当前位置:网站首页>Automatique, intelligent, visuel! Forte conviction des huit conceptions derrière la solution sslo
Automatique, intelligent, visuel! Forte conviction des huit conceptions derrière la solution sslo
2022-07-01 15:42:00 【51CTO】
AvecSSL/TLSLe Protocole s'applique davantage àwebSite Web、Système de courrier、FTPEt dans l'Internet des objets,Entreprise traditionnelle“Chaîne de gourdes sucrées”L'architecture de sécurité a également rencontré des défis:
■Les affaires ne sont pas visibles:Certains dispositifs de sécurité peuvent ne pas être décryptés et détectésSSL/TLSFlux,Devenir l'angle mort de la sécurité de l'entreprise.Ou l'équipement de sécuritéSSLAprès la désinstallation,Réduction significative des performances de manutention des équipements de sécurité,Les exigences de sécurité de l'entreprise ne peuvent être satisfaites.
■Les ressources sont facilement gaspillées:Dans le cadre de l'architecture de sécurité traditionnelle,Il existe de nombreux points de défaillance dans le mode de déploiement de chaînes de gourdes de sucre pour de nombreux équipements de sécurité,Faible stabilité globale,Il est difficile de s'adapter aux changements dans la structure du réseau.En même temps, l'équipement de sécurité consomme des performances inutiles,Amenez - le.ITGaspillage de ressources.
■Dépannage gênant:Les centres de données réseau traditionnels utilisent souvent un grand nombre d'appareils de fournisseurs de sécurité différents, En cas de défaillance, il est souvent nécessaire de coordonner l'assistance des différents fabricants de sécurité pour le dépannage. , Augmentation de la difficulté de dépannage .
■ Difficile d'étendre le périphérique :Dans le cadre de l'architecture de sécurité traditionnelle,FW、IPS、WAF Les dispositifs de sécurité similaires sont généralement déployés en mode veille primaire , L'échelle horizontale est difficile . .En cas de performance insuffisante de l'équipement , L'échelle verticale ne peut être réalisée qu'en remplaçant du matériel plus performant .
↑ Architecture de sécurité traditionnelle
Relever les défis susmentionnés , Persuasion profonde pour un nouveau SSLOSolutions,Adoption Remodeler l'architecture de sécurité Aider les utilisateurs à organiser et gérer intelligemment le trafic .Le programme dispose:SSL Visualisation du trafic 、 Mise en commun des équipements de sécurité 、 Chorégraphie de la chaîne de services Caractéristiques équivalentes, Innovation fondée sur le mode d'accès aux équipements de sécurité et la chaîne de services de sécurité , Réalisation d'un dispositif de sécurité extensible 、 La salle des équipements peut être hétérogène 、 Utilisation accrue des ressources et orchestration intelligente du trafic .
Un.、SécuritéSSLFlux visible
ArrivéeSSL Le flux passe SSLOHeure de l'équipement, Décharge centralisée du trafic global :Décrypter d'abord, Puis l'orchestration intelligente du trafic , Puis au serveur ( Re - cryptage ). Cela permettra non seulement d'éliminer les angles morts en matière de sécurité ,Tous lesSSL Le flux est également clairement visible , Tout en économisant de l'équipement de sécurité SSLPlus、Le décryptage consomme, Éviter l'utilisation SSL Risques pour la sécurité liés au contournement des dispositifs de sécurité .
2.、 Mise en commun des équipements de sécurité
Persuasion profondeSSLO Fournir une technologie professionnelle d'équilibrage de charge , Capacité de mettre en commun les dispositifs de sécurité , Éviter les actifs inactifs , Prise en charge de l'expansion en douceur et de l'hétérogénéité de la marque , Accroître la résilience de l'architecture du réseau .
Trois、 Prise en charge de l'accès à l'équipement de sécurité de plusieurs façons
Persuasion profondeSSLO Prise en charge de l'accès aux dispositifs de sécurité fonctionnant dans différents modes de fonctionnement .
1. Accès au deuxième niveau des équipements de sécurité
L'accès en mode 2 couches est similaire au mode câble réseau . Pour distinguer efficacement les différents dispositifs de sécurité de niveau 2 , Deux liens différents sont nécessaires pour chaque dispositif de sécurité de niveau 2 (OuVLAN),InSSLO Le deuxième lien de l'appareil est configuré avec un VIP(IP3)Pour le faire.,Ici.VIPLien avec1DeIP1Même segment réseau,QuandIP3Capable de recevoirIP1Au débit de, Nous supposons que l'équipement de sécurité du deuxième étage fonctionne correctement. , Sinon, l'équipement n'est pas normal .
Diagramme logique
2. Accès au niveau 3 de l'équipement de sécurité
L'accès à l'équipement à trois niveaux lui - même offre IPAdresse.C'est exact.SSLOPour l'équipement, L'interface de sortie du trafic vers l'équipement de sécurité et l'interface de réception du trafic à partir de l'équipement de sécurité n'ont pas besoin d'être complètement indépendantes pour le moment. , Avec un seul bras , Le mode double bras est également disponible .
Mode à bras unique:L3 Une seule route doit être configurée sur l'appareil de sécurité , Acheminer les paquets dans les directions de la demande et de la réponse vers IP1, C'est plus facile à configurer .
Mode double bras :L3 L'appareil de sécurité nécessite plusieurs itinéraires , Acheminer le paquet de direction de la demande vers IP2, En même temps, acheminer les paquets dans la direction de la réponse à IP1.
3.TAP Accès au dispositif miroir
Le dispositif miroir lui - même ne reçoit que des paquets , Par défaut, il n'est pas nécessaire de configurer le moniteur .SSLO L'appareil doit assigner un lien à l'appareil miroir (link1), Si l'appareil miroir est configuré avec IP, Et réagira SSLO De ARP Demande,Alors SSLO Peut utiliser directement l'appareil miroir sur IP C'est tout..Si le miroir Pas de réponse sur l'appareil ARP Demande,Alors SSLO Il est nécessaire d'assigner un IP, Et pour ça aussi. IPAttachez. Miroir fixe MAC Adresse.
Quatre、 Technologie de séparation des sessions
Persuasion profondeSSLO La technologie de séparation des sessions fournit une garantie technique solide pour l'arrangement intelligent du trafic .
InLinuxDans le système, Les informations de session sont généralement enregistrées par un mécanisme de suivi des connexions , Lorsque les informations quintuples sont les mêmes, la même session est touchée en même temps , Dans le flux SSLO Le flux de retour de l'équipement de sécurité après orchestration ne change généralement pas l'information Quintal , Le trafic ne peut donc pas être organisé en différents dispositifs de sécurité .
Pour pouvoir distinguer les différentes sessions , Profondément convaincu d'un design innovant :
(1) Assurez - vous que les différents dispositifs de sécurité utilisent des liens différents , En outre, différents dispositifs de sécurité peuvent être distingués en fonction de l'interface d'entrée de trafic. .
(2) Enregistrer les informations de liaison d'interface entrante dans les informations de session , Le trafic entrant de différentes interfaces entrantes peut atteindre différentes sessions , Mise en œuvre de l'isolement des sessions .
(3) Sur la base de l'isolement des sessions , Raccorder séquentiellement les dispositifs de sécurité par lesquels le trafic passe , D'une part, pour déterminer la séquence dans laquelle le débit passe à travers l'équipement de sécurité , D'autre part, il est utilisé pour mettre en œuvre un dispositif de sécurité basé sur cette information en cas d'anomalie du dispositif de sécurité. bypass, Assurer la continuité du débit .
Cinq、 Inspection sanitaire des équipements de sécurité
Persuasion profondeSSLO Être capable de fournir une variété de tests de santé , Pour s'assurer que le trafic est acheminé vers un dispositif de sécurité fonctionnant correctement . Les examens de santé les plus courants sont effectués par icmp Protocole pour la détection du réseau ,Sauf queicmpComment, Il est également possible d'envoyer quatre couches / Vérification des données à sept niveaux .
Six、 Planification de la chaîne de services de sécurité
Persuasion profondeSSLO Mise en œuvre de l'arrangement intelligent du trafic par l'ordonnancement de la chaîne de services de sécurité , L'ordonnancement de la chaîne de services de sécurité est très flexible , Peut répondre aux besoins de divers scénarios d'affaires , Inclure une chaîne de services de sécurité de référence de service virtuel 、 .La politique préalable fait référence à la chaîne de services de sécurité 、ipro Référence à la chaîne de services de sécurité, etc. .
Sept、 Déploiement de la sécurité en mode double
Pour l'exploitation, l'entretien et les caractéristiques commerciales des équipements de sécurité , Élaborer des stratégies de déploiement souples , Mise en œuvre du déploiement de la sécurité en mode double . Basé sur une entreprise , Drainage à l'échelle grise , Spécifier une chaîne de services différente . Comme les chaînes à l'état d'équilibre et les chaînes sensibles , La chaîne à l'état d'équilibre met l'accent sur la stabilité et la fiabilité de l'entreprise , Et la chaîne sensible se concentre sur le niveau gris d'affaires en ligne 、 Ajustement sensible .
Huit、Fautebypass(Évacuation)Mécanismes
Pour assurer le bon fonctionnement de l'entreprise , Même dans des cas extrêmes , Tous les dispositifs de sécurité d'un pool de ressources de sécurité sont défectueux ,SSLO L'appareil peut encore être programmé de manière flexible grâce au trafic ,Exécution automatiqueBypassMécanismes, Contournement actif d'un groupe de dispositifs de sécurité défectueux , Éviter d'affecter l'ensemble de l'entreprise en raison d'une défaillance de l'équipement de sécurité .
Ce qui précède concerne la conviction profonde SSLO Introduction à la solution ,Attention“Profondément convaincu de la technologie” Le numéro public a accès à plus de produits technologiques secs .
边栏推荐
- 她就是那个「别人家的HR」|ONES 人物
- Qt+pcl Chapter 6 point cloud registration ICP Series 2
- Guide de conception matérielle du microcontrôleur s32k1xx
- The newly born robot dog can walk by himself after rolling for an hour. The latest achievement of Wu Enda's eldest disciple
- A unifying review of deep and shallow anomaly detection
- Wechat official account subscription message Wx open subscribe implementation and pit closure guide
- 【OpenCV 例程200篇】216. 绘制多段线和多边形
- "Qt+pcl Chapter 6" point cloud registration ICP Series 6
- MySQL的零拷贝技术
- For the sustainable development of software testing, we must learn to knock code?
猜你喜欢
Lean Six Sigma project counseling: centralized counseling and point-to-point counseling
Zhang Chi Consulting: lead lithium battery into six sigma consulting to reduce battery capacity attenuation
[target tracking] |stark
工厂高精度定位管理系统,数字化安全生产管理
【一天学awk】条件与循环
七夕表白攻略:教你用自己的专业说情话,成功率100%,我只能帮你们到这里了啊~(程序员系列)
MySQL backup and restore single database and single table
Gaussdb (for MySQL):partial result cache, which accelerates the operator by caching intermediate results
Qt+pcl Chapter 9 point cloud reconstruction Series 2
厦门灌口镇田头村特色农产品 甜头村特色农产品蚂蚁新村7.1答案
随机推荐
Qt+pcl Chapter 6 point cloud registration ICP series 3
STM32ADC模拟/数字转换详解
Survey of intrusion detection systems:techniques, datasets and challenges
[one day learning awk] conditions and cycles
Qt+pcl Chapter 6 point cloud registration ICP Series 5
The last picture is seamlessly connected with the first picture in the swiper rotation picture
做空蔚来的灰熊,以“碰瓷”中概股为生?
Microservice tracking SQL (support Gorm query tracking under isto control)
[target tracking] |stark
【STM32-USB-MSC问题求助】STM32F411CEU6 (WeAct)+w25q64+USB-MSC Flash用SPI2 读出容量只有520KB
Day 3 of rhcsa study
Preorder, inorder, follow-up of binary tree (non recursive version)
For the sustainable development of software testing, we must learn to knock code?
Using swiper to make mobile phone rotation map
最新NLP赛事实践总结!
微信小程序01-底部导航栏设置
Implementation of deploying redis sentry in k8s
Redis high availability principle
Tableapi & SQL and Kafka message acquisition of Flink example
STM32F4-TFT-SPI时序逻辑分析仪调试记录