Các phương án triển

Một phần của tài liệu NGHIÊN CỨU SỬ DỤNG CÔNG NGHỆ BẢO MẬTSSL/TLS (Trang 70 - 73)

Thiết bị tăng tốc SSL của SonicWALL có thể triển khai được trong rất nhiều môi trường và cấu hình khác nhau, làm tăng khả năng làm việc của các server và các ứng dụng dựa trên web. Đối với các Web caching server hay các thiết bị mà không thể làm việc với các dữ liệu đã được mã hoá, SonicWALL SSL Offloader có thể được triển khai để giải mã nội dung SSL trước khi nó được đưa đến server lưu trữ. Các mạng sử dụng bộ chuyển mạch nội dung thông tin (content switch) để chuyển những thông tin quan trọng

2.7.3.7.1 SSL Inline Configuration

Trong kiểu cấu hình inline, thiết bị content switch là lối vào của một hay nhiều SSL Offloader - đảm nhận việc giải mã và mã hoá thông tin SSL vì vậy thiết bị content switch mới có thể đọc được dữ liệu và chuyển mạch nội dung một cách thông minh. Thiết bị tăng tốc SSL sẽ chặn tất cả các lưu lượng cổng 443, giải mã và gửi nó như là clear traffic (cổng 81) tới content switch. Trên switch này không đặt cổng 443 vì tất cả các dữ liệu qua nó đều đã được giải mã.

2.7.3.7.2 SSL One Port Proxy Configuration

Trong kiểu cấu hình SSL One Port Proxy Configuration, thiết bị content switch được cấu hình với các quy tắc dựa trên thông tin của cả lớp 4 và lớp 5, trong khi SonicWALL SSL Offloader hoạt động ở chế độ non-transparent và làm việc như một TCP/IP proxy chuẩn. Phía client nghĩ rằng nó đang nói chuyện với thiết bị và nhìn

thấy địa chỉ IP và địa chỉ MAC của thiết bị, trong khi server nhìn thấy thiết bị tăng tốc này và kết nối với địa chỉ IP và địa chỉ Mac của nó. Vì SonicWALL SSL Offloader chỉ

được cấu hình làm việc ở lớp 4 và switch sẽ đổi địa chỉ IP đích thành địa chỉ IP của SSL Offloader, nên bộ tăng tốc SSL phải sử dụng một kỹ thuật khác với địa chỉ IP để đảm bảo rằng lưu lượng tin sẽ chuyển đến đúng server. Điều này được thực hiện nhờ cấu hình nhiều cặp IP đích/ Cổng đích (Destination IP/Destination Port) trên thiết bị SonicWALL SSL Offloader

2.7.3.7.3 One-Armed SSL Offloading in Transparent Mode

Trong kiểu cấu hình one-armer transparent, thiết bị content switch sẽ coi SonicWALL SSL Offloader như là một thiết bị lưu trữ. Content switch sẽ định tuyến tất cả các lưu lượng cổng 443 đến thiết bị SSL offloader. IP nằm trên SSL offloader sẽ kết thúc phiên TCP và thay mặt server trả lời. Địa chỉ MAC nguồn trên các gói tin TCP/IP là địa chỉ MAC của SSL Offloader. Điều này buộc các thông tin trong phiên giao dịch SSL trở lại đúng thiết bị tăng tốc SSL. Ngay khi giai đoạn thương lượng SSL hoàn thành, bộ tăng tốc SSL sẽ tiếp tục đảm nhận công việc mã hoá và giải mã thông tin. Nó sẽ chuyển các thông tin đã được giải mã về lại content switch qua cổng 81. Sau đó các thông tin này sẽ được chuyển đến server nhờ sử dụng các thuật toán cân bằng tải thông thường. Vì bộ tăng tốc SSL gửi địa chỉ IP của client (chế độ transparent) cùng với địa chỉ MAC của nó, nên các chương trình ứng dụng sẽ biết được địa chỉ IP của client và content switch cũng gửi các trả lời tới đúng SonicWALL SSL Offloader để mã hoá thông tin trước khi gửi tới khách hàng.

Chương 3 BẢO MẬT TẦNG GIAO VẬN (TLS)

Một phần của tài liệu NGHIÊN CỨU SỬ DỤNG CÔNG NGHỆ BẢO MẬTSSL/TLS (Trang 70 - 73)

Tải bản đầy đủ (DOCX)

(89 trang)
w