Thiết bị tăng tốc SSL của SonicWALL có thể triển khai được trong rất nhiều môi trường và cấu hình khác nhau, làm tăng khả năng làm việc của các server và các ứng dụng dựa trên web. Đối với các Web caching server hay các thiết bị mà không thể làm việc với các dữ liệu đã được mã hoá, SonicWALL SSL Offloader có thể được triển khai để giải mã nội dung SSL trước khi nó được đưa đến server lưu trữ. Các mạng sử dụng bộ chuyển mạch nội dung thông tin (content switch) để chuyển những thông tin quan trọng
2.7.3.7.1 SSL Inline Configuration
Trong kiểu cấu hình inline, thiết bị content switch là lối vào của một hay nhiều SSL Offloader - đảm nhận việc giải mã và mã hoá thông tin SSL vì vậy thiết bị content switch mới có thể đọc được dữ liệu và chuyển mạch nội dung một cách thông minh. Thiết bị tăng tốc SSL sẽ chặn tất cả các lưu lượng cổng 443, giải mã và gửi nó như là clear traffic (cổng 81) tới content switch. Trên switch này không đặt cổng 443 vì tất cả các dữ liệu qua nó đều đã được giải mã.
2.7.3.7.2 SSL One Port Proxy Configuration
Trong kiểu cấu hình SSL One Port Proxy Configuration, thiết bị content switch được cấu hình với các quy tắc dựa trên thông tin của cả lớp 4 và lớp 5, trong khi SonicWALL SSL Offloader hoạt động ở chế độ non-transparent và làm việc như một TCP/IP proxy chuẩn. Phía client nghĩ rằng nó đang nói chuyện với thiết bị và nhìn
Chương 2 - Khe cắm an toàn Nghiên cứu sử dụng công nghệ SSL/TLS
được cấu hình làm việc ở lớp 4 và switch sẽ đổi địa chỉ IP đích thành địa chỉ IP của SSL Offloader, nên bộ tăng tốc SSL phải sử dụng một kỹ thuật khác với địa chỉ IP để đảm bảo rằng lưu lượng tin sẽ chuyển đến đúng server. Điều này được thực hiện nhờ cấu hình nhiều cặp IP đích/ Cổng đích (Destination IP/Destination Port) trên thiết bị SonicWALL SSL Offloader
2.7.3.7.3 One-Armed SSL Offloading in Transparent Mode
Trong kiểu cấu hình one-armer transparent, thiết bị content switch sẽ coi SonicWALL SSL Offloader như là một thiết bị lưu trữ. Content switch sẽ định tuyến tất cả các lưu lượng cổng 443 đến thiết bị SSL offloader. IP nằm trên SSL offloader sẽ kết thúc phiên TCP và thay mặt server trả lời. Địa chỉ MAC nguồn trên các gói tin TCP/IP là địa chỉ MAC của SSL Offloader. Điều này buộc các thông tin trong phiên giao dịch SSL trở lại đúng thiết bị tăng tốc SSL. Ngay khi giai đoạn thương lượng SSL hoàn thành, bộ tăng tốc SSL sẽ tiếp tục đảm nhận công việc mã hoá và giải mã thông tin. Nó sẽ chuyển các thông tin đã được giải mã về lại content switch qua cổng 81. Sau đó các thông tin này sẽ được chuyển đến server nhờ sử dụng các thuật toán cân bằng tải thông thường. Vì bộ tăng tốc SSL gửi địa chỉ IP của client (chế độ transparent) cùng với địa chỉ MAC của nó, nên các chương trình ứng dụng sẽ biết được địa chỉ IP của client và content switch cũng gửi các trả lời tới đúng SonicWALL SSL Offloader để mã hoá thông tin trước khi gửi tới khách hàng.
Chương 3 - Bảo mật tầng giao vận Nghiên cứu sử dụng công nghệ SSL/TLS
Chương 3 BẢO MẬT TẦNG GIAO VẬN (TLS)
3.1 Giới thiệu tổng quanMặc dù giao thức SSL ban đầu chủ yếu được phát triển bởi Netscape, nó đã trở thành giao thức bảo mật quyết định trên Internet mà IETF có, và vẫn tiếp tục phát triển trong tương lai. Vì một vài lý do, bao gồm cả lý do muốn có một sự khác biệt rõ ràng hơn giữa SSL và các công việc đang phát triển với giao thức IPSecurity (IPSEC), IETF đặt lại tên cho giao thức SSLv3.0 với tên là Bảo mật tầng giao vận - Transport Layer Security hay TLS.
TLS có một vài sự cải tiến so với giao thức SSL. Ví dụ, có một chút khác biệt giữa SSL v3.0 và TLS hơn là giữa SSL v2.0 và 3.0.
Bảng 2. Sự khác biệt giữa SSL v3.0 và TLSv1.0
SSL v3.0 TLS v1.0
Phiên bản giao thức trong các thông điệp 3.0 3.1
Kiểu thông điệp giao thức cảnh báo 12 23
Xác thực thông điệp Không chuẩn chuẩn
Sinh nguyên liệu khoá Không chuẩn PRF
CertificateVerify Phức tạp Đơn giản
Finished Không chuẩn PRF
Các bộ mã cơ bản Bao gồm cả
Fortezza Không có Fortezza Sự khác biệt giữa TLS và SSL còn ở những điểm sau :
• TLS tách rời một cách rõ ràng hơn tiến trình bắt tay từ kỹ thuật tầng record. • Giao thức có thể được mở rộng bằng cách thêm các phương thức xác thực mới
Chương 3 - Bảo mật tầng giao vận Nghiên cứu sử dụng công nghệ SSL/TLS
Phiên bản hiện tại của chuẩn TLS là TLSv1.0.
