自動、智能、可視！深信服SSLO方案背后的八大設(shè)計

隨著SSL/TLS協(xié)議更多地應用在web網(wǎng)站、郵件系統(tǒng)、FTP以及物聯(lián)網(wǎng)中，企業(yè)傳統(tǒng)的“糖葫蘆串”安全架構(gòu)也遇到了挑戰(zhàn)：

業(yè)務不可視：某些安全設(shè)備可能無法解密和檢測SSL/TLS流量，成為企業(yè)的安全盲點。或者安全設(shè)備做SSL卸載后，安全設(shè)備的處理性能大幅降低，企業(yè)安全需求無法滿足。

資源易浪費：在傳統(tǒng)安全架構(gòu)下，眾多安全設(shè)備糖葫蘆串部署模式下存在著多個故障點，整體穩(wěn)定性低，很難適應網(wǎng)絡(luò)結(jié)構(gòu)的變化。同時使得安全設(shè)備消耗了不必要的性能，帶來IT資源浪費。

　　故障排查煩：傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)中心往往采用大量不同的安全廠商設(shè)備，當出現(xiàn)故障時經(jīng)常需要協(xié)調(diào)不同的安全廠家同時進行協(xié)助排查，導致排查難度上升。

設(shè)備擴展難：在傳統(tǒng)安全架構(gòu)下，F(xiàn)W、IPS、WAF等安全設(shè)備一般是主備模式部署，很難實現(xiàn)橫向擴展。如果出現(xiàn)設(shè)備性能不夠的情況，只能通過更換更高性能的硬件來實現(xiàn)縱向擴展。

↑ 傳統(tǒng)的安全架構(gòu)

面對以上挑戰(zhàn)，深信服推出全新SSLO解決方案，通過重塑安全架構(gòu)幫助用戶實現(xiàn)流量的智能編排和管理。該方案具備SSL流量可視化、安全設(shè)備池化、服務鏈編排等特點，基于安全設(shè)備接入方式和安全服務鏈的創(chuàng)新，實現(xiàn)了安全設(shè)備性能可擴、設(shè)備間可異構(gòu)、資源利用率可提升以及流量的智能編排。

一、安全SSL流量可視

入站SSL流量在經(jīng)過SSLO設(shè)備時，會集中卸載整體的流量：先解密，再進行流量智能編排，接著傳給服務器(可再加密)。這樣不僅能消除安全盲點，所有的SSL流量也都能清晰看到，同時節(jié)省安全設(shè)備SSL加、解密消耗，規(guī)避利用SSL繞過安全設(shè)備的安全風險。

　　二、安全設(shè)備池化

深信服SSLO提供專業(yè)負載均衡技術(shù)，能夠?qū)崿F(xiàn)安全設(shè)備池化，避免資產(chǎn)閑置，支持平滑擴容以及品牌異構(gòu)，增加網(wǎng)絡(luò)架構(gòu)彈性。

　　三、支持安全設(shè)備多種方式接入

深信服SSLO可支持接入運行在不同工作模式下的安全設(shè)備。

1.安全設(shè)備二層接入

二層方式接入類似于網(wǎng)線模式。為有效區(qū)分不同的二層安全設(shè)備，需要每個二層安全設(shè)備均獨占兩個不同的鏈路(或者VLAN)，在SSLO設(shè)備的第二條鏈路設(shè)置一個VIP(IP3)來進行，此VIP與鏈路1的IP1同網(wǎng)段，當IP3能夠接收到IP1的流量時，我們就認為二層的安全設(shè)備處于正常工作的狀態(tài)，反之則是設(shè)備不正常。

↑ 邏輯圖

2.安全設(shè)備三層接入

三層設(shè)備接入本身提供了IP地址。對SSLO設(shè)備來說，流量發(fā)往安全設(shè)備的出接口和從安全設(shè)備收到流量的入接口此時并不需要完全獨立，有單臂方式，也有雙臂模式。

單臂模式：L3 安全設(shè)備上只需要配置一條路由，將請求方向和應答方向的數(shù)據(jù)包均路由到 IP1，此種方式配置上更為簡單。

雙臂模式：L3 安全設(shè)備需要配置多條路由，將請求方向數(shù)據(jù)包路由到 IP2，同時將應答方向的數(shù)據(jù)包路由到 IP1。

3.TAP鏡像設(shè)備接入

鏡像設(shè)備本身只接收數(shù)據(jù)包，默認不需要配置監(jiān)視器。SSLO 設(shè)備需要給鏡像設(shè)備分配一條鏈路(link1)，如果鏡像設(shè)備上配置有 IP，且會響應 SSLO 的 ARP 請求，那么 SSLO 上可以直接使用鏡像設(shè)備的 IP 即可。如果鏡 像設(shè)備上不響應 ARP 請求，那么 SSLO上需要為鏡像設(shè)備分配一個IP，同時為這個IP綁 定鏡像設(shè)備的 MAC 地址。

四、會話分離技術(shù)

深信服SSLO會話分離技術(shù)為流量智能編排提供堅實的技術(shù)保障。

在Linux系統(tǒng)中，一般通過連接跟蹤的機制來記錄會話信息，當五元組信息相同時會命中相同會話，在流量經(jīng)SSLO編排后從安全設(shè)備回流的流量一般不會改變五元組信息，進而會無法將流量編排到不同的安全設(shè)備中去。

為了能夠區(qū)分不同的會話，深信服進行了創(chuàng)新設(shè)計：

(1)保證各個安全設(shè)備使用的是不同的鏈路，進而可以根據(jù)流量入接口來區(qū)分不同的安全設(shè)備。

(2)將入接口鏈路信息記錄到會話信息中，流量從不同的入接口進入則可命中不同的會話，實現(xiàn)會話隔離。

(3)在會話隔離的基礎(chǔ)上，將流量經(jīng)過的安全設(shè)備按順序串聯(lián)起來，一方面用來確定流量流經(jīng)安全設(shè)備的順序，另一方面用來在安全設(shè)備異常時能夠根據(jù)此信息實現(xiàn)安全設(shè)備bypass，保證流量的連續(xù)性。

五、安全設(shè)備健康檢查

深信服SSLO能夠提供多種健康檢查方式，以保證將流量轉(zhuǎn)發(fā)到正常工作的安全設(shè)備。比較常見的健康檢查方式是通過icmp協(xié)議來進行網(wǎng)絡(luò)探測，除了icmp方式，也可以通過發(fā)送四層/七層數(shù)據(jù)進行檢查。

六、安全服務鏈調(diào)度

深信服SSLO通過對安全服務鏈調(diào)度實現(xiàn)流量智能編排，安全服務鏈調(diào)度是非常靈活的，可以滿足各種業(yè)務場景需求，包括虛擬服務引用安全服務鏈、前置策略引用安全服務鏈、ipro引用安全服務鏈等。

七、雙模安全部署

針對安全設(shè)備運維和業(yè)務特點，制定靈活的部署策略，實現(xiàn)雙模安全部署?；谀硞€業(yè)務，采用灰度引流方式，指定不同的服務鏈。如穩(wěn)態(tài)鏈和敏態(tài)鏈，穩(wěn)態(tài)鏈注重的是業(yè)務穩(wěn)定和可靠，而敏態(tài)鏈注重的是業(yè)務灰度上線、敏態(tài)調(diào)整。

八、故障bypass(逃生)機制

為保障業(yè)務正常運行，即使在極端情況下，某個安全資源池里面的安全設(shè)備全部故障，SSLO設(shè)備依然可以通過流量靈活調(diào)度的能力，自動執(zhí)行Bypass機制，主動繞過故障的安全設(shè)備組，避免因安全設(shè)備的故障問題影響整個業(yè)務。

以上就是關(guān)于深信服SSLO解決方案的介紹，關(guān)注“深信服科技”公眾號，可以獲取更多技術(shù)干貨。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）