SINFOR AD产品系列技术之SSL卸载技术

深信服应用交付产品技术白皮书深信服科技有限公司2013年版权声明深圳市深信服电子科技有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其着作权或其它相关权利均属于深圳市深信服电子科技有限公司。

未经深圳市深信服电子科技有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

免责条款本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。

深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈如果您有任何宝贵意见，请反馈：信箱：广东省深圳市学苑大道1001号南山智园A1栋邮编：518055电话：9传真：9您也可以访问深信服科技网站：获得最新技术和产品信息缩写和约定英文缩写英文全称中文解释ACL Access Control List访问控制列表ADC Application Delivery Controller应用交付设备BRAS Broadband Remote Access Server宽带接入服务器DNAT Destination NAT目的地址NATDNS Domain Name Service域名服务DR Direct Route直达路由FTP File Transfer Protocol文件传输协议HA High Availability高可用性HTTP Hypertext Transfer Protocol超文本传输协议ICMP Internet Control Message Protocol因特网控制报文协议ISP Internet Service Provider Internet服务提供商MAC Media Access Control介质访问控制NAT Network Address Translation网络地址转换OSPF Open Shortest Path First开放最短路径优先RADIUS Remote Authentication Dial In UserService 远程用户拨号认证系统RIP Routing Information Protocol路由信息协议RTT Round Trip Time往返时间STP Spanning Tree Protocol生成树协议SNAT Source NAT源地址NAT SNMP Simple Network Management Protocol简单网络管理协议SOA Service Oriented Architecture面向服务架构SSL Secure Socket Layer安全套接层TCP Transmission Control Protocol传输控制协议UDP User Datagram Protocol用户数据报协议URI Uniform Resource Identifier统一资源标识符URL Uniform Resource Locator统一资源定位符VLAN Virtual Local Area Network虚拟局域网目录第1章应用交付，后负载均衡时代的选择 ......... 错误!未定义书签。

深信服Sinfor AC上网行为管理解决方案目录目录一、上网行为管理与企业竞争力 (3)二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统 (3)三、滨江远望公司网络现状及深信服解决方案 (4)深信服解决方案 (4)网络拓扑图1： (5)网络拓扑图2： (6)四、深信服AC上网行为管理功能介绍 (7)1，细致的访问控制功能，有效管理用户上网 (7)2，完善的内容过虑和访问审计功能，防止机密信息泄漏 (7)3，强大的数据报表中心，提供直观的上网数据统计 (7)4，强大的QOS及流量分析功能 (8)5，集成丰富的外网安全功能：包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等 (8)五、SINFOR AC安全网关主要技术优势 (8)1，深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件 (8)2，邮件的延迟审计（专利技术） (9)3，独有的网络访问准入规则（专利技术） (9)4，WEB认证技术 (9)5，高度集成，部署灵活 (9)6，模块化设计，性能强大 (9)六、成功典型案例 (10)附1：深信服上网行为管理功能一览表 (11)一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。

在IDC对全世界企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。

据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。

这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。

企业网作为一个开放的网络系统，运行状况愈来愈复杂。

企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这一切都是对企业网信息安全管理的挑战，这些问题包括：●IT管理员如何对企业网络效能行为进行统计、分析和评估？●IT管理员如何限制一些非工作上网行为和非正常上网行为（如色情网站），如何监控、控制和引导员工正确使用网络？●IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料？●IT管理员如何在万一发生问题时有一个证据或依据？二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具，同样面临着适当监控、合理使用的问题。

SSL 5.5用户手册2012年3月目录SSL 5.5用户手册 (1)声明 (8)前言 ..................................................................................................... 错误!未定义书签。

手册容........................................................................................ 错误!未定义书签。

本书约定 .................................................................................... 错误!未定义书签。

图形界面格式约定 ............................................................... 错误!未定义书签。

各类标志 ............................................................................. 错误!未定义书签。

技术支持 .................................................................................... 错误!未定义书签。

致............................................................................................... 错误!未定义书签。

第1章VPN设备的安装 ....................................................................... 错误!未定义书签。

技术方案本方案包含两个部分，上网行为管理技术方案和负载均衡技术方案一、上网行为管理技术方案1、需求概述背景介绍随着互联网技术的发展，组织的业务模式和员工的工作模式、行为习惯都在不断发生改变：⏹网上业务：组织建设了更多的网上业务平台，通过互联网来开展业务;⏹沟通桥梁：内部员工也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升工作效率，获取资讯和知识,维系人脉关系；⏹移动互联网：移动互联网的消费化趋势也逐渐影响到组织内部的IT系统,员工更喜欢通过WLAN、移动终端类开展工作；因此，在员工的日常工作中，ISD需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境.上网行为管理需求员工访问互联网的习惯正在发生变化，从最早使用PC、有线局域网,到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题: 工作效率低下网络的普及改变了传统的办公方式,而内网中总有部分用户在上班时间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、看视频、网购等，而且越来越多的员工正在通过企业无线网络来使用移动APP版的淘宝、陌陌.这严重影响工作效率，从而导致企业竞争力的下降。

所以,组织需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。

带宽滥用和浪费互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，用户在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。

此外,传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制用户的流量，带宽价值被大大浪费。

所以,IT部门需要针对各种应用类型、用户角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升用户上网体验。

BYOD难管理随着移动终端的普及,员工往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置(办公座位、会议室等），接入企业IT系统。

Gartner定义下一代防火墙源引自：Gartner《Defining the Next-Generation Firewall》一、防火墙必须演进防火墙必须演进，才能够更主动地阻止新威胁(例如僵尸网络和定位攻击)。

随着攻击变得越来越复杂，企业必须更新网络防火墙和入侵防御能力来保护业务系统。

不断变化的业务流程、企业部署的技术，以及威胁，正推动对网络安全性的新需求。

不断增长的带宽需求和新应用架构(如Web2.0)，正在改变协议的使用方式和数据的传输方式。

安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。

在这种环境中，简单地强制要求在标准端口上使用合适的协议和阻止对未打补丁的服务器的探测，不再有足够的价值。

为了应对这些挑战，防火墙必须演进为被著名市场研究公司Gartner称之为“下一代防火墙(NextGenerationFirewall，简称NGFW)”的产品。

如果防火墙厂商不进行这些改变的话，企业将要求通过降价来降低防火墙的成本并寻求其他安全解决方案来应对新的威胁环境。

二、什么是NGFW?Gartner将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。

Gartner使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用IT的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。

NGFW至少具有以下属性：1．支持联机“bump-in-the-wire”配置，不中断网络运行。

2．发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：（1）标准的第一代防火墙能力：包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。

（2）集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。

IPS与防火墙的互动效果应当大于这两部分效果的总和。

例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。

ssl卸载原理
SSL卸载，也称为SSL解密，是一种将SSL加密数据流拆卸成非
加密的明文数据流的过程。

SSL卸载通常在负载均衡器、代理服务器、WAF等设备中实现，可以提高传输效率和安全性。

SSL卸载的原理是将SSL数据流拦截下来，通过设备内置的证书进行解密，然后将明文流量传送到后端的Web服务器。

在前端设备和Web服务器之间，使用HTTP
协议进行通信，这样就避免了原始SSL传输所产生的一些问题，如负
载不均衡，服务器性能下降等。

SSL卸载是一种重要的安全技术，它可以提升网络传输效率，提
高系统的可靠性和安全性。

由于SSL卸载设备使用自己生成的证书对SSL加密数据流进行解密，所以需要对其进行严格的管理和控制。

任何人都不能轻易复制这些证书，并且需要保证卸载设备的安全性。

此外，SSL卸载设备需要对伪造的证书进行检测，以防止黑客攻击。

总之，SSL卸载是一个重要的网络安全技术，它可以提高网络传
输效率，保证安全性，但需要合理的管理和控制。

ssl卸载原理SSL（SecureSocketsLayer）是一种安全通信协议，用于加密数据传输，防止数据被窃取或篡改。

在网络通信中，SSL协议被广泛应用于保护浏览器与服务器之间的通信安全。

但是，在一些场景下，SSL通信会给服务器带来较大的负担，影响服务器的性能。

为了解决这个问题，SSL卸载技术应运而生。

SSL卸载是一种将SSL协议的加解密处理从服务器上移除的技术，可以将SSL协议的处理转移到专门的硬件设备上，从而减轻服务器的负担，提高服务器的性能。

SSL卸载技术的基本原理是：将SSL协议的加解密处理从服务器上移除，由专门的硬件设备来完成加解密处理，然后将处理后的数据返回给服务器。

这样，服务器就可以专注于其他任务，如业务逻辑处理等，提高服务器的性能。

SSL卸载技术的实现方式有两种：硬件SSL卸载和软件SSL卸载。

硬件SSL卸载是通过专门的硬件设备来完成SSL协议的加解密处理，如SSL加速卡、SSL加速器等。

这些硬件设备具有高效的加解密处理能力，可以大大提高SSL协议的处理速度，减轻服务器的负担。

软件SSL卸载则是通过在服务器上安装SSL卸载软件来实现的，这种方式相对于硬件SSL卸载来说，成本更低，但处理速度相对较慢。

SSL卸载技术的优点是显而易见的，它可以有效地提高服务器的性能，降低服务器的负担，从而提高网站的访问速度和用户体验。

此外，SSL卸载技术还可以提高服务器的安全性，因为SSL卸载设备通常具有更高的安全性能，可以有效地防止攻击和数据泄露。

但是，SSL卸载技术也存在一些缺点和风险。

首先，SSL卸载设备本身也可能成为攻击的目标，如果攻击者成功攻击了SSL卸载设备，就可以窃取敏感数据或进行恶意操作。

其次，SSL卸载技术可能会导致SSL通信的安全性降低，因为SSL卸载设备通常会将SSL 通信的明文数据暴露在服务器和SSL卸载设备之间，如果攻击者成功获取了这些明文数据，就可以对数据进行窃取或篡改。

SANGFOR_AD_SSL卸载配置需求分析原有客户WEB页面提供HTTP服务，通过AD提供加密传输的HTTPS服务。

AD提供HTTPS的优势：1.减轻服务器压力，服务器自身使用HTTPS后性能将是HTTP的30%。

2.配置简单配置步骤配置步骤以单臂模式为例讲解例如：原WEB页面：http://192.200.40.63发布为：https://192.200.40.62 AD基本配置1.填写SSL卸载授权序列号2.选择旁路模式3.网络接口—新增—选择类别WAN，点击“下一步”4.选择网络接口，并添加IP：192.200.40.62。

5.添加SNAT（如不做源地址转换，请更改节点的网关指向AD）应用负载配置1.新建IP组2.新建SSL证书3.新建节电池注意节点要指定端口80，不能留空。

1.新建虚拟服务服务选择HTTPS，选择相应的节点池，IP组，服务器证书，并启用HTTP自动跳转到HTTPS。

注意事项及建议1.AD的SSL卸载功能需要序列号。

2.添加节点的时候，一定要指定端口，不能留空。

3.建议管理IP和发布IP分开。

4.部分WEB页面里嵌套的HTTP请求无法打开，请在配置虚拟服务的时候启用HTTP自动跳转到HTTPS。

如AD设备是单臂模式部署在内网并且需要把服务发布到互联网，为保证HTTP 到HTTPS跳转功能生效，前置防火墙设备还需映射80到192.200.40.62。

5.部分页面嵌套HTTP，成功发布HTTPS后，打开时IE会出现“此网页包含的内容将不使用安全的HTTPS连接传送，可能危及到整个网页的安全。

”的警告。

解决办法：一，每次点“否”继续浏览，二，每台电脑更改IE设备，更改方式：工具>Internet选项>安全>Internet>自定义级别>显示混合内容=启用，三，联系WEB开发人员，取消页面嵌套的HTTP连接。

第1章SANGFOR SSL-VPN技术特点1.1更安全的SSL VPNSANGFOR SSL VPN身份认证安全、终端访问安全、数据传输安全、权限划分安全、应用访问审计安全五大安全体系，由头至尾保证整个SSL VPN接入访问的安全性。

1.1.1身份认证安全1.1.1.1多种方式混合认证许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。

使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题，尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统，一旦遭遇用户名密码被盗窃，其后果所造成的威胁将是不可估量的。

SANGFOR SSL VPN支持多种认证方式的多因素组合认证，除了最基本的用户名密码认证之外，还支持LDAP/AD、Radius、CA等第三方认证，支持USB KEY、硬件特征码、短信认证（短信猫和短信网关）、动态令牌卡等加强认证方式。

单一的认证方式容易被暴力破解，为了进一步提高身份认证的安全性，深信服创新性提出混合认证，针对以上认证方式可以进行多因素的“与”、“或”组合认证。

“与”组合认证可实现多达5种以上认证方式的捆绑，必须同时满足才能够接入SSL VPN系统。

“或”组合认证可对于以上几种认证方式进行或组合，只要通过一种认证方式即可接入到SSL VPN 系统中。

通过多因素组合认证大大加强认证安全的强度，确保接入SSL VPN的用户的身份的确认性。

1.1.1.2USB KEY认证SANGFOR SSL VPN支持基于数字证书的USB KEY认证，将CA中心生成的数字证书颁发给USB KEY，并为该USB KEY设置PIN码。

通过硬件存储数字证书+PIN码的方式保证提供用户高安全的认证方式。

同时，SANGFOR SSL VPN支持无驱USB KEY认证，客户端无需安装驱动即可使用USB KEY进行登录认证，大大提高了客户端使用的易用性。

USB DKEY可同时支持SSL VPN、IPSec VPN移动客户端两套系统，安全方便。