为满足SSL解密监控的需要,SpekFabric3000系列设备需要能够获取到服务器端的CA数字证书,从而可以解密客户端和服务器端的通信过程,完成解密监控的需要。此场景下,SpekFabric3000系列设备为旁路监控部署,不对原有通信过程施加任何影响。
SpekFabric3000系列SSL解密监控示意图
SpekFabric3000系列设备也支持串接部署模式,该模式下,SpekFabric3000系列设备利用通过一定的渠道获得合法证书,接管用户的SSL连接请求( TCP端口443 ),并与用户端和服务器端分别建立SSL连接,从而可以全面监控用户的SSL连接请求(类似于实施了SSL中间人劫持方案)。
SSL解密监控(中间人劫持方案)示意图