为网络服务器配置 SSL 可能很复杂,根据服务器设置的不同,有多种方法可供选择。 SSL/TLS Passthrough 就是这样一种选择,它绕过了在中间服务器解密和重新加密数据的需要,保持了端到端的加密。
在本文中,我们将探讨 SSL 直通、其优点、缺点以及与其他 SSL 配置的区别,从而清楚地了解它在确保网络连接安全方面的作用。
目录
- 什么是 SSL 穿透?
- SSL 旁路如何工作?
- SSL 直通的优势
- SSL 直通的缺点
- 如何配置 SSL 穿透?
- SSL 直通与 SSL 卸载
- SSL 直通与 SSL 终止
- SSL 桥接与 SSL 直通
什么是 SSL 穿透?
SSL 直通是一种网络配置,通过负载平衡器或代理服务器将加密流量从客户端直接转发到后端服务器,从而保证端到端的安全性。 SSL 终止涉及在负载平衡器上对流量进行解密,而 SSL 直通则不同,它无需在流量分发器一级进行解密,就能保持敏感数据的机密性和完整性。
现在,如果你对负载平衡器还不熟悉,它们是一种设备或软件,可以在公共或专用网络内的多个后端服务器上均匀分配传入的网络流量,以确保资源的有效利用,并防止任何单个服务器过载。
SSL 旁路如何工作?
SSL 直通包括以下步骤:
- 客户端发送请求:客户端(如网络浏览器)发送访问网站的请求。
- 代理服务器接收请求:请求由代理服务器或负载平衡器拦截,后者充当中间人。
- 识别安全连接:代理服务器通过SSL 证书识别HTTPS(超文本传输协议安全)连接的需要。
- 建立 SSL 连接:代理服务器在不解密数据的情况下与客户端进行SSL 握手。
- 转发请求:中间服务器将客户端的加密请求转发给网络服务器。
- 网络服务器处理请求:网络服务器接收并处理请求,生成响应。
- 向代理服务器发送响应:服务器将响应发回中间服务器。
- 转发响应:代理服务器通过指定的 SSL 连接将加密响应转发给客户端。
- 客户端接收响应:客户端接收并处理加密响应,完成通信。
代理或负载平衡器处理客户端和网络服务器之间的加密 HTTP 流量,而不对数据进行解密。 这种方法可确保整个通信过程中的数据保密性和完整性,而无需额外的解密和检查。
SSL 直通的优势
SSL Passthrough 的优势包括增强数据安全性、提高网站性能和无缝用户体验。 它还能大大降低服务器负载,提高整体系统效率。
- 增强数据安全性:SSL Passthrough 通过在设备和服务器之间创建安全隧道,保护机密数据不受黑客攻击。 它可以防止任何人读取您的敏感信息。
- 更快的网站性能:SSL Passthrough 可以减轻服务器的加密负担,从而加快网站加载速度。 这意味着更多的人可以同时访问您的网站,而不会降低访问速度。
- 减轻服务器负担:SSL 直通通过在其他地方处理加密,减轻了服务器的负担。 因此,即使在繁忙时段,您的服务器也能快速响应请求。
- 应用程序兼容性:SSL Passthrough 可与各种应用程序和服务顺利集成,无需修改或调整,确保不同平台的兼容性和易用性。
- 节约成本:通过将 SSL 解密卸载到负载平衡器,SSL 直通可以节省服务器资源和维护成本,减轻服务器压力并延长其使用寿命。
SSL 直通的缺点
- 配置复杂:设置 SSL 直通需要专业技术知识,涉及复杂的配置过程,包括调整防火墙规则和处理SSL/TLS版本与密码套件之间的兼容性问题。
- 加密流量:SSL Passthrough 允许加密流量直接到达后端服务器,这意味着加密流量中的外泄代码可能会对服务器造成危害。
- 与 HTTP 配置文件不兼容:SSL 直通不支持 HTTP 配置文件,后者是用于优化 HTTP 流量的配置。 这可能会导致流量管理和优化方面的潜在限制。
- 无法进行服务器切换:SSL Passthrough 流程不支持服务器之间的快速切换,影响了系统可靠性和故障切换能力。
- Cookie 持久性的限制:Cookie 持久性是一种用于维护客户端与服务器之间会话的方法,但不能与 SSL 直通一起使用,这可能会影响会话管理和用户体验。
如何配置 SSL 穿透?
要为代理服务器或负载平衡器配置 SSL 直通,请按照以下步骤操作:
- 选择负载平衡器:决定是使用 F5 等基于硬件的解决方案,还是使用 HAProxy 或 Nginx 等基于软件的解决方案。
- 安装负载平衡器:在网络上安装所选的负载平衡器。
- 配置 TCP 和 HTTP 模式:在负载平衡器的设置中,为前端和后端配置 TCP(传输控制协议)和 HTTP 模式。 这样,负载平衡器就能适当地处理流量。
- 启用 SSL 直通:在负载平衡器的设置中找到 “SSL/TLS “部分,然后启用 “SSL 直通 “选项。 它利用 TCP 模式向后端服务器安全传输加密流量。
- 在后端服务器上安装 SSL 证书:虽然 SSL 穿透不需要在负载平衡器上安装SSL 证书,但应确保在后端服务器上安装 SSL/TLS 证书,以确保连接安全。
- 指定后端服务器:在负载平衡器配置的 “后端 “部分,输入引导 SSL 加密流量的后端服务器的 IP 地址。
- 保存并应用设置:配置 SSL 穿透、指定后端服务器并确保正确的 TCP 和 HTTP 模式后,请保存设置并应用设置以激活它。
SSL 直通与 SSL 卸载
SSL Passthrough允许安全流量不受影响地直接传输到服务器。 它的功能是不对流量进行解密,并保持客户端到服务器之间的原始加密。
SSL 卸载的不同之处在于在负载平衡器一级对 SSL 流量进行解密。 这种方法可以卸载服务器上的 SSL 流量处理,从而释放资源,提高服务器性能。 它可以进行流量检查和入侵检测。 不过,它并不提供端到端加密。
在它们之间做出选择取决于您的具体需求。 如果端到端加密是重中之重,而你又不太担心服务器负载,那么 SSL 直通可能是你的最佳选择。
SSL 直通与 SSL 终止
有没有想过 SSL 直通与 SSL 终止的比较? 如果你优先考虑处理速度,而不是流量检查和操控,那么就选择前者。
通过 SSL 终止,SSL 连接在负载平衡器上结束或 “终止”。 流量经过解密、检查,然后以未加密或重新加密的方式发送到服务器。
SSL 终止比 SSL 直通更耗费 CPU,但在管理流量和应用 DDoS 保护和 WAF(网络应用防火墙)等安全功能方面更具优势。
SSL 桥接与 SSL 直通
SSL 桥接、SSL 终结和 SSL 卸载这些术语通常可以互换使用,但根据上下文,它们的含义可能略有不同。
SSL 桥接在代理或负载平衡器上对 SSL/TLS 流量进行解密,然后再将其转发到后端服务器。 解密后,代理可以检查或在必要时修改流量,然后重新加密并发送到后端服务器。 SSL 桥接可在代理级别实现流量可见性和控制。
流量处理完毕后,负载平衡器会使用自己的 SSL 证书对其重新加密,然后再发送到后端服务器。
使用 SSL 桥接来检测和阻止恶意流量,实施基于内容的路由选择,根据请求的内容或来源将其导向特定的后端服务器,或执行缓存或压缩等优化操作。
底线
总之,SSL Passthrough 可以绕过解密过程,保持安全的加密连接。 尽管有一些小缺点,但它的好处也是显著的,如保留端到端加密和减少服务器负载。
配置可能会有所不同,但过程一般都很简单。 与 SSL 卸载、终止和桥接相比,每种方法显然都有其独特的应用。 您的决定应优先考虑网络的具体需求和安全要求。
