伴随着互联网的快速发展,各种各样不安全或者敏感的内容越来越多地出现在各种网站,包括病毒、木马等恶意软件或者其它相关部门禁止的内容。各种安全设备应运而生,对互联网流量进行监控审查,如UTM、IDS等。但是与此同时越来越多的网站开始使用SSL/TLS加密连接,即我们在浏览器中看到的地址栏显示HTTPS://...字眼,这样做一方面是提高安全性,另外一方面就是为了让自己的用户可以避开内容审查设备,因为这些流量是加密不可读的。
针对这个问题,一种新的解决方案应运而生—SSL拦截。A10将负载均衡设备作为SSL拦截设备解密流量后转给安全设备进行深度包检查,检查完毕后再进行加密转发给目的主机。
SSL拦截:挑战与需求
SSL拦截,也可称为SSL转发代理,包含2台SSL终结设备分别终结到客户端和服务器端的加密连接。其数据流如图所示:
1. 来自客户端的加密流量在SSL拦截设备上被终结并解密;
2. 被解密的流量转发给流量审查设备进行审查;
3. 经过审查的流量由另外一台SSL拦截设备加密发给目的服务器;
4. 服务器返回的加密流量进进行类似处理,由外部的SSL拦截设备解密;
5. 流量审查设备对解密流量进行审查;
6. 审查完毕由内部SSL拦截设备加密转发给客户。
从客户端和服务器来看,二者之间的连接仍然是一个端到端的加密连接,但其实在2台SSL拦截设备间已经被解密并进行了流量审查。之前这种加密流量审查是不可能实现的。
SSL终结意味着要建立和拆除大量安全连接并且对大量会话中的流量进行加解密,这是非常消耗CPU资源的工作。增加安全强度会带来CPU消耗指数级的增加。加密强度部分取决于密钥长度,当密钥长度从1024位升级到2048位,CPU消耗会增加4-7倍。如果使用更为安全的4096位密钥,普通服务器根本无法承受。
使用1024位密钥加密的SSL会话已经被认为不够安全。美国国家标准技术研究院(NIST)推荐最小密钥长度应该由以前的1024位升级到2048位。越是敏感的信息,越需要更强的加密保证安全。很多CA证书机构已经不再提供密钥长度小于2048位的证书。
因此,作为SSL拦截的设备必须具有足够的计算能力以管理大量并发的加密会话,能够提供足够的每秒新建SSL连接能力,并且能够支持更长的SSL密钥。很多安全设备,诸如UTM、IDS等深度包检查设备的主要功能时进行流量分析,利用其内部策略引擎检验流量行为,这些工作已经消耗大量计算能力。因此,即使这类设备有时也会提供SSL拦截功能,但只可以处理非常小的加密流量,从而导致极差的扩展性和用户体验。采用负载均衡设备的SSL拦截方案可以让任何安全设备检查任何SSL流量,可以让多台安全设备负载分担并行工作,这种强大专业的SSL拦截解决方案采用完全透明的方式保证了灵活性,也增加了流量检测设备的选择范围。
负载均衡设备何以有如此高的加密流量处理能力?SSL连接过程中,建立安全连接是最耗CPU资源的部分,加密/解密会话中数据也是CPU密集型任务但要低一个级别。管理大量并发安全连接是诸如A10的AX系列负载均衡设备所擅长的工作。A10在业内首个推出使用ADC的SSL拦截解决方案,其64位ACOS操作系统和内置的高性能SSL加速芯片或子卡使得其非常适合于管理大量并发SSL会话。前面提到SSL密钥长度增加时使用传统CPU处理SSL连接性能会大幅度降低,而A10的AX系列采用的最新SSL加速硬件从1024位密钥升级到2048位密钥,性能几乎不受影响,即使处理4096位密钥也具有极高的性能。
另外,A10的SSL拦截功能允许用户有选择的进行拦截,对部分安全会话进行拦截分析,而另外一部分安全会话进行透传。
综上所述,采用ADC的SSL拦截解决方案具有如下优势:
- 专用的SSL加速硬件保证高性能和扩展性
- 可以用于分析所有网络流量
- 透明方式部署,使用户可以自由选择最佳的内容审查设备
- 延长已有安全设备使用时间
- 消除安全防护的盲点
(R.S.)
本文转自 virtualadc 51CTO博客,原文链接:
http://blog.51cto.com/virtualadc/1074183
