SSL解密监控方案

某些安全监控类应用场景下，需要对Https（即SSL）的业务流量进行监控，在此场景下，如果想对SSL加密以后的业务流量进行监控，唯一的办法就是要对SSL进行解密，为了满足这一监控需求，中创腾锐SpekFabric3000系列产品提供了SSL解密监控方案。

Teraspek SF3000系列产品基于高性能的双CPU构架设计，提供高达5Gbps的流量解密性能，并可对于解密后的业务流量，按照后端监控系统的实际需求进行分流或过滤，满足各类场景下解密监控的需要。

SSL解密解决方案也支持串接模式部署，该模式下，设备通过获得合法的数字证书，接管用户的SSL连接请求，并与用户端和服务器端分别建立SSL连接，从而可以全面监控用户的SSL连接请求。

SSL解密解决方案支持旁路模式部署，该模式下，设备通过获取服务器端的数字证书，可以解密客户端和服务器端的通信过程，完成解密监控的需要，将解密的流量分发给后端分析系统，并对原有通信过程没有任何影响。

SSL解密解决方案可将解密后的流量，根据后端分析系统需求，进行报文截短和打时间戳等报文预处理功能，有效降低后端分析系统处理负担，提升后端分析系统处理性能。

为满足SSL解密监控的需要，SpekFabric3000系列设备需要能够获取到服务器端的CA数字证书，从而可以解密客户端和服务器端的通信过程，完成解密监控的需要。此场景下，SpekFabric3000系列设备为旁路监控部署，不对原有通信过程施加任何影响。

SpekFabric3000系列SSL解密监控示意图

SpekFabric3000系列设备也支持串接部署模式，该模式下，SpekFabric3000系列设备利用通过一定的渠道获得合法证书，接管用户的SSL连接请求（ TCP端口443 ），并与用户端和服务器端分别建立SSL连接，从而可以全面监控用户的SSL连接请求（类似于实施了SSL中间人劫持方案）。

SSL解密监控（中间人劫持方案）示意图