什么是SSL加密流量检测？

SSL加密流量的流行

近年来，为保障数据传输的安全性和隐私性，越来越多的网络流量使用安全套接层协议（Secure Sockets Layer，SSL）和传输层安全协议（Transport Layer Security，TLS）对流量进行加密。据统计，有95%的流量使用加密协议传输。基于下列原因，加密协议被越来越多的使用：

• 证书易获取：加密流量的正常工作依赖于证书。当前网站或应用开发人员可以通过Let's Encrypt等证书颁发机构（CA）方便地获得免费证书。
• 浏览器警告：主流浏览器会将未使用SSL/TLS加密的网站标识为不安全。
• 公众隐私意识增强：今年来大量数据泄露事件引发了公众对数据安全的关注。欧盟的 GDPR、加州最新的《消费者隐私法》等法律法规也促使服务提供商使用 SSL/TLS 加密。
• 搜索引擎排名：部分搜索引擎会为使用SSL/TLS加密的网站提供更高的搜索结果的排名。
• 服务延续性：TLS 1.0和TLS 1.2等协议相对安全性较低，存在随时可能被弃用的问题。当前现代协议（如TLS 1.3、HTTP/2）安全性更高、更受欢迎。

为什么需要SSL加密流量？

但加密协议的广泛使用的同时也给网络安全带来了全新的挑战。由于传统的安全检测防火墙无法检测加密流量，如今超过70%攻击者使用加密协议传递恶意软件、隐藏攻击活动和窃取机密数据，造成例如下列安全事件：

• 内网用户通过加密流量下载的可执行文件中潜藏着病毒。
• 内网用户在不知情的情况下访问了使用HTTPS协议的恶意网站。
• 未授权的内部机密信息以加密数据传输的方式被泄露到外网。

如下图所示，通过在防火墙上配置SSL加密流量检测，防火墙可以对加密流量进行解密，解密之后管理员可以根据网络状况和业务特点，有选择性的配置内容安全检测业务，在完成检测后防火墙会对正常流量重新加密发往对端，保障数据的安全。

SSL加密流量检测的典型场景

根据要保护的对象不同，防火墙的加密流量检测包括出站检测和入站检测两种场景。出站检测指的是检测内网用户访问互联网的流量，保护的对象是内网用户客户端，因此，这个场景也常称为保护客户端。相应地，入站检测指的是检测访问内网服务器的流量，保护的对象是内网的服务器，这个场景常称为保护服务器。

SSL加密流量检测工作原理

下面以保护客户端场景的处理流程为例，介绍SSL加密流量检测的工作原理。

1. 用户访问网站，浏览器客户端向服务器发送访问请求，期望建立SSL连接。
2. 防火墙解析并缓存用户客户端发来的访问请求，随后防火墙作为代理向服务器发送访问请求。
3. 服务器收到防火墙的访问请求后发送自身证书。
4. 防火墙校验证书合法后与服务器建立SSL连接。
5. 防火墙会重新签发服务器发来的证书用来与用户客户端侧建立SSL连接。
6. 客户端会认为防火墙为目标访问的Web服务器，随后客户端与防火墙建立SSL连接。
7. 此后客户端与防火墙、防火墙和服务器之间分别建立了SSL连接。防火墙根据内容安全检查的结果过滤掉经过的非法流量，然后将合法流量重新加密，发往对端。

如何配置SSL加密流量检测？

在实际配置SSL加密流量检测时，由于SSL加密流量检测只负责对流量进行加解密操作，需要配置安全策略以及具体的内容检测业务才能实现对加密流量的内容安全检测。下面以URL过滤为例，介绍如何在华为HisecEngine USG6000E和USG6000F系列AI防火墙上配置SSL加密流量检测，并通过安全策略和URL过滤构建针对网站访问的安全防御体系。

另外，由于SSL加密流量检测功能需要进行大量的加解密运算，如果对所有的SSL流量均做SSL解密会影响防火墙的转发性能。因此请根据需求配置SSL加密流量检测策略，只对满足一些特定条件的SSL流量进行解密。