伴隨着互聯網的快速發展,各種各樣不安全或者敏感的內容越來越多地出現在各種網站,包括病毒、***等惡意軟件或者其它相關部門禁止的內容。各種安全設備應運而生,對互聯網流量進行監控審查,如UTM、IDS等。但是與此同時越來越多的網站開始使用SSL/TLS加密連接,即我們在瀏覽器中看到的地址欄顯示HTTPS://...字眼,這樣做一方面是提高安全性,另外一方面就是爲了讓自己的用戶可以避開內容審查設備,因爲這些流量是加密不可讀的。
針對這個問題,一種新的解決方案應運而生—SSL攔截。A10將負載均衡設備作爲SSL攔截設備解密流量後轉給安全設備進行深度包檢查,檢查完畢後再進行加密轉發給目的主機。
SSL攔截:挑戰與需求
SSL攔截,也可稱爲SSL轉發代理,包含2臺SSL終結設備分別終結到客戶端和服務器端的加密連接。其數據流如圖所示:
1. 來自客戶端的加密流量在SSL攔截設備上被終結並解密;
2. 被解密的流量轉發給流量審查設備進行審查;
3. 經過審查的流量由另外一臺SSL攔截設備加密發給目的服務器;
4. 服務器返回的加密流量進進行類似處理,由外部的SSL攔截設備解密;
5. 流量審查設備對解密流量進行審查;
6. 審查完畢由內部SSL攔截設備加密轉發給客戶。
從客戶端和服務器來看,二者之間的連接仍然是一個端到端的加密連接,但其實在2臺SSL攔截設備間已經被解密並進行了流量審查。之前這種加密流量審查是不可能實現的。
SSL終結意味着要建立和拆除大量安全連接並且對大量會話中的流量進行加解密,這是非常消耗CPU資源的工作。增加安全強度會帶來CPU消耗指數級的增加。加密強度部分取決於密鑰長度,當密鑰長度從1024位升級到2048位,CPU消耗會增加4-7倍。如果使用更爲安全的4096位密鑰,普通服務器根本無法承受。
使用1024位密鑰加密的SSL會話已經被認爲不夠安全。美國國家標準技術研究院(NIST)推薦最小密鑰長度應該由以前的1024位升級到2048位。越是敏感的信息,越需要更強的加密保證安全。很多CA證書機構已經不再提供密鑰長度小於2048位的證書。
因此,作爲SSL攔截的設備必須具有足夠的計算能力以管理大量併發的加密會話,能夠提供足夠的每秒新建SSL連接能力,並且能夠支持更長的SSL密鑰。很多安全設備,諸如UTM、IDS等深度包檢查設備的主要功能時進行流量分析,利用其內部策略引擎檢驗流量行爲,這些工作已經消耗大量計算能力。因此,即使這類設備有時也會提供SSL攔截功能,但只可以處理非常小的加密流量,從而導致極差的擴展性和用戶體驗。採用負載均衡設備的SSL攔截方案可以讓任何安全設備檢查任何SSL流量,可以讓多臺安全設備負載分擔並行工作,這種強大專業的SSL攔截解決方案採用完全透明的方式保證了靈活性,也增加了流量檢測設備的選擇範圍。
負載均衡設備何以有如此高的加密流量處理能力?SSL連接過程中,建立安全連接是最耗CPU資源的部分,加密/解密會話中數據也是CPU密集型任務但要低一個級別。管理大量併發安全連接是諸如A10的AX系列負載均衡設備所擅長的工作。A10在業內首個推出使用ADC的SSL攔截解決方案,其64位ACOS操作系統和內置的高性能SSL加速芯片或子卡使得其非常適合於管理大量併發SSL會話。前面提到SSL密鑰長度增加時使用傳統CPU處理SSL連接性能會大幅度降低,而A10的AX系列採用的最新SSL加速硬件從1024位密鑰升級到2048位密鑰,性能幾乎不受影響,即使處理4096位密鑰也具有極高的性能。
另外,A10的SSL攔截功能允許用戶有選擇的進行攔截,對部分安全會話進行攔截分析,而另外一部分安全會話進行透傳。
綜上所述,採用ADC的SSL攔截解決方案具有如下優勢:
- 專用的SSL加速硬件保證高性能和擴展性
- 可以用於分析所有網絡流量
- 透明方式部署,使用戶可以自由選擇最佳的內容審查設備
- 延長已有安全設備使用時間
- 消除安全防護的盲點
(R.S.)