深信服AC设备是如何处理SSL加密流量的审计和解密的?

小鸽子 1249

{{ttag.title}}
深信服AC设备是如何处理SSL加密流量的审计和解密的?

该疑问已被 解决,获得了 30 S豆

回帖即可获得
2S豆
,被楼主采纳即奖励20S豆+10分钟内回帖奖励10S豆 [已过期] ,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

深信服AC设备提供两种主要的SSL解密技术来处理SSL加密流量的审计和解密:

SSL中间人解密 :

工作原理:当内网PC发起SSL连接请求时,AC设备作为代理服务器,代替SSL客户端发出访问请求给SSL服务器。AC设备与SSL服务器完成交互后,再以SSL服务器的身份回应内网PC的SSL访问请求。在这个过程中,AC设备同时扮演SSL客户端和服务端的角色,使用自身的证书与内网PC进行加密通信,而与SSL服务器的通信则使用SSL服务器的证书进行加密。
消除证书警告:可以通过重定向证书分发安装、手动安装证书或通过AD域推送安装证书的方式来消除终端上的证书警告。
优缺点:优点是不需要准入客户端,适用于所有操作系统;缺点是会对AC性能消耗较大,解密吞吐率较低,不支持指定进程进行解密,且可能会触发证书告警。
应用场景:主要应用于网桥/路由模式,中间人审计终端与服务器交互的SSL协议数据。
客户端代理解密(准入插件解密) :

工作原理:在客户端安装准入插件,准入插件在客户端生成主秘钥并发送给SSL服务器之前,将秘钥“偷”出来交给AC设备,使得AC获得数据加密的对称密钥。数据传输时,通过镜像将数据复制一份给AC,AC就可以进行解密看到明文数据。
准入插件获取主秘钥:AC 13.0.14及之后版本的准入插件使用代理方式解密,性能较高。PC上网的代理流量通过准入插件与SSL服务器交互,获取PC加密数据所使用的密钥。
应用场景:应用于路由/网桥/旁路模式,AC通过客户端审计SSL协议数据。
优缺点:优点包括无证书告警,对AC性能消耗低(插件运行在终端),解密吞吐率高,审计内容更丰富,可对指定软件应用做代理解密;缺点是需要准入客户端,目前只支持Windows系统,不支持过滤、只支持审计。
本答案是否对你有帮助?
真男人 发表于 2024-6-20 17:08
  
一起来学习,一起来学习
会飞的鱼儿 发表于 2024-6-20 17:13
  
深信服AC设备提供两种主要的SSL解密技术来处理SSL加密流量的审计和解密:

SSL中间人解密 :

工作原理:当内网PC发起SSL连接请求时,AC设备作为代理服务器,代替SSL客户端发出访问请求给SSL服务器。AC设备与SSL服务器完成交互后,再以SSL服务器的身份回应内网PC的SSL访问请求。在这个过程中,AC设备同时扮演SSL客户端和服务端的角色,使用自身的证书与内网PC进行加密通信,而与SSL服务器的通信则使用SSL服务器的证书进行加密。
消除证书警告:可以通过重定向证书分发安装、手动安装证书或通过AD域推送安装证书的方式来消除终端上的证书警告。
优缺点:优点是不需要准入客户端,适用于所有操作系统;缺点是会对AC性能消耗较大,解密吞吐率较低,不支持指定进程进行解密,且可能会触发证书告警。
应用场景:主要应用于网桥/路由模式,中间人审计终端与服务器交互的SSL协议数据。
客户端代理解密(准入插件解密) :

工作原理:在客户端安装准入插件,准入插件在客户端生成主秘钥并发送给SSL服务器之前,将秘钥“偷”出来交给AC设备,使得AC获得数据加密的对称密钥。数据传输时,通过镜像将数据复制一份给AC,AC就可以进行解密看到明文数据。
准入插件获取主秘钥:AC 13.0.14及之后版本的准入插件使用代理方式解密,性能较高。PC上网的代理流量通过准入插件与SSL服务器交互,获取PC加密数据所使用的密钥。
应用场景:应用于路由/网桥/旁路模式,AC通过客户端审计SSL协议数据。
优缺点:优点包括无证书告警,对AC性能消耗低(插件运行在终端),解密吞吐率高,审计内容更丰富,可对指定软件应用做代理解密;缺点是需要准入客户端,目前只支持Windows系统,不支持过滤、只支持审计。
新手899116 发表于 2024-6-20 17:18
  
一起来学习,一起来学习
新手031815 发表于 2024-6-20 17:31
  
深信服AC设备提供两种主要的SSL解密技术来处理SSL加密流量的审计和解密:

SSL中间人解密 :

工作原理:当内网PC发起SSL连接请求时,AC设备作为代理服务器,代替SSL客户端发出访问请求给SSL服务器。AC设备与SSL服务器完成交互后,再以SSL服务器的身份回应内网PC的SSL访问请求。在这个过程中,AC设备同时扮演SSL客户端和服务端的角色,使用自身的证书与内网PC进行加密通信,而与SSL服务器的通信则使用SSL服务器的证书进行加密。
消除证书警告:可以通过重定向证书分发安装、手动安装证书或通过AD域推送安装证书的方式来消除终端上的证书警告。
优缺点:优点是不需要准入客户端,适用于所有操作系统;缺点是会对AC性能消耗较大,解密吞吐率较低,不支持指定进程进行解密,且可能会触发证书告警。
应用场景:主要应用于网桥/路由模式,中间人审计终端与服务器交互的SSL协议数据。
客户端代理解密(准入插件解密) :

工作原理:在客户端安装准入插件,准入插件在客户端生成主秘钥并发送给SSL服务器之前,将秘钥“偷”出来交给AC设备,使得AC获得数据加密的对称密钥。数据传输时,通过镜像将数据复制一份给AC,AC就可以进行解密看到明文数据。
准入插件获取主秘钥:AC 13.0.14及之后版本的准入插件使用代理方式解密,性能较高。PC上网的代理流量通过准入插件与SSL服务器交互,获取PC加密数据所使用的密钥。
应用场景:应用于路由/网桥/旁路模式,AC通过客户端审计SSL协议数据。
优缺点:优点包括无证书告警,对AC性能消耗低(插件运行在终端),解密吞吐率高,审计内容更丰富,可对指定软件应用做代理解密;缺点是需要准入客户端,目前只支持Windows系统,不支持过滤、只支持审计。
举报
新手078326 发表于 2024-6-24 14:51
  
一起来学习,一起来学习

等我来答:

换一批

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
351

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人