网络设备硬核技术内幕 防火墙与安全网关篇 (九) 虚拟化神器 (下)

华山派在抗疫行动中，由于上线了视频课程而名声大震，在全国武林的地位中一举进入了领导者象限。

俗话说，树大招风。不久，就有网安部门约谈岳不群，事由是，华山派的网页上被插入了一些内容违反社会主义核心价值观的广告。

有这样的：

还有这样的：

啊？看不到。那是因为被识别为不良图片屏蔽了。

岳不群盛怒之下，命令网站部门立即排查服务器，但网站开发部门反映，并没有在网页上挂任何广告，也没有发现任何被入侵并植入广告的迹象。

令狐冲临危受命，组织网络安全团队逐个访谈用户。

很快，令狐冲发现了规律——

所有在华山派页面上发现各种不健康广告的用户，都是使用了“互联网智能家庭路由器”的用户。

原来，一些不法商家利用大众喜欢占小便宜的人性弱点，打着“赠送”路由器的旗号，把带有在网页中插入广告功能的路由器“送”给用户。

只要在家中使用了这种路由器，观看的部分网页就会被插入广告。

解决的办法也很简单：将所有的网站前台虚拟机上开启https服务。

由于https是基于SSL的，将所有的数据进行了加密，第三方在网页HTTP数据流中插入广告的做法就行不通了。

但，在测试环境中，工程师就发现，浏览器总是提示这样的错误：

原来，这是因为，浏览器认为负载均衡设备是一个实施“中间人攻击”行为的设备。

什么是“中间人攻击”呢？

用户A期望和用户K私密通信：

此时，大家期望的通信内容是加密的，无法被窃取或篡改。

O为了截取或篡改内容，分别向用户A宣称自己是用户K，向用户K宣称自己是用户A，如下图所示：

这样，用户A和用户K都以为自己在与对方通信，实际上这两个用户是在与O通信，双方的通信完全被O截取，没有任何私密性和安全性可言，。

为了避免这种“中间人攻击”，在SSL中引入了一种证书机制，利用公钥-私钥体制，让权威机构用私钥对自己的信息做签名，对端使用公钥验证签名。由于公钥-私钥体制难以仿冒的特点，服务器可以通过这种方式证明自身属于特定的域名。

理解了这些背景知识，我们就明白为什么负载均衡设备在HTTPS场景会引起用户浏览器报错了——

如图，LB由于没有获取权威机构签名证书，在接受SSL连接时，只能使用自行签名的证书。用户浏览器识别到签名机构不在受信任的机构列表中，自然不会信任对方并报错。

解决方案也是显而易见的。

这需要在LB上开发一个功能：证书安装——把网站向权威机构申请的证书安装到LB上！

如图，由于LB上安装了网站开发者向权威机构申请的证书，用户可以信赖LB设备，双方建立起了安全的HTTPS连接——

这也引发了安全网关的又一次进化——

请看下回分解。