加密能保護(hù)網(wǎng)絡(luò)流量免遭黑客與網(wǎng)絡(luò)罪犯侵害，卻阻止了安全及監(jiān)測工具探知網(wǎng)絡(luò)中傳遞的數(shù)據(jù)包的內(nèi)部情況。事實(shí)上，許多企業(yè)機(jī)構(gòu)都未對(duì)加密流量進(jìn)行全面檢查就任其流經(jīng)自己的網(wǎng)絡(luò)，黑客往往會(huì)利用加密來隱藏惡意軟件并發(fā)起攻擊，從而劫持用戶網(wǎng)絡(luò)。為了保持強(qiáng)健的防御能力以及降低安全漏洞和數(shù)據(jù)丟失的風(fēng)險(xiǎn)，我們必須對(duì)所有的網(wǎng)絡(luò)流量進(jìn)行解密、檢查并再重新加密這一過程。

解密帶來的負(fù)擔(dān)

解密設(shè)備必須保證功能強(qiáng)大。為了抵御數(shù)據(jù)劫持，加密算法也日益變得越來越長而且逾加復(fù)雜。多年前，NSS實(shí)驗(yàn)室進(jìn)行的測試表明，密碼從1024位變?yōu)?048位后，8款領(lǐng)先的防火墻平均性能下降81%。事實(shí)上，針對(duì)SSL的解密無需在防火墻處完成。而現(xiàn)在，一些新策略已支持offload解密工作，并向工具發(fā)送明文，從而讓其高效工作并處理更多流量。以下四項(xiàng)策略可讓解密變得更加輕松、快速且經(jīng)濟(jì)高效。

策略一：在解密前移除惡意流量

曾用于網(wǎng)絡(luò)攻擊的許多IP地址會(huì)被重新使用，并被公布于安全社區(qū)內(nèi)。相關(guān)專門組織每天都會(huì)跟蹤并確認(rèn)已知的網(wǎng)絡(luò)威脅，并將此類信息保存在情報(bào)數(shù)據(jù)庫內(nèi)。通過該數(shù)據(jù)庫對(duì)流入及流出的數(shù)據(jù)包進(jìn)行比對(duì)，我們可以辨別出惡意流量并從網(wǎng)絡(luò)中對(duì)其加以阻止。由于對(duì)比是通過明文格式的包頭完成的，該策略無需對(duì)數(shù)據(jù)包進(jìn)行解密。提前將與已知攻擊者相關(guān)的流量過濾掉可以減少需要解密的數(shù)據(jù)包數(shù)量。此外，對(duì)這部分同時(shí)將會(huì)引發(fā)安全警報(bào)的流量進(jìn)行剔除也有助于安全團(tuán)隊(duì)提高效率。

部署此項(xiàng)策略的最快方法是在防火墻前端安裝被稱之為威脅情報(bào)網(wǎng)關(guān)的專用硬件設(shè)備。該設(shè)備旨在快速、大量地阻止惡意流量，包括來自未經(jīng)驗(yàn)證國家的信息，并通過綜合威脅情報(bào)源對(duì)其自身進(jìn)行不間斷的更新。安裝后，該網(wǎng)關(guān)將無需人工干預(yù)，也無需創(chuàng)建或維護(hù)相應(yīng)的過濾器。惡意流量要么被立即丟棄，要么被發(fā)送至沙箱接受進(jìn)一步的分析。根據(jù)您所處的行業(yè)以及被惡意攻擊的頻率，您可以因此減少最高可達(dá)到80%的安全警報(bào)。

另外，我們也可以在防火墻上配置自定義的過濾器以阻止特定IP地址。但遺憾的是，防火墻過濾器必須手動(dòng)配置與維護(hù)，并且在能創(chuàng)建的過濾器數(shù)量方面也存在限制。隨著聯(lián)網(wǎng)設(shè)備與遭受攻擊IP地址的爆炸性增長令防火墻能力捉襟見肘。此外，在防火墻一類高級(jí)設(shè)備上進(jìn)行循環(huán)處理只為完成簡單對(duì)比的操作，并不是阻止流量的經(jīng)濟(jì)高效方式。

策略二：尋求高級(jí)解密功能

對(duì)來往于惡意源頭的加密數(shù)據(jù)包進(jìn)行移除之后，余下的部分?jǐn)?shù)據(jù)亦需要由解密設(shè)備加以處理。許多安全工具，例如下一代防火墻(NGFW)或入侵防御系統(tǒng)(IPS)，均具有SSL解密功能。但是，NSS實(shí)驗(yàn)室發(fā)布的一篇文章警告稱，某些安全工具可能未包含最新密鑰，從而將導(dǎo)致在非標(biāo)準(zhǔn)端口上發(fā)生的SSL通信丟失，還有可能無法按照所宣稱的吞吐率完成加密、甚至?xí)谕耆磳?shí)施解密的情況下快速建立某些連接。

密碼學(xué)依賴于先人一步的預(yù)防措施。安全解決方案必須支持最新加密標(biāo)準(zhǔn)，結(jié)合各式各樣的密鑰與算法，并擁有使用更大2048位與4096位密鑰以及更新Elliptic Curve密鑰解密流量的能力。隨著安全技術(shù)復(fù)雜度攀升，解決方案必須能夠有效且經(jīng)濟(jì)高效地處理解密——即避免丟包、引發(fā)錯(cuò)誤或者未能完成全面檢查。

隨著SSL流量數(shù)量的增加，為了實(shí)現(xiàn)完全的網(wǎng)絡(luò)可視性，解密解決方案的質(zhì)量將日漸重要。此外，“縱深防御”也成為公認(rèn)的最佳實(shí)踐，其通常需要使用多項(xiàng)同類最佳的安全設(shè)備(如：獨(dú)立防火墻與IPS)。而讓這些設(shè)備全部經(jīng)歷一遍流量解密與再加密將會(huì)導(dǎo)致安全工具效率低下，不僅會(huì)增加網(wǎng)絡(luò)延遲，同時(shí)還會(huì)降低策略效力以及端到端的可視性。

策略三：選擇操作簡單的工具

另一項(xiàng)關(guān)鍵特性是管理員可以通過簡單操作來創(chuàng)建并管理解密相關(guān)策略。那些杰出的解決方案可以提供基于拖放式的用戶操作界面來完成過濾器的創(chuàng)建，從而有能力實(shí)現(xiàn)選擇性的數(shù)據(jù)轉(zhuǎn)發(fā)或者針對(duì)基于內(nèi)容識(shí)別的數(shù)據(jù)脫敏，例如身份證，或銀行卡號(hào)。這些解決方案還可以很容易為每個(gè)被使用的SSL密鑰以及通信過程中產(chǎn)生的所有異常(如丟失的會(huì)話、SSL故障、無效證書以及出于策略原因而無需解密的會(huì)話)保存完整記錄。對(duì)于審計(jì)、取證、網(wǎng)絡(luò)故障排除以及容量規(guī)劃而言，這些詳細(xì)的日志都非常寶貴。

策略四：規(guī)劃經(jīng)濟(jì)高效的可擴(kuò)展性

隨著加密流量數(shù)量的增加，解密將對(duì)安全基礎(chǔ)架構(gòu)的性能帶來更大的影響，因此提前規(guī)劃十分必要。雖然簡單地“開啟”防火墻中的SSL解密功能，或一體化威脅管理(UTM)解決方案似乎合情合理，但解密是一項(xiàng)需要在過程中進(jìn)行大量處理的功能。由于SSL流量增加以及解密需要的更多周期，整體性能將會(huì)受到影響，工具同時(shí)也可能出現(xiàn)丟包。為了增強(qiáng)多功能設(shè)備中流量的流動(dòng)能力，唯一的選項(xiàng)就是擴(kuò)大整體容量。擴(kuò)容會(huì)帶來大量資本支出，同時(shí)為了確保設(shè)備能夠承擔(dān)解密，某些功能還將產(chǎn)生額外成本。

更好的一個(gè)選項(xiàng)是通過采用具有SSL解密功能的網(wǎng)絡(luò)可視性解決方案或網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備(NPB)來實(shí)現(xiàn)SSL解密從而實(shí)現(xiàn)針對(duì)安全工具的SSL卸載。許多企業(yè)機(jī)構(gòu)利用網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備匯聚網(wǎng)絡(luò)流量、識(shí)別相關(guān)數(shù)據(jù)包并將其高速分發(fā)給安全工具。使用硬件加速的網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備可以在零丟包的情況下以線速處理流量，并實(shí)現(xiàn)自動(dòng)化負(fù)載均衡。另外，它們無需多種串聯(lián)設(shè)備來進(jìn)行各自獨(dú)立的解密/再加密。擴(kuò)展網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備的成本低于擴(kuò)展大部分安全設(shè)備的成本，并可以提供快速的投資回報(bào)。

結(jié)論

隨著更多的互聯(lián)網(wǎng)轉(zhuǎn)向加密流量，SSL流量內(nèi)的攻擊將變得更加普遍。為了保護(hù)數(shù)據(jù)與網(wǎng)絡(luò)免遭黑客與網(wǎng)絡(luò)罪犯侵害，檢查所有加密的網(wǎng)絡(luò)流量勢在必行。尚未實(shí)施嚴(yán)格加密流量檢查制度的企業(yè)將令網(wǎng)絡(luò)安全性大打折扣，并帶來因漏洞與數(shù)據(jù)丟失引發(fā)的難以承受的風(fēng)險(xiǎn)。但幸運(yùn)的是，以提高SSL解密效率與經(jīng)濟(jì)效益為目標(biāo)的新型解決方案正不斷涌現(xiàn)。