xxx企业SSLO安全流量编排交付案例

1. 项目背景

       客户属性为食品加工制造销售类企业，存在大量直接暴露在互联网的to C业务系统，如官网、商城和经营平台等，这些业务系统基本都使用HTTPS形式发布到互联网，由业务系统自身进行SSL加密，在保证了用户到服务器之间数据私密性、完整性和安全性同时也存在诸多问题

       1、在历史攻防演练、渗透测试中多次出现由于流量加密导致安全设备无法检出和防护导致丢分和被通报。

       2、由于防火墙和WAF设备的硬件性能限制，在安全设备本身配置SSL解密会提升设备资源消耗率，导致设备性能下降，所以无法在安全设备本地配置解密。

       3、防火墙的解密机制只允许一台服务器配置一个域名证书，在一个服务器使用了多个域名的场景，只能选择一个证书配置解密，会导致使用其他域名访问时报错

       4、由于服务器本身未对访问做限制，用户可以通过公网IP或任意域名形式访问到服务器，存在安全隐患，客户安全部门也很难强制业务部门改造加固

       5、客户安全部门无法推动业务部门将SSL加密转移到出口AD，同时出口AD存在性能瓶颈，无法复用出口AD配置SSL卸载和加密

基于以上问题，现计划通过SSLO安全流量编排方案进行改造加固，提升企业整体安全防护能力，解决历史遗留问题。

--------------------------------------------------------------------------------------------------------------------

2. 项目前期准备

2.1. 客户需求收集

       HTTPS流量解密不改动业务服务器：要求在不改变原有业务系统的前提下，使安全设备可对业务流量进行有效识别和攻击防护；

       禁止IP或非预设域名方式访问业务：由于业务本身没有对访问方式做限制，用户侧可通过IP，或者非预先配置的域名访问业务服务器，带来安全隐患，所以本次项目计划通过流量编排的七层负载能力解决此问题，后续禁止用户通过IP或非预设域名形式访问业务系统；

       系统高可用：流量编排设备部署需从链路、设备和业务层面分别实现高可用，从各层面规避单点故障导致的业务中断问题。

       单业务系统多域名证书解密：当前多个业务系统都存在一个服务器有对应多个域名的问题，在防火墙配置解密时只能配置一个域名证书的解密，其他域名访问时也会复用此证书，导致浏览器报错，此项目需解决此问题，实现一个服务器使用多个域名证书场景的加解密。

2.2. 业务系统调研

       获取本项目涉及业务系统的基本信息整理成表格

系统名称	域名	业务位置	服务类型	公网IP	内网IP
xxx官网 xxx商城	english.sangfor.com en.sangfor.com sangfor.com www.sangfor.com www.sf.cn www.sf.com	服务器区	HTTP和HTTPS	联通：x.x.x.x 电信：x.x.x.x	x.x.x.x
CRM正式环境	crm1.sangfor.cn crm2.sangfor.cn	服务器区	HTTP和HTTPS	联通：x.x.x.x 电信：x.x.x.x	x.x.x.x
CRM测试&开发	crmceshi.sangfor.cn crmkaifa.sangfor.cn	服务器区	HTTP和HTTPS	联通：x.x.x.x 电信：x.x.x.x	x.x.x.x
单点登录系统	menhu.sangfor.cn sso.sangfor.cn	服务器区	HTTPS	联通：x.x.x.x 电信：x.x.x.x	x.x.x.x

2.3. 网络拓扑

       原网络拓扑结构如下，安全设备糖葫芦串结构部署

2.4. 方案设计

2.4.1. 项目设备功能规划

       由于出口AD性能和版本限制。无法复用于配置流量编排和加解密，所以规划新采购两台AD专用于流量编排。安全资源池复用闲置的WAF设备。

设备名	所需功能	数量
互联网出口AD（利旧）	地址映射/TCP虚拟服务	2
SSLO-AD（新购）	HTTPS虚拟服务 流量加解密 流量编排管理	2
WAF（利旧）	HTTP流量检测	2

2.4.2.部署方案设计

       计划本次项目将流量编排AD旁挂在核心交换机，WAF再旁挂在流量编排AD上，理由如下：

       1、避免无关业务流占用流量编排设备的带宽性能；

       2、降低网络骨干线路复杂度，避免糖葫芦叠加；

       3、提升网络架构的高可用性，避免额外引入设备规避单点故障导致骨干链路的流量转发。

       4、通过出口AD的虚拟服务节点池配置，可实现流量编排设备故障后bypass效果，规避流量编排设备故障后或维护期间的业务中断问题。

       流量编排AD和核心互联设计：

       1、AD路由主备部署

       2、AD每台主机用两个接口与核心之间交叉全连接（链路聚合）

       流量编排和WAF互联设计：

       1、此项目未规划新交换机，WAF和AD直连，无中间交换机；

       2、WAF和AD使用路由主备部署；

       3、WAF和AD主机与主机互联，备机和备机互联，各用两根线互联（无聚合），分别用于流量编排出入接口；

       4、接口规划不是强最佳实践，但双机可靠性已满足客户要求，并且配置简单便于后续维护

2.4.2.1. 整体部署拓扑

2.4.2.2.流量编排区域部署拓扑

       SSLO设备的OUT/IN接口指安全服务链接口角色

2.4.3. 出口AD应用负载设计：业务高可用设计

       为提升整体业务高可用性，设计在出口AD分别配置SSLO和业务服务器的节点池，结合健康检查功能使用HTTPS探测SSLO，使用PING探测业务服务器，当两个节点池同时活跃时则优先调度流量编排业务，当流量编排不可用时，自动切换到真实业务服务器承载业务，确保极端情况下的业务高可用。

       节点池均可用场景：根据调度策略走SSLO-AD转发

       SSLO节点池故障场景：SSLO到业务服务器不通时根据前置调度策略返回403（2.4.4章节实现），SSLO本身故障无法应答，这两种场景下出口AD自动调度到业务服务器

2.4.4. SSLO应用负载设计：仅允许指定域名形式访问

       为解决禁止IP和非预设域名访问，通过AD的前置调度策略匹配HTTP头部字段方式解决，通过前置调度策略配置多条匹配规则，根据HTTP头部的HOST字段匹配，匹配HOST则调度节点池，匹配不上转下一条，一直到最后匹配不到，则返回403状态码表示访问失败。（同时实现2.4.3章节中SSLO-业务服务器网络不通时返回403）

2.4.5. SSLO应用负载设计：SSL加解密方案

       为在不改变原有业务服务器配置的前提下部署流量编排器，需同时在编排器配置SSL的加密和解密，方案设计在SSLO-AD配置SSL卸载将用户访问流量解密转发到安全设备，再配置SSL加密将用户访问流量加密转发到后端服务器，这样既可无需改动后端服务器本身的加密配置。

2.4.5.1. 加解密设计：加密协议和密码套件

       客户对于加密协议和密码套件无特殊要求，复用原本业务的协议和套件即可，可做适当改动，确保用户能正常使用即可。

可提前使用nmap探测现有服务器使用的协议和密码套件，nmap命令：

nmap --script ssl-enum-ciphers -p 443 sangfor.com

2.4.6. SSLO应用负载设计：单服务器多域名证书问题

       在深信服应用负载的SSL卸载和加密策略中，可设置根据SSL协商过程中，Client Hello报文中的SNI字段中的域名来匹配对应证书，解决一台服务器对应多个域名证书的场景问题。

2.4.7.SSLO应用负载设计：地址转换

       由于SSLO-AD旁路部署，在代理流量后需要将源IP转换为AD接口地址，否则业务服务器回包时无法将报文原路返回到SSLO-AD，会导致来回路径不一致，此问题通过虚拟服务开启源IP转换解决。

2.4.8. SSLO应用负载设计：安全溯源

       基于2.4.7章节，由于SSLO-AD配置了源地址转换，用户请求的流量的源IP对于服务器来说都是SSLO-AD的接口地址，无法识别真正的用户源IP，所以设计通过虚拟服务中的HTTP头部改写功能，在HTTP头部中插入XFF字段标识用户源IP。

2.4.9. SSLO应用负载设计：虚拟IP

       为便于后续配置管理和审计需求，计划通过虚拟IP形式发布业务，每个业务规划一个虚拟IP

2.4.10. SSLO应用负载设计：安全服务链

       本次项目安全设备只有一套路由主备WAF，服务链配置一台三层安全设备WAF

2.4.11.整体业务流量模型规划

--------------------------------------------------------------------------------------------------------------------

3. 交付基础规划

3.1. 项目涉及配置模块

3.2.基础网络规划

3.2.1.接口IP规划

设备	接口作用	IP/掩码要求
WAF	WAN口	1个；与SSLO-AD的OUT口同段
	LAN口	1个；与SSLO-AD的IN口同段
SSLO-AD	业务口对接核心交换	1个；与核心互联段
	业务口虚拟IP	N个（根据业务数决定）；与业务接口同段
	安全服务链OUT接口	1个；与WAF的WAN口同段
	安全服务链IN接口	1个；与WAF的LAN口同段

3.2.2. 路由规划

       由于AF带外管理特性当前连接云图等场景，流量无法走带外管理，仍需要使用带内网络上网，需要考虑WAF本身带内访问互联网的需求；

设备	路由作用	目的地址/掩码	下一跳
WAF	业务转发； 设备本身上网	0.0.0.0/0	{SSLO-AD的OUT接口}
	业务明细路由	{SSLO-AD业务口虚拟IP}	{SSLO-AD的IN接口}
SSLO-AD	默认路由	0.0.0.0/24	{核心交换机}

3.2.3. 地址转换规划

       由于AF带外管理特性当前版本(8095)连接云图等场景，流量不走带外网，仍需要使用带内网络上网，需要考虑WAF本身带内访问互联网的需求，同时由于WAF和AD互联网段属于私有网段，不在客户正常的网络规划内，所以需要借助SSLO-AD的源地址转换实现上网；

设备	NAT作用	源接口	源IP	出接口	目的IP	转换后源IP
SSLO-AD	WAF带内访问互联网	{OUT接口}	{WAF-WAN口}	{业务口}	Any	{接口链路IP}

3.3. WAF安全策略规划

策略名	源区域	源IP	目的区域	目的IP	默认动作	记录日志
业务A	WAN	Any	LAN	{SSLO-AD业务A虚拟IP}	拒绝	开启
业务B	WAN	Any	LAN	{SSLO-AD业务B虚拟IP}	拒绝	开启

3.4. AD策略名称规划

设备	模块	命名规则
出口AD	健康检查	SSLO-{虚拟IP}-HTTP(S)-{检测的URL}
	节点池	{业务名}-{服务器/SSLO}-{IP:端口}
	前置策略	{业务名}-{服务器/SSLO}-{IP:端口}
	虚拟服务	{业务名}-{端口号}-{电信/联通}
SSLO-AD	健康检查	复用默认的ping，不单独配置
	节点池	{业务名}-{IP:端口}
	SSL卸载	ssl卸载-{域名}
	SSL加密	ssl加密-{域名}
	http优化策略	插入xff
	前置策略	{业务名}-{域名:端口} {业务名:端口}-返回403页面
	虚拟服务	{业务名:端口}

--------------------------------------------------------------------------------------------------------------------

4.交付配置

4.1.出口AD配置

4.1.1.出口AD配置：健康检查

       根据前期规划，需要出口AD同时探测SSLO和业务服务器提供的服务是否正常，探测业务服务器用PING（复用系统默认配置），探测SSLO时使用HTTPS探测，配置如下

4.1.2.出口AD配置：节点池

       每个业务配置两个节点池，分别为SSLO-AD和业务服务器的

SSLO-AD节点池配置如下

       业务服务器节点池配置如下

4.1.3. 出口AD配置：前置策略

       每个业务配置两个前置策略，分别为调用SSLO-AD节点池和业务服务器节点池的

SSLO-AD前置策略配置如下

       业务服务器前置策略配置如下

4.1.4. 出口AD配置：虚拟服务

       新建TCP类型的虚拟服务，调用前置策略，SSLO策略在上，优先调度SSLO前置策略，SSLO节点故障才调用业务服务器

4.2. SSLO-AD配置

4.2.1. SSLO-AD配置：健康检查

       SSLO仅需探测到业务服务器的PING连通性即可，复用系统默认PING规则即可

4.2.2. SSLO-AD配置：节点池

       节点池配置节点为业务服务器，健康检查调用默认的ping检测

4.2.3. SSLO-AD配置：前置策略

       根据客户需求，需实现仅允许特定域名访问，非特定域名访问返回403，此需求需要通过前置策略实现，每个业务需要配置N+1个前置策略，N指根据业务域名数量配置的前置策略，1指一条返回403状态码的策略。

       举例：如果一个业务有两个域名分别为sangfor.com和sangfor.cn，那就需要配置两条匹配域名的前置策略和一条返回403的前置策略，一共3条

       根据域名配置的前置策略配置

       返回403页面的前置策略配置

4.2.4. SSLO-AD配置：SSL策略

       由于前期客户未对加密协议和密码套件做要求，交付直接按照通用配置或原有服务器配置即可，每个域名配置一个加密和卸载策略，泛域名可共用。

       注意SSL策略需配置SNI匹配，用于实现域名和证书的对应关系，解决一个服务器发布多个域名证书服务的问题。

注意SNI泛域名的匹配规则：*.sangfor.com可表示A.sangfor.com和B.sangfor.com，但不表示sangfor.com，如需同时发布本级域名和本级泛域名业务则需要分别创建两个不同SNI的策略，比如SNI分别配置*.sangfor.com和sangfor.com

       SSL卸载策略配置

       SSL加密策略配置

4.2.5. SSLO-AD配置：HTTP优化策略

       由于旁路代理部署SSLO，会导致最终服务器识别到的源IP变成了SSLO，需要通过插入XFF解决溯源问题，使后端服务器可通过HTTP头部的XFF字段感知到访问者的实际IP。

4.2.6. SSLO-AD配置：安全服务链

       先配置资源池，本项目只涉及WAF，配置一台WAF即可

       配置WAF后，在服务链调用

4.2.7. SSLO-AD配置：虚拟服务

       配置虚拟服务调用其他预配置内容

--------------------------------------------------------------------------------------------------------------------

5. 价值兑现

       流量编排交付后业务现状和安全能力检验。

5.1. 出口AD运行状态监测

       正常情况下业务流量调度到SSLO节点池，由SSLO设备虚拟节点承载业务

真实业务服务器节点处于热备闲置状态，无流量

5.2. SSLO-AD运行状态监测

       节点池承载正常、SSL加解密正常

       安全资源池流量正常

5.3. 用户访问测试

       公网用户测试访问所有业务系统的效果，确认用户访问网站加密状态正常

5.4. 高可用测试

测试项	操作设备	测试方式	预期结果	测试结果
探测故障	SSLO-AD、WAF	将所有接口对端设备的接口修改/删除IP	探测到不通后主备切换	符合预期
网口故障	SSLO-AD、WAF	将所有接口线缆逐个断开/恢复，测试断开时是否触发切换	断开后触发主备切换	符合预期
AD健康检查故障	出口AD、SSLO-AD	1、调整SSLO-AD节点池的健康检查方式为不可用（如切换成LDAP探测则必定探测失败） 2、断开两台SSLO-AD和核心之间的线路	出口AD健康检查失败时，可将业务从SSLO-AD节点池切换到服务器节点池	符合预期
安全资源池故障	WAF、SSLO-AD	将两台WAF的网口线路断开或者修改WAF接口地址使AD下一跳失效	服务链bypass，出口AD仍然使用SSLO-AD节点池	符合预期

5.5. 网络攻击测试

       为确认流量编排项目交付后可达成对加密流量的防护效果，通过使用curl命令构建sql注入语句，测试SSLO解密效果和WAF防护能力，将所有本次项目涉及的域名执行一次攻击，语句示例如下

curl "https://www.sangfor.cn/login.php?username=admin%27%20OR%20%271%27%3D%271&password=test" -H "X-Forwarded-For: is https test"

       实测攻击全部被拒绝

       在WAF抓包可以确认到达WAF的数据包均为明文，并且全部被WAF发出RST阻断

       WAF日志观测全部检出并阻断，证明流量编排上线后WAF对加密数据流的防护正常生效