本帖最后由 张子鸣10801 于 2022-8-10 15:25 编辑
应用负载SSLO项目分享
一、项目背景
1、深信服应用负载SSLO安全设备流量编排测试的主要目的如下:
(1)普通安全设备无法解析SSL流量,当攻击者将恶意请求加入到SSL流量中后,就可以规避安全设备的审查,会直接导致出现安全盲区。
(2)当业务量上升,原有的安全设备无法满足要求时,管理员只能重新购买高性能的设备来进行替换,被替换的设备就会处于闲置,资源从而造成浪费。
(3)串式安全设备部署的场景,所有的业务就只能按照既有的顺序进行安全检查,即不需要检查的流量也会经过所有的安全设备,这样就会增加没必要业务的延时,同时也浪费了安全设备的性能。
2、当前所存在的问题
(1)SSL卸载对安全设备性能消耗极大,使用安全设备卸载SSL时,会导致安全设备的审查性能大幅度降低。
(2)所有流量都经过WAF等安全设备时,是无法根据具体业务来进行业务编排的,会造成业务延时增加、安全设备的性能损耗,缺乏对安全设备的统一管理且无法满足业务多样性的要求,缺少安全设备的健康检查、故障告警、历史状态统计。后续随着业务量的上升,超过现有安全设备的性能时,只能通过替换高性能的设备来实现,就会存在资源浪费。
二、SSLO测试的目的
1、主要可以实现在不改变现有网络架构的前提下,SSLO可以实现对现有镜像模式接入的IDS和WAF进行灵活编排,来满足用户多样的目标。
2、可以解决SSL卸载消耗WAF安全设备大量,导致安全审查能力大幅度下降的问题,检查SSL0能否集中进行SSL加解密,安全设备无需再进行SSL解密。
3、随着业务量上升,后续新增安全设备时,检查深信服SSLO能否支持对新增的安全设备进行纳管和编排。
4、SSL0设备对业务流量集中进行一次SSL解密,来消除SSL加密内容无法审查的现象。
三、主要测试环境
四、测试环境中主要数据流走向
1、首先客户端访问AD的业务地址1.1.1.1,当数据包到达AD之后,AD会将数据包转发至SSLO设备,到达SSLO设备的2.2.2.100地址,需要在AD上设置server服务器中的节点池中加入SSL0地址,并且将SSLO地址设为最高优先级,来保障正常情况下所有的流量全部都从SSLO设备经过,最后流量经过SSLO设备后由SSLO设备进行流量编排,将编排后的流量转发到其余安全设备。(注意:需要保证AD-SSLO-WAF(安全设备)网络之间互通且网络可达)
2、同时AD的SSLO流量编排功能支持对流量转发时进行编排,具备编排测试,流量编排主要是作用为内网中所存在的加密流量进行解密,同时对解密流量进行流量编排,按照编排顺序进行流量的转发。(图一为先经过SSLO再经过WAF1再经过WAF2最后到达服务器,同时也支持只经过其中一个WAF直接到服务器)
五、主要是实现方式
(通过安全服务链来实现)
六、结论
SSLO设备集中进行SSL解密,安全设备无需再进行SSL解密,减轻了安全设备的性能压力,提升了安全设备的安全审查能力。同时,SSL解密后的明文流量可视化程度提升,安全盲区消除,安全设备能够发挥更大的作用。安全设备集中管理,并支持健康检查和故障告警,出现故障时自动bypass保障业务连续,并且第一时间报告故障的位置,管理员能够快速处置,恢复业务正常,效率大大提升。
对现有的安全设备实现了智能编排,灵活性大大提升,能够根据业务需要对指定的流量进行灵活的安全检查,减轻了安全设备的压力,降低了整体业务的延时,建立了安全设备的统一管理机制,简化了运维操作。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-8-8 09:25
工程师1级 
