SSL攔截-加密流量審查解決方案

伴隨著網際網路的快速發展，各種各樣不安全或者敏感的內容越來越多地出現在各種網站，包括病毒、木馬等惡意軟體或者其它相關部門禁止的內容。各種安全裝置應運而生，對網際網路流量進行監控審查，如UTM、IDS等。但是與此同時越來越多的網站開始使用SSL/TLS加密連線，即我們在瀏覽器中看到的位址列顯示HTTPS://…字眼，這樣做一方面是提高安全性，另外一方面就是為了讓自己的使用者可以避開內容審查裝置，因為這些流量是加密不可讀的。

針對這個問題，一種新的解決方案應運而生—SSL攔截。A10將負載均衡裝置作為SSL攔截裝置解密流量後轉給安全裝置進行深度包檢查，檢查完畢後再進行加密轉發給目的主機。

SSL攔截：挑戰與需求

SSL攔截，也可稱為SSL轉發代理，包含2臺SSL終結裝置分別終結到客戶端和伺服器端的加密連線。其資料流如圖所示：

 

 

1. 來自客戶端的加密流量在SSL攔截裝置上被終結並解密；

2. 被解密的流量轉發給流量審查裝置進行審查；

3. 經過審查的流量由另外一臺SSL攔截裝置加密發給目的伺服器；

4. 伺服器返回的加密流量進進行類似處理，由外部的SSL攔截裝置解密；

5. 流量審查裝置對解密流量進行審查;

6. 審查完畢由內部SSL攔截裝置加密轉發給客戶。

從客戶端和伺服器來看，二者之間的連線仍然是一個端到端的加密連線，但其實在2臺SSL攔截裝置間已經被解密並進行了流量審查。之前這種加密流量審查是不可能實現的。

SSL終結意味著要建立和拆除大量安全連線並且對大量會話中的流量進行加解密，這是非常消耗CPU資源的工作。增加安全強度會帶來CPU消耗指數級的增加。加密強度部分取決於金鑰長度，當金鑰長度從1024位升級到2048位，CPU消耗會增加4-7倍。如果使用更為安全的4096位金鑰，普通伺服器根本無法承受。

使用1024位金鑰加密的SSL會話已經被認為不夠安全。美國國家標準技術研究院（NIST）推薦最小金鑰長度應該由以前的1024位升級到2048位。越是敏感的資訊，越需要更強的加密保證安全。很多CA證書機構已經不再提供金鑰長度小於2048位的證書。

因此，作為SSL攔截的裝置必須具有足夠的計算能力以管理大量併發的加密會話，能夠提供足夠的每秒新建SSL連線能力，並且能夠支援更長的SSL金鑰。很多安全裝置，諸如UTM、IDS等深度包檢查裝置的主要功能時進行流量分析，利用其內部策略引擎檢驗流量行為，這些工作已經消耗大量計算能力。因此，即使這類裝置有時也會提供SSL攔截功能，但只可以處理非常小的加密流量，從而導致極差的擴充套件性和使用者體驗。採用負載均衡裝置的SSL攔截方案可以讓任何安全裝置檢查任何SSL流量，可以讓多臺安全裝置負載分擔並行工作，這種強大專業的SSL攔截解決方案採用完全透明的方式保證了靈活性，也增加了流量檢測裝置的選擇範圍。

負載均衡裝置何以有如此高的加密流量處理能力？SSL連線過程中，建立安全連線是最耗CPU資源的部分，加密/解密會話中資料也是CPU密集型任務但要低一個級別。管理大量併發安全連線是諸如A10的AX系列負載均衡裝置所擅長的工作。A10在業內首個推出使用ADC的SSL攔截解決方案，其64位ACOS作業系統和內建的高效能SSL加速晶片或子卡使得其非常適合於管理大量併發SSL會話。前面提到SSL金鑰長度增加時使用傳統CPU處理SSL連線效能會大幅度降低，而A10的AX系列採用的最新SSL加速硬體從1024位金鑰升級到2048位金鑰，效能幾乎不受影響，即使處理4096位金鑰也具有極高的效能。

另外，A10的SSL攔截功能允許使用者有選擇的進行攔截，對部分安全會話進行攔截分析，而另外一部分安全會話進行透傳。

綜上所述，採用ADC的SSL攔截解決方案具有如下優勢：

– 專用的SSL加速硬體保證高效能和擴充套件性

– 可以用於分析所有網路流量

– 透明方式部署，使使用者可以自由選擇最佳的內容審查裝置

– 延長已有安全裝置使用時間

– 消除安全防護的盲點

 

(R.S.)

本文轉自 virtualadc 51CTO部落格，原文連結:

http://blog.51cto.com/virtualadc/1074183