内联 TLS 解密与加密

TLS/SSL 主动 SSL

通过完整的可视化功能,全面监控所有加密流量,从而保护网络安全

您是否已经拥有此产品? 访问技术支持

是德科技的内联解密

鉴于大多数流量都经过加密,而且使用临时密钥逐渐成为主流,企业需要一种有效的方法,既能保留传输层安全性(TLS)1.3 标准的优点,又能检查流量中是否存在威胁和恶意软件,以保护其网络和用户。

是德科技的内联解密功能可以为 SecureStack 功能提供有力补充,使企业能够通过其可视化平台查看使用临时密钥进行加密的内部流量。 是德科技的内联解密功能可用于内联和带外工具,以便处理出站和入站流量,并且可以与 NetStackPacketStackAppStack 功能搭配使用。 多款与 Vision ONE™Vision X 兼容的单独高性能应用模块均可提供这项内联解密功能。这两款一站式网络流量汇聚产品都拥有高性能和无损的可视化功能。 内联解密采用了专用的加密处理器,与可视化解决方案集成之后可提供更出色的吞吐量。 此外,它还提供内置策略管理、统一资源定位符(URL)分类以及报告功能,支持所有主流加密方式。

主动 SSL

安全困局

SSL 统计数据

企业会对通过互联网交换的信息进行加密,尤其是信用卡号、社会保险号等敏感信息,从而保护自己和使用者的安全。 FirefoxGoogle 均表示,截至 2017 年,通过他们的浏览器访问的网站中,75% 以上都对流量进行了加密。 这种加密有助于防止身份盗用、安全漏洞和数据泄露。 然而,就像特洛伊木马程序一样,恶意软件和其他威胁也可能通过加密技术植入网络。 Gartner 预测,到 2020 年,将有超过 60% 的企业无法有效地解密安全超文本传输协议(HTTPS),因而“遗漏最具针对性的网络恶意软件”。 此外,黑客也变得越来越狡猾,某些加密形式对于他们来说变得不堪一击。

突破这个困局需要双管齐下:

  • 使用更难被破解的加密技术
  • 将“检查所有加密流量中是否存在威胁”当成企业的一项重要的安全和监控策略

为什么要使用临时密钥

安全套接字层(SSL)和传输层安全性(TLS)通常都被称为“SSL”,它们通过对数据进行加扰或“编码”来保护计算机网络的通信。 如右图所示,这项技术的基本原理是交换采用公钥(由服务器提供)编码并通过互联网发送的信息。 接收方(服务器)则拥有私钥,能够解码数据。

使用静态密钥的公钥加密算法(Rivest-Shamir-Adleman,RSA)曾经是主流加密技术。 在此架构下,服务器拥有一个指定用于通信加密的密钥。 这个密钥一旦泄露,那么来自该服务器的通信都会暴露无遗。 为了解决这个问题,许多企业和监管机构转向强制使用临时密钥来进行加密。最常用的是椭圆曲线迪菲-赫尔曼-交换(ECDHE)方法,它每次交换就会生成一个新密钥。

基础 SSL

完全前向保密与 TLS 1.3

完全前向保密

假设将静态密钥比喻为真实的钥匙,如果一枚钥匙被盗或者被复制,那么得到钥匙的人就能够任意访问这枚钥匙保护下的所有通信。 相比之下,临时密钥就好比是移动小程序针对一次特定交换而生成的一个号码。 如果这个号码被盗,它只能解锁这一次交换, 所有其他交换仍然受到保护。 正是这种完美的前向保密性,让临时密钥如此有吸引力。

Google、Facebook、Mozilla 等科技巨头纷纷宣布,将转向使用临时密钥进行加密,以便为用户提供更高的安全性。 TLS 1.3 是互联网工程任务组(IETF)发布的最新 TLS 协议标准,它支持临时密钥交换。

支持主流加密方式

内联解密支持 TLS 1.3 中列出的许多主流加密方式,后续还会支持更多加密方式。

支持的加密方式   KX AU ENC MAC
TLS13-AES-256-GCM-SHA384 TLSv1.3 - - AES-128-GCM AEAD
TLS13-CHACHA20-POLY1305-SHA256 TLSv1.3 - - AES-128-GCM AEAD
TLS13-AES-128-GCM-SHA256 TLSv1.3 - - CHACHA20-POLY1305 AEAD
TLS13-AES-128-CCM-8-SHA256 TLSv1.3 - - AES-128-CCM AEAD
TLS13-AES-128-CCM-SHA256 TLSv1.3 - - AES-128-CCM-8 AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 ECDH RSA AESGCM(128) AEAD
ECDHE-ECDSA-AES128-SHA SSLv3 ECDH ECDSA AES(128) SHA1
ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH RSA AES(256) SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 ECDH ECDSA AES(256) SHA384
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 ECDH ECDSA AESGCM(128) AEAD
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH RSA AESGCM(128) AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 ECDH ECDSA AESGCM(128) AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 DH RSA AESGCM(128) AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH RSA AESGCM(128) AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 ECDH RSA AES(128) SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 ECDH ECDSA AES(128) SHA256
ECDHE-RSA-AES128-SHA SSLv3 ECDH RSA AES(128) SHA1
DHE-RSA-AES256-SHA SSLv3 DH RSA AES(256) SHA1
ECDHE-RSA-DES-CBC3-SHA SSLv3 ECDH RSA 3DES(168) SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 ECDH ECDSA 3DES(168) SHA1
AES128-GCM-SHA256 TLSv1.2 RSA RSA AESGCM(128) AEAD
AES256-GCM-SHA384 TLSv1.2 RSA RSA AESGCM(256) AEAD
AES128-SHA256 TLSv1.2 RSA RSA AESGCM(128) SHA256
AES256-SHA256 TLSv1.2 RSA RSA AES(256) SHA256
AES128-SHA SSLv3 RSA RSA AES(128) SHA1
AES256-SHA SSLv3 RSA RSA AES(256) SHA1
ECDHE-RSA-AES256-SHA SSLv3 ECDH RSA AES(256) SHA1
ECDHE-ECDSA-AES256-SHA SSLv3 ECDH ECDSA AES(256) SHA1
DHE-RSA-AES128-SHA256 TLSv1.2 DH RSA AES(128) SHA256
DHE-RSA-AES128-SHA SSLv3 DH RSA AES(128) SHA1
DHE-RSA-AES256-SHA256 TLSv1.2 DH RSA AES(256) SHA256
ECDHE-ECDSA-CHACHA20-POLY1305 TLSv1.2 ECDH ECDSA CHACHA20/POLY1305(256) AEAD
ECDHE-RSA-CHACHA20-POLY1305 TLSv1.2 ECDH RSA CHACHA20/POLY1305(256) AEAD
DHE-RSA-CHACHA20-POLY1305 TLSv1.2 DH RSA CHACHA20/POLY1305(256) AEAD
CAMELLIA128-SHA256 TLSv1.2 RSA RSA CAMELLIA(128) SHA256
CAMELLIA256-SHA256 TLSv1.2 RSA RSA CAMELLIA(256) SHA256
DHE-RSA-CAMELLIA128-SHA256 TLSv1.2 DH RSA CAMELLIA(128) SHA256
DHE-RSA-CAMELLIA256-SHA256 TLSv1.2 DH RSA CAMELLIA(256) SHA256

通过内联解密确保内联安全

内联解密功能可以无缝集成到是德科技的防故障安全体系结构中,实现内联部署。 内联解密可以与是德科技的威胁情报网关 ThreatARMOR™ 相结合,搭建更稳固的内联体系结构,从而能够阻止有问题的互联网协议(IP)、处理加密流量并通过双主动高可用性配置保护您的网络,确保持续的流量检查和近乎即时的恢复。

内联安全体系结构

内联 TLS 解密相关资料

需要帮助或遇到问题?