wordpress搭建多个购物网站,产品推销方案,wordpress mysql主机,庆阳房屋买卖网SSL加密流量检测功能的主要目的是为了对加密流量做解密处理#xff0c;并对解密后的流量做内容安全检查#xff08;比如反病毒、入侵防御、URL远程查询、内容过滤、文件过滤和邮件过滤等#xff09;和审计#xff08;防止信息泄露#xff09;。接下来我们详细介绍SSL加密流… SSL加密流量检测功能的主要目的是为了对加密流量做解密处理并对解密后的流量做内容安全检查比如反病毒、入侵防御、URL远程查询、内容过滤、文件过滤和邮件过滤等和审计防止信息泄露。接下来我们详细介绍SSL加密流量检测的功能、实现原理、检测策略、典型使用场景及其限制。 1. 背景介绍
安全问题和隐私问题驱动着越来越多的网络流量开始采用SSL加密传输早期的安全设备由于无法检测SSL加密流量的内容不能直接对SSL加密流量做内容安全检查和审计这就为非法用户利用SSL的加密特点进行恶意网络攻击提供了可乘之机比如
内网用户通过加密流量下载的可执行文件中潜藏着病毒内网用户在不知情的情况下访问了使用HTTPS协议的恶意网站未授权的内部机密信息以加密数据传输的方式被泄露到外网。
2. SSL加密流量检测原理
安全设备比如华为USG系列防火墙一般会提供的SSL加密流量检测功能可以对SSL加密流量进行解密并对解密后的报文进行深度检测防止恶意攻击进入企业内部或者防止企业的机密信息被非法扩散。 开启加密流量检测后设备作为SSL代理与客户端和服务器分别建立了两条连接。可以对客户端和服务器的两条连接使用的加密算法、版本进行独立的设置。
由于SSL会话协商以及后续的报文加解密都是非常耗CPU的且安全性越高时通常耗费的CPU等资源也越大。对于比较安全的可信内部网络建议采用安全性较低的算法和版本对于网络状况复杂攻击比较多的外部网络选择安全性高的算法和版本达到安全与性能的平衡。
命中这些检测策略条件的报文会根据解密配置文件中设置的动作来决定允许通过还是被阻断。 在此过程中SSL加密流量检测功能会与安全策略、内容安全检查策略发生关联从整体上掌握SSL加密流量检测功能的处理流程。
安全策略是由流量的属性例如五元组、用户、时间段等和对流量执行的动作组成的控制规则安全设备收到流量后对流量的属性进行识别并将流量的属性与安全策略的匹配条件进行匹配。若所有条件都匹配则此流量成功匹配安全策略。流量匹配安全策略后设备将会执行安全策略的动作。 五元组包括VLAN ID、源安全区域、目的安全区域、源地址和目的地址。 内容安全策略
反病毒反病毒特性用于保护内网的用户和服务器免受病毒威胁。URL过滤URLUniform Resource Locator过滤可以对用户访问的URL进行控制允许或禁止用户访问某些网页资源达到规范上网行为的目的。DNS过滤DNSDomain Name System过滤可以对用户访问的域名进行控制允许或禁止用户访问某些网站达到规范上网行为的目的。文件过滤文件过滤通过阻断特定类型的文件传输可以降低内部网络执行恶意代码和感染病毒的风险还可以防止员工将公司机密文件泄漏到互联网。内容过滤内容过滤可以防止机密信息的泄露及违规信息的传输。邮件过滤对邮件收发行为进行管控包括防止垃圾邮件和匿名邮件泛滥控制违规收发等。
对于通过内容安全检查的流量设备会重新加密然后发往服务器确保经过设备解密后的流量在离开设备时依旧安全对于内容安全检查未通过的流量设备会实施阻断操作有效拦截基于SSL的加密流量攻击。
3. 典型使用场景
3.1. 通过SSL加密流量检测功能保护客户端
此场景中设备需要对加密流量进行安全检测防止企业敏感信息通过加密方式传输出去造成信息的泄露还可以保护内网用户免受外部恶意网站的攻击。 如上图所示位于Internet的某HTTPS服务器是一个恶意网站内网用户在不知情的情况下通过客户端向该网站发起了访问请求。管理员为了保护内网用户不受外部恶意网站侵害在设备配置了SSL加密流量检测功能。当用户的访问请求到达设备时设备首先对该访问请求进行解密然后通过配置内容安全检查功能设备可以对解密后的访问请求报文进行入侵防御、反病毒和URL过滤等检查能识别出该地址为恶意网站地址并对该访问实施阻断操作起到保护内网用户的作用。 注此场景中设备部署在SSL客户端所在网络中当SSL客户端访问服务器的请求经过设备时设备作为代理对流量进行解密并进行安全检查确保访问目标安全后再放行达到保护客户端的目的。 设备作为客户端和服务器的中间人在收到客户端请求后代理客户端和服务器侧建立连接自己同时作为服务器和客户端建立连接。由于实际上设备把SSL的握手变成了两个完全独立的过程因此设备作为中间人可以完全获得和客户端、服务器的交互内容从而达到对内容进行处理的目的。 设备在启用SSL解密功能后客户端通过浏览器访问HTTPS类网站时会弹出服务器证书不是由受信任机构颁发的告警信息甚至有些应用程序不提示告警信息就直接中断了连接影响用户的正常使用。
为了解决通信中断问题设备需要使用SSL解密证书签发一个服务器证书然后发给客户端进行验证这样才能对客户端发送的流量进行解密。为了让客户端能够信任此服务器证书就还需要在客户端下安装SSL解密证书。 注通过企业已有的AD域认证系统可以实现证书的自动分发和安装只需要企业管理员直接在AD服务器部署一次即可终端用户无感知。 经过以上介绍在企业中大家发现自己浏览器地址栏中图标中的证书是公司自签名证书颁发的就不会再觉得奇怪了因为我们实际访问的服务端是防火墙设备代理的。
3.2. 通过SSL加密流量检测功能保护服务端
此场景中设备需要对外部的加密流量进行安全检测保护企业内部服务器的安全。 如上图所示位于Internet的一个恶意用户通过HTTPS客户端向HTTPS服务器上传病毒文件。网络管理者为了保护HTTPS服务器不受外部病毒侵害在设备首先对访问数据进行解密然后再对解密后的数据做内容安全检查一旦发现用户发来的流量中携带有病毒SSL加密流量检测功能就会阻断该流量起到保护内网服务器的作用。 注此场景中设备部署在SSL服务器所在网络中当SSL客户端访问服务器的请求经过设备时设备作为代理对流量进行解密并进行安全检查确保访问流量安全后再放行达到保护服务器的目的。 设备与服务器建立SSL连接过程中需要获取到服务器的证书供客户端验证这样才能对客户端发送的流量进行解密。因此需要获取到服务器证书及证书的私钥并导入到设备。
4. 使用限制
4.1. 不支持双向认证场景
服务器要求验证客户端证书的场景不建议使用SSL解密功能。
例如用户访问银行或者社保类等涉及个人隐私安全的网站时通常服务器会要求验证客户端的证书。如果使用SSL解密功能可能会存在客户端证书校验失败导致客户端不能访问服务器的情况需要直接透传这些流量。
4.2. 不支持某些特殊场景
对于一些浏览器没有预置/导入服务器CA证书的场景或某些软件APP预置固定的公钥场景不能使用SSL加密流量检测功能。因为设备自己推送给客户端的证书无法通过客户端的校验导致连接异常中断。
此时可以通过配置SSL域名白名单或配置URL分类不解密的方法直接透传客户端和服务器的SSL连接。 注SSL域名白名单仅在保护客户端场景下使用。 参考链接
https://support.huawei.com/hedex/hdx.do?docidEDOC1100149311idZH-CN_CONCEPT_0178935621https://support.huawei.com/hedex/hdx.do?docidEDOC1100386427idZH-CN_CONCEPT_0000001564126337https://support.huawei.com/hedex/hdx.do?docidEDOC1100386427idZH-CN_CONCEPT_0000001513046266
