Những ngày đầu khi mà các giao dịch SSL được thực hiện, địa chỉ IP tĩnh là yếu tố cơ bản để duy trì tính liên tục của Website (Web site persistence). Một ví dụ về persistence là đối với các site bán hàng trên mạng, mỗi người khách truy cập đến phải được đảm bảo là họ được kết nối tới một máy chủ đơn nhất, được duy trì kết nối đó liên tục để họ có thể thực hiện một giao dịch an toàn. Và SSL đóng một vai trò quan trọng trong quá trình bảo mật các kết nối liền mạch đó.
Khi mà số lượng các máy chủ uỷ nhiệm được triển khai ngày càng tăng thì cũng tạo ra sự thay đổi liên tục các địa chỉ IP trong suốt phiên giao dịch của người dùng. Điều này làm ảnh hưởng đến cách mà Website sử dụng để duy trì tính liên tục của các giao dịch SSL. Và các giao dịch SSL chỉ còn có thể dùng được cho các Website dùng phương pháp cân bằng tải dựa vào địa chỉ IP. Còn các Website với nhiều server mà đang dùng các giải pháp cân bằng tải dựa vào IP thì cần phải có các giải pháp chuyển đổi mới, các công nghệ tăng tốc SSL mới để có thể sử dụng được các phương pháp duy trì tính liên tục của website như URLs, file extension, header, và đặc biệt là cookies. Cookie là một đoạn dữ liệu mà web server lưu trên máy client vào lần truy nhập đầu tiên. Khi người sử dụng trở lại, trình duyệt web sẽ gửi một bản sao của cookie tới server để định danh người dùng. Chính vì lí do đó đã dẫn đến sự ra đời các giải pháp cân bằng tải thế hệ mới được gọi là content switch.
2.7.3.3 Tăng tốc SSL và content switch
Content switch đưa ra một cách thức cân bằng tải rất thông minh bằng cách làm việc ở các tầng trên tầng mạng. Nhờ có khả năng kiểm tra và chuyển đổi cao tại các tầng phía trên tầng mạng, content-switch cung cấp các khả năng cần thiết cho phép chuyển đổi dựa vào thông tin URL, file extension, header, cookie,….Điều quan trọng là khả năng chuyển đổi dựa trên cookies, vì điều này cho phép content-switches duy trì kết nối với một cơ chế tin cậy. Không cần biết là địa chỉ IP của website sẽ thay đổi bao nhiêu lần trong phiên làm việc, cookie sẽ luôn được trả về và được sử dụng để duy trì tính liên tục của trang web.
Nhưng điểm yếu lớn nhất của content-switch đó chính là việc thực hiện các giao dịch SSL. Các thông tin đã được mã hoá trong phiên giao dịch SSL ngăn cản việc kiểm tra trạng thái gói tin của content-switch, là điều rất cần thiết giúp cho việc
chuyển đổi thông minh hơn dựa vào các thông tin lớp ứng dụng. Điều này đã dẫn đến việc ra đời thế hệ content-switch tiếp theo thân thiện với công nghệ tăng tốc SSL hơn.
2.7.3.4 Quá trình phát triển của bộ tăng tốc SSL
Các bộ tăng tốc SSL thế hệ đầu tiên chỉ tập trung giải quyết các gánh nặng mà CPU phải xử lý trong giai đoạn “bắt tay” của SSL (SSL handshake) chứ chưa xử lý được các vấn đề liên quan đến mã hoá và giải mã dữ liệu trong giao dịch SSL. Ngoài ra, nó còn bị hạn chế về khả năng mở rộng và tính linh hoạt.
Thế hệ tiếp theo được biết đến với tên gọi SSL offloader, đã khắc phục được nhược điểm của sản phẩm thế hệ trước, vì thế nó cung cấp khả năng làm việc tốt hơn rất nhiều. Các thiết bị này đã cung cấp một giải pháp tăng tốc SSL hoàn chỉnh với độ bảo mật cao.
Có một điểm hạn chế duy nhất với các phiên bản đầu tiên của SSL offloader. Đó chính là việc triển khai trong hệ thống mạng yêu cầu cấu hình trên một đường truyền (inline configuration), thiết bị được đặt trước content-switch, tiếp đến là web server. Do đó tất cả các dữ liệu, dù là SSL, hay không SSL đều đi qua SSL offloader trước khi đến webserver, tạo ra một nút cổ chai trên đường truyền dữ liệu, có thể gây ra tắc nghẽn mạng. Để giải quyết vấn đề này, các nhà sản xuất đã đưa thêm các thiết kế fail-over, fail-through, spill-through, cho phép cấu hình kích hoạt hay thụ động (active/passive) dự phòng. Nhưng những thay đổi này mới chỉ giải quyết được phần nào vấn đề, vì nó vẫn chưa thực sự hiệu quả và còn hạn chế về khả năng mở rộng.
2.7.3.5 Bộ tăng tốc SSL của SonicWALL
Các thiết bị tăng tốc SSL của SonicWall đảm nhận công việc xử lý giao dịch SSL, giải phóng một lượng tài nguyên đáng kể cho Web server. Các cải tiến tăng tốc SSL của SonicWall đã loại trừ được sự nghẽn mạng ở chỗ đặt thiết bị tăng tốc SSL đối với các dữ liệu trên đường truyền. Công nghệ này cho phép các bộ tăng tốc SSL của SonicWALL kết hợp với thiết bị content switch, có thể cả thiết bị switch để đưa ra các quyết định thông minh với các dữ liệu không được mã hoá.
Với các dữ liệu được gửi đến, thiết bị content switch sẽ lọc và gửi tất cả các yêu cầu qua cổng 443 (HTTPS) tới SonicWall SSL Offloader, nơi sẽ đảm nhận các công việc trong giai đoạn “bắt tay”, giải mã dữ liệu, và sau đó gửi lại các dữ liệu đã
được xử lý cho content switch. Content switch có nhiệm vụ chuyển các dữ liệu này tới server. Với các dữ liệu gửi trả lại, thiết bị sẽ mã hoá và gửi đến client.
Công nghệ One-Port Offloader của SonicWall cung cấp cấu hình rất mềm dẻo đối với content switch bằng việc cho phép một cổng đơn được sử dụng cho cả đường vào và đường ra mà không ảnh hưởng đến khả năng làm việc. Điều này cho phép tận dụng tối đa cổng đối với các thiết bị content switch, nơi mà chí phí cho từng cổng là rất cao.
Việc triển khai các thiết bị tăng tốc SSL của SonicWALL rất đơn giản, dễ dàng, cho phép các Website nhanh chóng đưa vào sử dụng. Và SonicWALL SSL Offloaders là một thiết bị độc lập và làm việc hoàn toàn tương thích với các server và hệ quản lý đường truyền mà không cần phải update hay cài đặt lại các bộ mật mã chuyên dụng được yêu cầu cho các server, content switch hay router.
2.7.3.6 Các đặc điểm nổi bật và lợi ích của SonicWALL SSL Offloader
Thiết bị tăng tốc SSL của SonicWall có khả năng làm việc cao nhất với giá thành hợp lý nhất so với các sản phẩm cùng loại. Chúng cung cấp những giải pháp rất hiệu quả về kinh tế để nâng cao khả năng làm việc của Website mà không cần phải lắp đặt thêm những chiếc server đắt tiền. SonicWALL SSL Offloaders hoàn toàn có khả năng làm việc tốt với các content switch của Cisco hay của các hãng khác nên nó là một giải pháp tăng tốc SSL thân thiện với thiết bị content switch và mang tính toàn diện.
• Khả năng làm việc (Performance): Khả năng tăng tốc SSL rất cao, giúp cho các website không cần phải triển khai hay nâng cấp nhiều server với chi phí cao. Thiết bị tăng tốc SSL của SonicWall làm tăng khả năng làm việc và tính bảo mật của các website và các ứng dụng thương mại như Oracle, PeopleSoft, Siebel, SAP, WebLogic, iPlanet,…
• Tăng tốc toàn bộ quá trình xử lý SSL: Tăng tốc một cách rõ rệt các quá trình mã hoá, giải mã và bảo mật nhờ sử dụng một bộ vi xử lý rất mạnh, giải phóng Web server khỏi những công việc liên quan đến quá trình SSL.
• Thiết bị tăng tốc SSL của SonicWall cung cấp khả năng làm việc cao nhất với giá thành hợp lý nhất so với các sản phẩm cùng loại. Với việc tiết kiệm chi phí một các đáng kể so với SSL accelerator, SonicWall SSL Offloader là
một giải pháp rất hiệu quả về kinh tế giúp làm tăng khả năng làm việc của các Websitẹ trong khi vẫn đảm bảo được tính bảo mật.
• Triển khai đơn giản: Cung cấp nhiều phương án triển khai rất đa dạng cho phép vận hành độc lập hoặc phối hợp với rất nhiều các thiết bị mạng, đáp ứng được các yêu cầu đối với mạng đang tồn tại của bạn với lượng rất nhỏ số thời gian chết các trục trặc về lắp đặt. Với việc cài đặt đơn giản và gần như không cần phải bảo trì sẽ làm giảm thời gian quản trị và chi phí.
• Thân thiện với Content Switch: Tích hợp hoàn toàn với các bộ cân bằng ở lớp 4 và các Content Switch tại lớp 5 đến lớp 7 để quản lý giao dịch SSL và tăng tối đa năng lực làm việc của các trang Web, cho phép bảo vệ mạng một cách toàn diện và đảm bảo khả năng trình diễn của trang web đối với khách hàng luôn nhanh chóng và liên tục
• Độ tin cậy cao: Với cấu trúc ở trạng thái rắn và nguồn điện dự phòng, SonicWall SSL Offloader đảm bảo độ tin cậy cao và loại trừ những rủi ro tiềm tàng hay xảy ra với các thiết bị SSL dựa trên máy PC (PC-based SSL appliance). Có thể kết hợp nhiều SonicWall SSL Offloader để tạo ra tính sẵn sàng của quá trình xử lý giao dịch SSL và để dự phòng, đảm bảo rằng các Website bảo mật và các ứng dụng luôn hoạt động.
• Quản lý dễ dàng, mềm dẻo: Có thể cấu hình và quản lý thông qua một số giao diện như serial-based CLI, Telnet, Web-based GUI
• Back-End Encryption: Đảm bảo một sự bảo mật giữa hai nút từ lúc khởi tạo phiên giao dịch SSL đến khi kết thúc ở đầu kia, trong khi vẫn cho phép các content switch đưa ra các quyết định định tuyến thông minh.
• Secure URL Rewrite: Với chức năng Secure URL Rewrite duy nhất có ở các sản phẩm của SonicWALL cho phép loại trừ đáng kể khả năng lộ thông tin mà thường thấy ở hầu hết các ứng dụng trên Web, mà không cần phải thêm hay thay đổi mã code trong ứng dụng.
• Quản lý khóa và certificate: Cho phép quản lý tập trung lên đến 4.095 khoá và certificate, với một cơ chế bảo mật certificate tốt hơn nhờ có các tuỳ chọn quản lý dựa trên server.
• Hỗ trợ xác thực khách hàng: Quản lý các certificate của khách hàng trong
suốt giai đoạn “bắt tay”. Sau đó các thông tin certificate này có thể được gửi trả lại server bảo mật nhờ một số phương pháp.
• Hỗ trợ xác thực tiên tiến: Hỗ trợ được hầu hết các nền tảng xác thực với các khả năng xác thực back-end từ phía khách hàng sử dụng HTTP header.
• Các thuật toán mã hoá và việc sản sinh số ngẫu nhiên: Chỉ có SSL-RX của SonicWALL sử dụng phần cứng chuyên dụng để tăng tốc không chỉ các hoạt động RSA, mà còn cả các hàm mã hoá bao gồm các thuật toán mã hoá đối xứng, các phép phân loại tin, và việc sản sinh số ngẫu nhiên