mais um arranjo de limiares que mitiga em silêncio, sem log de ataque.
RedesLer
BIG-IP Zero Trust Access (antigo BIG-IP APM - Access Policy Manager)
Acesso e identidade no BIG-IP 21.1: DCR, SAML nativo e o IPsec volta para casa
A camada de acesso do BIG-IP 21.1 se moderniza em quatro direções ao mesmo tempo: o Dynamic Client Registration do OAuth 2.0 (RFC 7591) deixa clientes, incluindo sistemas de IA agêntica, registrarem a si mesmos com um Initial Access Token; o SAML pelo navegador padrão do sistema vira nativo no Windows e no macOS, destravando fluxos FIDO2 e Entra ID sem as velhas iRules; o Edge Client ganha túneis VPN IPsec de verdade ao lado do SSL-VPN; e o elenco de apoio inclui HTTP Connector em políticas per-session, ES13 no Portal Access e inspeção de endpoint em Ubuntu ARM64.
RedesLerF5 BIG-IP APM como SAML Proxy: Modos SP e IdP
O BIG-IP APM (agora BIG-IP Zero Trust Access) é um SAML proxy concreto: como reverse proxy na frente de uma aplicação ele age como provedor de serviço SAML, delegando o login a um provedor de identidade externo e então fazendo single sign-on até o backend; ele também pode agir como provedor de identidade SAML que federa SSO a SaaS. Este artigo mapeia os papéis genéricos de SAML proxy sobre os objetos SP service, IdP service e connector do APM.
Segurança e WAFLerMétodos SSO do APM: Um Objeto Ruim Pode Apagar a Sessão Inteira
O capítulo do APM define oito métodos de SSO e declara um raio de explosão que a maioria dos desenhos ignora: um objeto mal configurado de qualquer método não-formulário pode desabilitar o SSO de todos os métodos da sessão; os dois métodos de formulário são os únicos isentos. Mais os pré-requisitos do Kerberos (sem keytab, nas palavras do próprio manual), a peculiaridade do cabeçalho único do NTLMv2 e o token de senha do FBCI.
Identidade e tokensLerVariáveis de Sessão: Onde o APM Guarda Tudo Que Aprendeu
Toda ação de access policy escreve seus resultados em variáveis session.*, nomeadas por uma anatomia que o manual desenha e lidas por três sintaxes oficiais. A camada tem um contrato que vale memorizar: variáveis seguras são criptografadas, escondidas de relatórios e logs, e legíveis só com -secure, o que faz de um mcget puro numa senha a clássica leitura vazia silenciosa.
Identidade e tokensLer
Automação e Integração
Anatomia de uma declaração AS3: da classe AS3 até o Pool
Uma declaração AS3 do F5 BIG-IP é uma árvore JSON que descreve a configuração desejada, em termos de tenant e application, e deixa o AS3 resolver a ordem das operações. Isto percorre a estrutura de cima a baixo: o wrapper de requisição AS3 versus uma declaração apenas ADC, a classe ADC e seu schemaVersion, o Tenant que vira uma partição, a Application e seu template, e as classes de recurso como Service_HTTP, Pool e TLS_Server, além das regras que tornam uma declaração válida.
RedesLerDeclarative Onboarding: A Metade L1-L3 do Automation Toolchain
O AS3 configura serviços de aplicação em um BIG-IP que já está na rede. O Declarative Onboarding é o que o coloca lá: licenciamento, provisionamento, DNS e NTP, VLANs e self IPs e rotas, usuários e cluster, expressos como uma declaração JSON contra um Device com um único tenant chamado Common. Este artigo percorre o modelo, as fases de onboarding e as pegadinhas específicas de versão que mordem em produção.
RedesLerTelemetry Streaming: A Extensão do Automation Toolchain que Observa em Vez de Configurar
O AS3 configura serviços de aplicação e o DO faz o onboarding do dispositivo. O Telemetry Streaming é a terceira extensão do F5 Automation Toolchain, e é a que observa em vez de configurar: ele agrega, normaliza e encaminha estatísticas e eventos do BIG-IP para um consumidor como Splunk, ElasticSearch, DataDog ou Prometheus, tudo a partir de uma única declaração JSON. Este artigo percorre o modelo da classe Telemetry, o pipeline de fonte-e-consumidor, e as lacunas que fazem uma declaração ter sucesso sem coletar nada.
RedesLer
F5XC - F5 Distributed Cloud
Ações e Negação por Padrão em Service Policies do XC
A ação de uma regra é ALLOW, DENY ou NEXT_POLICY. Além do veredito, uma regra pode anexar modificadores como WAF, defesa contra bots ou rate limiting que disparam ao casar. E o sistema inteiro é negar-por-padrão: uma requisição que não casa com nada é negada. Conhecer isso torna o efeito real de uma política legível.
Segurança e WAFLerAlgoritmos de Combinação de Regras do XC: FIRST_MATCH, ALLOW_OVERRIDES, DENY_OVERRIDES
Quando uma service policy guarda uma lista de regras, o algoritmo de combinação de regras decide a ordem em que são avaliadas. FIRST_MATCH percorre de cima para baixo e para no primeiro acerto. ALLOW_OVERRIDES e DENY_OVERRIDES reordenam primeiro por ação. A escolha muda qual regra vence quando várias poderiam casar.
Segurança e WAFLerComo uma Service Policy do F5 XC Casa com uma Requisição
Uma service_policy do F5 Distributed Cloud tem duas partes: um conjunto de predicados que definem a quais requisições a política se aplica, e uma lista de regras que decidem o que acontece. Uma requisição casa apenas quando todos os predicados no nível da política são verdadeiros e ela casa com uma das regras. Este é o modelo sobre o qual todo o resto se apoia.
Segurança e WAFLerPredicados e Lógica Booleana em Regras de Service Policy do XC
Dentro de uma regra, todo predicado que você define é combinado com E (AND), e um predicado não definido é implicitamente verdadeiro. Dentro de um comparador, múltiplos valores são combinados com OU (OR). Entender esses dois níveis é a diferença entre uma regra que casa com o que você quis dizer e uma que silenciosamente casa demais ou de menos.
Segurança e WAFLerSensibilidade a Maiúsculas e Transformadores em Comparadores do XC
Em uma service policy do XC, nomes de cabeçalho não diferenciam maiúsculas de minúsculas, mas valores de cabeçalho, chaves de query e nomes de cookie diferenciam. Comparações exatas comparam byte a byte a menos que você aplique um transformador como LOWER_CASE antes. Esta é a razão mais comum de uma regra que parece certa não casar.
Segurança e WAFLerService Policy do XC vs iRules do BIG-IP: Um Modelo Mental
iRules são scripts orientados a eventos que rodam código procedural enquanto uma requisição é processada. Uma service policy do XC é uma lista declarativa de regras com predicados e ações. Se você pensa em iRules, isto mapeia os conceitos para que você leia políticas do XC sem procurar o equivalente de um bloco when-HTTP_REQUEST.
Segurança e WAFLer
Mais
ACME no BIG-IP: dos scripts do DevCentral a um cliente nativo
Como funciona a automação de certificados Let's Encrypt e outros ACME no F5 BIG-IP: o cliente ACMEv2 nativo introduzido no BIG-IP 21.1.0 (provisionamento, renovação e implantação para qualquer CA ACMEv2), as soluções comunitárias baseadas em dehydrated que vieram antes, o perfil centralizado de gerenciamento de CA Let's Encrypt do BIG-IQ, e onde os conceitos e limites de emissão ACME compartilhados se encaixam.
Certificados e PKILerBIG-IP 21.x: o que mudou, e por que não existem as versões 18, 19 e 20
O TMOS saltou do 17.x direto para o 21.0.0 (novembro de 2025) e o 21.1.0 (maio de 2026), absorvendo a modernização originalmente planejada para o descontinuado BIG-IP Next. Aqui está o quadro completo, verificado nas próprias notas de versão e anúncios da F5: a história da numeração de versões, as regras de plataforma e de ciclo de vida que você precisa checar primeiro, e um tour temático pelo que o 21.0 e o 21.1 realmente entregam, do tratamento de tráfego de IA com MCP e do TLS pós-quântico ao upgrade in-place, ao plano de controle em 64 bits, ao WAF para HTTP/3 e ao multi-RPZ no DNS.
RedesLerF5OS 2.0 da cadeira do tenant: cloud-init, RRDAG por porta e Q-in-Q
O F5OS 2.0 é a versão da camada de plataforma que os recursos voltados a hardware do BIG-IP 21.1 pressupõem. Verificado contra a documentação de release da F5, este é o ponto de vista do operador de tenant: cloud-init para implantação zero-touch de tenants BIG-IP em VELOS e rSeries (incluindo declarações DO e AS3 no primeiro boot), Round Robin DAG limitado a portas UDP específicas em vez de VLANs inteiras, e Q-in-Q chegando ao VELOS sob o Confd do F5OS, cada um com sua lista exata de plataformas e a exigência de F5OS 2.0 no host dita por extenso.
RedesLer