白話https的傳輸原理以及管控方式以及SSL加密！

說到https，不得不提http（HyperText Transfer Protocol）這個網際網路上用的最廣泛的網路協議，其技術架構，協議功能，協議原理百度或者google都有詳細解釋。而https（Hyper Text Transfer Protocol over Secure Socket Layer）多就多在這個S上，SSL加密，通常理解，https就是http加入SSL加密層變成以安全為目標的http傳輸。那麼SSL是個啥呢，SSL是一個目前應用非常廣泛的一種非對稱加密方式，也是公認破解不了的。安全，又好用，所以才能廣泛應用，除了http,郵件的pop3,smtp，IM通訊等等，都能用上，是個很好的加密方式。起初用https通常都是金融類網站用到財務交易，時光如水，歲月如歌，IT技術一日百里的飛速發展，現在很多入口網站，企業網站也都逐漸使用https協議，這個也是事實的趨勢。概念就是這個概念了，那麼https如何監控管理呢？以下說明是獻給非專業IT技術人員，非專業碼農的。為了大家都能明白，可能有些敘述比較幼稚和粗淺，請多多理解。

1.https是如何監控管理的呢，又要從http的傳輸說起。（敘述的比較粗淺，非專業水平，就是讓大家有個概念性理解就行，太專業的詞彙扯起來也不明白就不裝腔了）為了更好的理解，先說http傳輸，將A比作客戶端，C比作網站端。A說我要蘋果，C就給A傳一個蘋果，這個時候可以想象成，網際網路上無數的蘋果在裸奔。

所以市面上專業帶審計功能上網行為管理軟體，硬體都能記錄到HTTP的網頁瀏覽連結，域名，標題。如果連這點都做不到，或者就是記錄一個簡單的域名，那麼這款產品和專業上網審計就不搭邊了，很多路由號稱也有上網審計功能，扯呼。路由是路由晶片來的，幾乎沒法對上網做審計。

2.下面就要解釋https的傳輸了，如果說http傳輸是裸奔的蘋果，那麼https的傳輸則是被鎖起來的蘋果在奔跑，解鎖的只要網站端和使用者端了。這個時候網際網路上飄著很多鎖，但是鎖裡面的是蘋果還是橘子不知道，也沒法解出來，這個鎖就是SSL不對稱加密，直接解是解不了的。

3.https解不了，不代表沒有辦法哦，有個專業技術“中間人技術”原理，原始碼都有公開，但是做的好壞，也看各家技術上專研的態度以及願意用多少時間和成本放在技術上了。看圖解釋，（這個中間人是兩面派，在客戶端面前扮演網路端，在網路端面前扮演客戶端，把網路端和客戶端加密的傳輸的蘋果自己也加密傳輸給對方獲取對方的金鑰從而解析到解密的資料）中間人技術用在HTTPS監控上的不如用在SSL加密上的普遍，到底記錄了員工的網頁瀏覽也只是追蹤了員工上網痕跡分析他們工作動態，資訊保安上，一般用在郵件監控方面，所以擁有HTTPS監控的方案的產品，客戶端郵件基本都能監控到。中間人技術不是什麼高深技術，但是一定是一個專業技術。

4.實際應用：那麼在實際應用中，什麼樣的產品才有有這樣的專業技術用來全方位網路管理？首先，所有的路由都不可以，中間人技術比較耗資源，路由架構以及路由晶片承載不了，在高階，在大牌，在怎麼說是上網行為管理的路由，都沒有哦。有的都是硬體防火牆，閘道器，x86架構專業工控機，PC，或者伺服器系列才可。

中間人技術一般用在兩個方面比較多，區域網網路監控以及專業的硬體防火牆，專業硬體防火牆用中間人技術，一般都是用來防毒的。區域網網路監控用來監控HTTPS瀏覽，以及SSL加密郵件的記錄。有兩種非常典型的實際應用，兩個恰恰側重點偏的不一樣。Unangel 第二代防火牆，側重防火牆和過濾，中間人技術應用在防毒和過濾上。WSG上網行為管理閘道器，側重上網行為管理和內容審計，中間人技術應用在內容審計以及過濾上。

a,untangel:第二代防火牆，專業防火牆加網路管理 側重防火牆以及應用網站過濾。價格牛產品牛，系統開放，有條件可以試試，網站介紹，他們號稱開源，不過估計瞎扯淡了。

b.WSG上網行為管理閘道器，基本防火牆加網路管理 側重上網行為記錄，以及應用過濾網站過濾，中間技術用在用在SSL郵件監控以及HTTPS網站監控上，內容過濾。親民產品，系統開放有技術條件使用者都可以測試使用。

本文轉自 笨小驢 51CTO部落格，原文連結：http://blog.51cto.com/12800391/2064284，如需轉載請自行聯絡原作者