RELATED CONTENT
您是否具备解密能力?
观看本视频
几乎90%的页面加载都是使用SSL / TLS加密的,攻击者通常使用加密来隐藏恶意负载。 如果您不检查SSL / TLS流量,则会忽略攻击机会,从而置您的企业于危险之中。
恶意软件隐藏在 SSL/TLS 加密中
近期 F5 实验室分析表明,通过网络钓鱼安装的恶意软件中,有 71% 的软件隐藏在加密中。但是,安全检查工具(下一代防火墙 (NGFW)、入侵检测/防护系统 (IDS/IPS)、数据丢失防护系统 (DLP) 以及其他工具)对 SSL/TLS 流量越来越无法察觉。在众多情况下,通过在多个菊链设备上解密和重新加密,还会引入延迟。缺乏集中的加密流量管理点,也会在需要更改配置时支付大笔费用。
如何获得对加密流量的可视性
好消息是,大家不必再承担因隐藏的恶意软件造成违规所需支付的大笔费用。将 F5 SSL Orchestrator 添加至您所处的环境,可确保加密流量能够被解密、由安全控件进行检查,然后再重新加密。因此,您可以最大限度增加对安全检查技术的投资,预防入站和出站威胁,包括利用、回调和数据泄露。
F5 SSL Orchestrator 不仅可以提供对加密威胁的可视性,还能提供动态服务链和基于策略的流量引导,将基于情境的情报应用于加密流量处理。如此能够使您智能管理整个安全链中的所有加密流量,同时也确保您适当绕过流量中受监管的隐私数据的解密。
“
通过网络钓鱼安装的恶意软件中,有 71% 的软件隐藏在 SSL/TLS 加密中。
F5 SSL ORCHESTRATOR 能够与您的安全检查工具集成
F5 SSL Orchestrator 旨在轻松与现有及不断变化的架构集成,并集中管理 SSL/TLS 解密/加密功能,从而在整个安全基础架构中提供最新的 SSL/TLS 协议版本和加密密码。
当谈及与检查工具集成时,SSL Orchestrator 与供应商无关,因为它支持多个拓扑和协议,因此,您可以根据需要增删安全服务,而不会中断流量。
请阅读下方技术集成指南,了解某些 F5 重要合作伙伴的建议。
集中式 SSL/TLS 解密与重新加密的主要优势
- 解密流入应用或离开您网络的 SSL/TLS 流量,路由到安全检查工具以发现威胁或阻止攻击,然后在将流量发送到目的地之前重新加密。
- 根据您的自定义策略和网络/设备情况,动态链接安全工具,通过监控运行状况和负载均衡,为安全堆栈提供弹性。
- 自定义策略利用支持地理位置、IP 信誉、URL 分类、第三方 ICAP 集成等的内置上下文引擎,定义路由到相应安全检查工具的智能路由。
- 允许绕过解密受监管的隐私数据,例如进出银行或医疗相关网站或应用的流量。
- 通过提供单一平台,在整个安全基础架构中集中化管理密码更改,从而降低管理成本,并最大程度减少架构变更。
- 即使流量经过完全前向保密,也可以利用带外工具重新对入站到应用的流量进行被动检查。
- 通过灵活集成到复杂的第 2 层或第 3 层架构,支持任何部署模式。
|
|
| 可视性 | 高性能 SSL/TLS 解密/重新加密支持入站和出站加密流量 |
| 动态服务链 | 基于策略的解密流量引导 与物理接口、端口或 VLAN 分离 简化安全服务插入 服务监控与弹性 多个安全设备的负载均衡 |
| 上下文策略引擎 | 源和目标 IP 及子网端口 协议域 IP 地理位置 IP 信誉(订阅) URL 分类(订阅) 基于策略的阻拦、旁路和转发以执行检查操作 |
| 精细控制 | 标头更改;支持端口转换 具有 TCP 会话弹性的高可用性 |
| 强劲的密码和协议支持 | TLS 1/1.1/1.2/1.3 前向保密/完全前向保密 RSA/DHE/ECDHE,前向保密支持 SHA、SHA2、AES、AES-GCM 对密码和协议进行代理级控制 |
| 部署模式 | 出站第 3 层显式代理 出站第 3 层透明代理 入站第 3 层反向代理 出站第 2 层 入站第 2 层 现有应用(现有 LTM 应用) |
| 支持的服务类型 | HTTP Web 代理服务 内联第 3 层服务 内联第 2 层服务 ICAP/DLP 服务 TAP 服务 |
| 吞吐量 | 虚拟版本高达 9.3 Gbps 8500 次交易/秒 应用高达 24 Gbps 53K 交易/秒 |