应用负载SSL0项目分享一、项目背景1、深信服应用负载SSL0安
  

张子鸣10801 31442人觉得有帮助

{{ttag.title}}
本帖最后由 张子鸣10801 于 2022-8-10 15:25 编辑

应用负载SSLO项目分享
一、项目背景
1、深信服应用负载SSLO安全设备流量编排测试的主要目的如下:
(1)普通安全设备无法解析SSL流量,当攻击者将恶意请求加入到SSL流量中后,就可以规避安全设备的审查,会直接导致出现安全盲区。
(2)当业务量上升,原有的安全设备无法满足要求时,管理员只能重新购买高性能的设备来进行替换,被替换的设备就会处于闲置,资源从而造成浪费。
(3)串式安全设备部署的场景,所有的业务就只能按照既有的顺序进行安全检查,即不需要检查的流量也会经过所有的安全设备,这样就会增加没必要业务的延时,同时也浪费了安全设备的性能。
2、当前所存在的问题
(1)SSL卸载对安全设备性能消耗极大,使用安全设备卸载SSL时,会导致安全设备的审查性能大幅度降低。
(2)所有流量都经过WAF等安全设备时,是无法根据具体业务来进行业务编排的,会造成业务延时增加、安全设备的性能损耗,缺乏对安全设备的统一管理且无法满足业务多样性的要求,缺少安全设备的健康检查、故障告警、历史状态统计。后续随着业务量的上升,超过现有安全设备的性能时,只能通过替换高性能的设备来实现,就会存在资源浪费。
二、SSLO测试的目的
1、主要可以实现在不改变现有网络架构的前提下,SSLO可以实现对现有镜像模式接入的IDS和WAF进行灵活编排,来满足用户多样的目标。
2、可以解决SSL卸载消耗WAF安全设备大量,导致安全审查能力大幅度下降的问题,检查SSL0能否集中进行SSL加解密,安全设备无需再进行SSL解密。
3、随着业务量上升,后续新增安全设备时,检查深信服SSLO能否支持对新增的安全设备进行纳管和编排。
4、SSL0设备对业务流量集中进行一次SSL解密,来消除SSL加密内容无法审查的现象。
三、主要测试环境

四、测试环境中主要数据流走向
1、首先客户端访问AD的业务地址1.1.1.1,当数据包到达AD之后,AD会将数据包转发至SSLO设备,到达SSLO设备的2.2.2.100地址,需要在AD上设置server服务器中的节点池中加入SSL0地址,并且将SSLO地址设为最高优先级,来保障正常情况下所有的流量全部都从SSLO设备经过,最后流量经过SSLO设备后由SSLO设备进行流量编排,将编排后的流量转发到其余安全设备。(注意:需要保证AD-SSLO-WAF(安全设备)网络之间互通且网络可达)
2、同时AD的SSLO流量编排功能支持对流量转发时进行编排,具备编排测试,流量编排主要是作用为内网中所存在的加密流量进行解密,同时对解密流量进行流量编排,按照编排顺序进行流量的转发。(图一为先经过SSLO再经过WAF1再经过WAF2最后到达服务器,同时也支持只经过其中一个WAF直接到服务器)


五、主要是实现方式
(通过安全服务链来实现)



六、结论
SSLO设备集中进行SSL解密,安全设备无需再进行SSL解密,减轻了安全设备的性能压力,提升了安全设备的安全审查能力。同时,SSL解密后的明文流量可视化程度提升,安全盲区消除,安全设备能够发挥更大的作用。安全设备集中管理,并支持健康检查和故障告警,出现故障时自动bypass保障业务连续,并且第一时间报告故障的位置,管理员能够快速处置,恢复业务正常,效率大大提升。
对现有的安全设备实现了智能编排,灵活性大大提升,能够根据业务需要对指定的流量进行灵活的安全检查,减轻了安全设备的压力,降低了整体业务的延时,建立了安全设备的统一管理机制,简化了运维操作。



















打赏鼓励作者,期待更多好文!

打赏
9人已打赏

SANGFOR_1024 发表于 2022-8-8 09:25
  
感谢楼主的分享!楼主针对SSLO流量编排做了很详细的介绍,包括:目前不使用SSLO存在的问题、SSLO解决方案、数据流走向等,描述的很清楚详细,对于初次了解SSLO流量编排功能很有帮助。
针对文档有2点建议:
1)SSLO流量编排,这个是字母O,不是数字0,文档中有多个点写错了
2)文档中第一张截图,客户端访问F5的业务地址,下面介绍数据流的时候又写的:客户端访问AD的业务地址,这两处是矛盾的,我猜应该是图片F5的设备没有替换成AD,建议楼主处理下哈
再次感谢楼主的分享,期待楼主更多的分享哦~~
头像被屏蔽
新手741261 发表于 2022-7-24 09:15
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手078326 发表于 2022-7-24 09:44
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
JM 发表于 2022-7-24 09:49
  
提示: 作者被禁止或删除 内容自动屏蔽
白鹭先生 发表于 2022-7-24 17:04
  
感谢分享,有助于工作和学习!!!
新手511527 发表于 2022-7-24 23:29
  
楼主,是你让我深深地理解了‘人外有人,天外有天’这句话。谢谢你!在看完这帖子以后,我没有立即回复,因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了,因为觉得如果不能在如此精彩的帖子后面留下自己的网名,那我会遗憾终生的!
头像被屏蔽
司马缸砸了光 发表于 2022-7-25 11:53
  
提示: 作者被禁止或删除 内容自动屏蔽
韩_鹏 发表于 2022-7-27 09:03
  
感谢分享                                                                  
新手1018 发表于 2022-7-28 10:52
  
楼主,是你让我深深地理解了‘人外有人,天外有天’这句话。谢谢你!在看完这帖子以后,我没有立即回复,因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了,因为觉得如果不能在如此精彩的帖子后面留下自己的网名,那我会遗憾终生的!
头像被屏蔽
新手031815 发表于 2022-7-28 13:22
  
提示: 作者被禁止或删除 内容自动屏蔽
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
社区新周刊
产品连连看
每日一问
干货满满
技术咨询
标准化排查
GIF动图学习
纪元平台
新版本体验
社区帮助指南
信服课堂视频
功能体验
技术盲盒
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人