今天,大部分的网络管理者都会允许加密通信,但仅仅允许他们通过SSL Proxy方式进行,SSL Proxy使得网络管理员能够在SSL加密数据流进入或者流去企业网络之前检测他们,它提供机会使得网络流量能够先被检测,然后再加密发送出去。不幸的是,传统的SSL Proxy引入的另外的问题使得它在安全方面带来的好处变得无足轻重。SL Proxy需要插入到当前网络路径上,当它的性能不足以支持现有网络带宽时,它会带来网络拥塞。在考虑SSL Proxy部署时,总是以一定的标准来要求SSL Proxy所能达到的性能指标,如:支持的用户数目、并发的session数目、总的带宽等。当网络中某一个方面的指标超出SSL Proxy的极限时,SSL Proxy就会为整个网络带来拥塞。
同样,SSL Proxy还需要配置IP地址,可能还需要修改网络拓朴结构以便SSL Proxy能够插入到网络当中。作为一个有IP地址的in-line模式的网络设备,SSL Proxy本身也变得容易遭受攻击,就像所有其他网络中的主机、服务器、路由器那样。
另一个SSL Proxy带来的问题是:网络管理员需要假定所有的SSL流量都将被阻断,除非这些流量是通过SSL Proxy的,路由器或者防火墙需要保证这一点。另外,传统SSL Proxy也需要修改网络上所有主机、服务器的配置信息,引入代理服务器配置。
四、 Netronome SSL检测解决方案
透明SSL Proxy
随着网络带宽的扩展、应用负载度增加和各种攻击的增多,越来越多的网络通过部署多种网络安全设备和基于IP的应用与服务来应对。然而传统的SSL Proxy无法在各个方面都满足用户的需求,一种新的SSL Proxy出现了。它不仅能提供现有SSL Proxy所能提供的好处,同时也能消除现有SSL Proxy所带来的各种的负面影响,它就是透明SSL Proxy。它部署在IP网络中能够在SSL流量进入或者离开网络之前,以明文方式检测SSL流量。“透明”指的是它们能够以”bump-in-wire”方式部署,即它们在网络中没有可见的IP接口,他们不需要任何IP地址分配或者配置,从而无需对主机/服务器进行任何复杂的配置或者对当前IP网络拓扑做任何修改。它们可以很容易的加入网络或者从网络中移除,“透明”同时也意味着SSL Proxy功能对终端用户而言是不可见的,无法感知的。透明SSL Proxy可以看到所有的流量,不仅仅是SSL的流量,所以要求线速网络性能来快速转发非SS流量。一个高效的透明SSL Proxy能够同时在网络层和应用层提供高性能处理。
Netronome SSL Inspector
Netronome SSL Inspector(SSLIA)是业界最高性能的透明SSL代理,基于Netronome领先的网络流处理器技术,在高速处理网络数据流的同时,给应用提供访问SSL加密连接中的明文的能力。 应用无需任何修改,可以运行在Netronome SSLIA平台上或者相邻的设备上, 来实现对SSL流量中的明文的检测。同时,Netronome SSLIA能够使得现有的网络安全设备能够访问SSL加密连接中的明文,扩展它们对SSL加密流量的处理能力。
SSLIA的主要功能在于识别SSL连接并解密,将明文流递交给第三方的安全设备或应用。除了处理SSL流量,SSLIA作为一个智能的、可编程的流量捕获和镜像设备,还可以减少附属的安全设备或应用的负载,对非SSL流量依据策略进行分类、分流、过滤等。
