方案分享 | SSL侦听之轻松搞定SSL/TLS流量中的威胁

SSL/TLS协议不断普及，使得加密流量日益增加。加密协议为企业应用带来安全的同时，也为黑客提供可以隐藏攻击手段的新方式，给企业的安全防护带来新挑战。传统的企业安全架构难以应对这种新挑战，甚至无法解密和检测SSL/TLS流量，成为企业的安全盲点。由于无法加解密SSL/TLS流量，应用可见性、敏感信息泄露检测、用户上网行为审计等企业核心安全需求将无法满足。

此外，即使企业具备流量加解密和检测的能力，但是由于加解密本身是一种计算密集型和资源密集型的工作，往往需要消耗大量的资源来进行处理，再加上不同安全设备重复进行加解密，又会进一步造成资源的浪费。长此以往，不仅影响安全设备提供其主要业务的能力，甚至成为应用的性能瓶颈。并且，随着SSL带宽增大、SSL密钥长度增加和计算复杂度更大的SSL加密套件的引入，即使最高端的安全设备也面临无法解密所有的SSL流量的难题。

那么，是否具备一种技术，可以解决上述问题呢？

01 专业的SSL安全解决方案——SSL侦听

华耀科技针对上述问题，推出一种高性能、易部署的SSL侦听方案：通过华耀SSL侦听设备把SSL/TLS流量进行解密，发送明文数据至安全设备进行安全性检测，再将无威胁数据进行加密传输至后台服务器。

SSL侦听将计算密集型的流量处理工作卸载到华耀SSL侦听设备上，使得企业无需额外购买支持SSL/TLS的安全设备，大大节约了成本。

凭借Super SSL处理器和SpeedCore架构，SSL侦听可以提高企业安全基础架构的整体性能。方案采用“一次解密，供应多设备”模式，设备在解密流量后，按照自定义的负载均衡策略将流量分发到多个安全设备进行检测和扫描，例如Web应用防火墙、IPS、下一代防火墙和上网行为管理等，参见图1。

SSL侦听方案主要包括两个节点：入口节点（Ingress）和出口节点（Egress）。

SSL侦听基本工作流程如下：

1.   入口节点接收和解密来自客户端的SSL流量，将明文数据发送到安全设备。

2.   安全设备对明文数据进行检查，过滤掉包含安全风险的数据，将允许通过的数据发送到出口节点。

3.   出口节点将数据进行加密，然后将加密数据发送到后台服务器。

SSL侦听提供动态端口侦听（DPI）功能，支持对非443端口的HTTPS流量和其他协议流量进行动态监测，并自动进行SSL会话侦听，提供完全的SSL加解密功能。该方案还提供灵活的SSL侦听策略自定义功能，既能保证企业安全需求，又能兼顾个人隐私信息的保护之需。

02 灵活部署，轻松使用

华耀SSL侦听设备支持Layer 2和Layer 3部署，支持为主动模式和被动模式的安全设备供应解密流量，见下表。

SSL侦听主要通过模拟服务器证书来实现。通过APV设备代理客户端发送SSL握手到后台SSL服务器，获取服务器的SSL证书后，将证书中的公钥和签发者替换为根CA证书的公钥和签发者，并使用根CA证书的私钥对证书重新签名生成模拟证书。通过这种方式，APV设备拥有了对客户端与服务器之间SSL流量的可见能力。

03 多种价值，实现可见性、安全性、高性能多重保障

第一，提供对加密流量的完全可见性

不断增加的加密流量带宽、SSL密钥长度、密码套件计算复杂度，使得现有的安全设备和解决方案很难对所有SSL/TLS流量进行解密和检测，因此也就无法发现隐藏在加密流量中的安全威胁。SSL侦听解决方案支持：

•    行业领先的2048位和4096位证书加解密性能。

•    支持椭圆曲线密码算法ECC、最全的SSL协议和最新的密码套件。

•    自主开发的SSL协议栈，避免开源SSL协议栈的致命安全漏洞。

•    支持DPI，动态识别非标准端口的SSL流量。

第二，最大化现有安全基础架构价值，节约成本

SSL侦听解决方案为现有安全基础架构提供了SSL可见性，避免企业购买大量昂贵的新安全设备，使现有安全设备和资产价值最大化，减少企业投资成本。由于安全设备拥有了SSL可见性能力，降低攻击者利用加密流量进行攻击的可能性，减少企业因重要数据泄露以及遭受攻击的所导致的经济损失以及企业声誉和品牌的损害。

第三，精细化控制策略，精准侦听目标流量

对于银行、金融、医疗等机构和行业，安全合规对企业和机构至关重要。例如，如果医疗机构无法遵从健康保险流通与责任法案（HIPAA）隐私规则，会使患者的健康信息存在暴露的风险。此类事件一旦发生，企业和机构不仅会面临国家和行业的重罚，企业信誉也会遭受不可估量的损失。

为了保护隐私，SSL侦听提供精细化的控制策略，企业可以根据需要配置策略确定需要侦听的SSL流量，绕过不需要侦听的流量。同时，SSL侦听集成了URL分类功能，对百万级的网站域名进行分类和控制，支持有选择的监控流量。

第四，提升现有安全设备性能和安全基础设施的整体性能

SSL侦听将计算和资源密集型的流量加解密从安全设备卸载到SSL侦听设备，SSL安全设备可以专注于所负责安全功能和任务，提供最佳的设备性能。SSL侦听还为多个同类的安全设备提供负载均衡，为安全设备提供高可用性，并提升安全方案的整体性能。

由于SSL侦听支持“一次解密，供应多设备”模式，应用加密流量不需要多次的加解密，大大降低服务的延迟，提升应用的整体性能和用户体验。

总之，SSL侦听方案，对于具有支持流量加解密安全设备的来说，可以显著提升设备性能；对于不支持流量加解密的设备来说，免去了更换设备的成本投入。通过SSL侦听，不仅为企业提供应用流量数据可见性能力，同时最大程度提高现有安全设备的性能，提高企业应用的安全性和合规性。