自动、智能、可视!深信服SSLO方案背后的八大设计
  

阿云在战斗 359024人觉得有帮助

{{ttag.title}}
随着SSL/TLS协议更多地应用在web网站、邮件系统、FTP以及物联网中,企业传统的“糖葫芦串”安全架构也遇到了挑战:
业务不可视:某些安全设备可能无法解密和检测SSL/TLS流量,成为企业的安全盲点。或者安全设备做SSL卸载后,安全设备的处理性能大幅降低,企业安全需求无法满足。
资源易浪费:在传统安全架构下,众多安全设备糖葫芦串部署模式下存在着多个故障点,整体稳定性低,很难适应网络结构的变化。同时使得安全设备消耗了不必要的性能,带来IT资源浪费。
故障排查烦:传统的网络数据中心往往采用大量不同的安全厂商设备,当出现故障时经常需要协调不同的安全厂家同时进行协助排查,导致排查难度上升。
设备扩展难:在传统安全架构下,FW、IPS、WAF等安全设备一般是主备模式部署,很难实现横向扩展。如果出现设备性能不够的情况,只能通过更换更高性能的硬件来实现纵向扩展。
↑ 传统的安全架构
面对以上挑战,深信服推出全新SSLO解决方案,通过重塑安全架构帮助用户实现流量的智能编排和管理。该方案具备SSL流量可视化安全设备池化服务链编排等特点,基于安全设备接入方式和安全服务链的创新,实现了安全设备性能可扩、设备间可异构、资源利用率可提升以及流量的智能编排。
一、安全SSL流量可视
入站SSL流量在经过SSLO设备时,会集中卸载整体的流量:先解密,再进行流量智能编排,接着传给服务器(可再加密)。这样不仅能消除安全盲点所有的SSL流量也都能清晰看到,同时节省安全设备SSL加、解密消耗,规避利用SSL绕过安全设备的安全风险。
二、安全设备池化
深信服SSLO提供专业负载均衡技术,能够实现安全设备池化,避免资产闲置支持平滑扩容以及品牌异构增加网络架构弹性
三、支持安全设备多种方式接入
深信服SSLO可支持接入运行在不同工作模式下的安全设备。
1.安全设备二层接入
二层方式接入类似于网线模式。为有效区分不同的二层安全设备,需要每个二层安全设备均独占两个不同的链路(或者VLAN),在SSLO设备的第二条链路设置一个VIP(IP3)来进行,此VIP与链路1的IP1同网段,当IP3能够接收到IP1的流量时,我们就认为二层的安全设备处于正常工作的状态,反之则是设备不正常。
↑ 逻辑图
2.安全设备三层接入
三层设备接入本身提供了IP地址。对SSLO设备来说,流量发往安全设备的出接口和从安全设备收到流量的入接口此时并不需要完全独立,有单臂方式,也有双臂模式。
单臂模式:L3 安全设备上只需要配置一条路由,将请求方向和应答方向的数据包均路由到 IP1,此种方式配置上更为简单。
双臂模式:L3 安全设备需要配置多条路由,将请求方向数据包路由到 IP2,同时将应答方向的数据包路由到 IP1。
3.TAP镜像设备接入
镜像设备本身只接收数据包,默认不需要配置监视器。SSLO 设备需要给镜像设备分配一条链路(link1),如果镜像设备上配置有 IP,且会响应 SSLO 的 ARP 请求,那么 SSLO 上可以直接使用镜像设备的 IP 即可。如果镜 像设备上不响应 ARP 请求,那么 SSLO上需要为镜像设备分配一个IP,同时为这个IP绑 定镜像设备的 MAC 地址。
四、会话分离技术
深信服SSLO会话分离技术为流量智能编排提供坚实的技术保障。
Linux系统中,一般通过连接跟踪的机制来记录会话信息,当五元组信息相同时会命中相同会话,在流量经SSLO编排后从安全设备回流的流量一般不会改变五元组信息,进而会无法将流量编排到不同的安全设备中去。
为了能够区分不同的会话,深信服进行了创新设计:
1)保证各个安全设备使用的是不同的链路,进而可以根据流量入接口来区分不同的安全设备。
2)将入接口链路信息记录到会话信息中,流量从不同的入接口进入则可命中不同的会话,实现会话隔离。
3)在会话隔离的基础上,将流量经过的安全设备按顺序串联起来,一方面用来确定流量流经安全设备的顺序,另一方面用来在安全设备异常时能够根据此信息实现安全设备bypass,保证流量的连续性。
五、安全设备健康检查
深信服SSLO能够提供多种健康检查方式,以保证将流量转发到正常工作的安全设备。比较常见的健康检查方式是通过icmp协议来进行网络探测,除了icmp方式,也可以通过发送四层/七层数据进行检查。
六、安全服务链调度
深信服SSLO通过对安全服务链调度实现流量智能编排,安全服务链调度是非常灵活的,可以满足各种业务场景需求,包括虚拟服务引用安全服务链、前置策略引用安全服务链、ipro引用安全服务链等。
七、双模安全部署
针对安全设备运维和业务特点,制定灵活的部署策略,实现双模安全部署。基于某个业务,采用灰度引流方式,指定不同的服务链。如稳态链和敏态链,稳态链注重的是业务稳定和可靠,而敏态链注重的是业务灰度上线、敏态调整。
八、故障bypass(逃生)机制
为保障业务正常运行,即使在极端情况下,某个安全资源池里面的安全设备全部故障,SSLO设备依然可以通过流量灵活调度的能力,自动执行Bypass机制主动绕过故障的安全设备组避免因安全设备的故障问题影响整个业务
以上就是关于深信服SSLO解决方案的介绍,关注“深信服科技”公众号获取更多技术干货。

打赏鼓励作者,期待更多好文!

打赏
32人已打赏

平凡的小网工 发表于 2024-7-15 21:29
  
多谢分享,有助于工作。很详细的知识。
kier 发表于 2023-4-19 09:16
  
业务特点,制定灵活的部署策略,实现双模安全部署。基于某个业务,采用灰度引流方式,指定不同的服务链。如稳态链和敏态链,稳态链注重的是业务稳定和可靠,而敏态链注重的是业务灰度上线、敏态调整。
糖果星球 发表于 2023-2-12 18:32
  
深度长文,非常不错。感谢楼主分享
sen655 发表于 2022-11-21 11:18
  
谢谢楼主不错的经验
俞建水 发表于 2022-9-9 08:44
  
非常不错,很高深的样子,学习
水若善 发表于 2022-9-7 09:25
  
坚持每日学习打卡
俞建水 发表于 2022-9-2 08:23
  
感谢分享有助于工资和学习!
向上吧,少年 发表于 2022-8-31 09:10
  
每日一学,坚持打卡。
juzi 发表于 2022-8-31 09:05
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版热帖

本版达人