SSL解密监控方案


方案背景

某些安全监控类应用场景下,需要对Https(即SSL)的业务流量进行监控,在此场景下,如果想对SSL加密以后的业务流量进行监控,唯一的办法就是要对SSL进行解密,为了满足这一监控需求,中创腾锐SpekFabric3000系列产品提供了SSL解密监控方案。

方案特点

高性能的解密功能

Teraspek SF3000系列产品基于高性能的双CPU构架设计,提供高达5Gbps的流量解密性能,并可对于解密后的业务流量,按照后端监控系统的实际需求进行分流或过滤,满足各类场景下解密监控的需要。

支持串接模式部署

SSL解密解决方案也支持串接模式部署,该模式下,设备通过获得合法的数字证书,接管用户的SSL连接请求,并与用户端和服务器端分别建立SSL连接,从而可以全面监控用户的SSL连接请求。

支持旁路模式部署

SSL解密解决方案支持旁路模式部署,该模式下,设备通过获取服务器端的数字证书,可以解密客户端和服务器端的通信过程,完成解密监控的需要,将解密的流量分发给后端分析系统,并对原有通信过程没有任何影响。

丰富报文预处理能力

SSL解密解决方案可将解密后的流量,根据后端分析系统需求,进行报文截短和打时间戳等报文预处理功能,有效降低后端分析系统处理负担,提升后端分析系统处理性能。

方案简介

为满足SSL解密监控的需要,SpekFabric3000系列设备需要能够获取到服务器端的CA数字证书,从而可以解密客户端和服务器端的通信过程,完成解密监控的需要。此场景下,SpekFabric3000系列设备为旁路监控部署,不对原有通信过程施加任何影响。

SpekFabric3000系列SSL解密监控示意图

SpekFabric3000系列设备也支持串接部署模式,该模式下,SpekFabric3000系列设备利用通过一定的渠道获得合法证书,接管用户的SSL连接请求( TCP端口443 ),并与用户端和服务器端分别建立SSL连接,从而可以全面监控用户的SSL连接请求(类似于实施了SSL中间人劫持方案)。

SSL解密监控(中间人劫持方案)示意图