应用网络服务

概述

SSLv3协议也被称作传输层安全第1版(TLSv1)协议，该协议是最常用的IP网络传输内容加密协议之一。目前受SSL/TLS保护的应用迅速增多，包括基于Web和非基于Web的应用，这意味着必须对受保护的流量实施基于策略的广域网优化。最近，企业越来越多地利用SSL/TLS加密网上传输的内容，而且这一趋势呈迅速发展之势。此外，许多客户虽然尚未在企业中部署SSL，但他们希望确保在将来部署SSL时能够同时拥有一个广域网优化解决方案。

如本文所述，思科® 广域应用服务(WAAS)是一个全面的广域网优化解决方案，能够加速广域网上传输的应用，向分支机构传输视频并对分支机构IT服务进行本地托管。

通过在种类广泛的广域网优化技术中增加强大的SSL加密技术，思科WAAS为整套解决方案提供了一个核心组件，既能保证现有SSL商业应用的安全传输，又能实施新的软件即服务(SaaS)和虚拟桌面(VDI)项目。

思科WAAS的客户使用案例数量庞大而且遍及各行各业，他们在SSL加密保护的环境中部署了广域网加速技术。例如，许多行业和机构采用了Web代理服务器来前置数据中心的关键业务应用，并利用SSL对代理服务器和分支站点远程用户之间的流量进行加密。思科WAAS优化了这些应用的传输性能，同时端到端地保证了SSL加密–而其它同类产品的SSL功能不提供这种支持。为了最大限度提高应用流量的安全性，WAAS设备为静态存储数据提供了额外的加密保护，而且能够与思科ACE应用交换机共同部署在一个端到端的SSL优化架构中，以进行SSL卸载,以减轻对服务器的压力。

思科WAAS提供的SSL优化功能不但与现有的数据中心密钥管理与信任模式完全集成，而且能够用在广域网优化与应用加速组件中。私钥和数字证书可存储在Cisco WAAS Central Manager上一个安全的库中。这些私钥和数字证书将以一种安全的方式分发给数据中心的思科WAAS设备并存储在一个安全库中，从而维持了服务器专用密钥的信任边界。基于思科WAAS的SSL优化对于最终用户和服务器完全透明，而且不要求改变网络环境。

思科WAAS还简化了企业对SSL优化解决方案的部署与管理，同时改进了大型部署环境的管理。思科WAAS的自发现机制支持对SSL流量的自动识别、截取、优化和加速，即使在客户端使用显式代理的环境中也是如此。

挑战

在用于加密的多种密码协议中，SSL/TLS是最重要的协议之一。目前SSL/TLS加密的应用在通过广域网链路传输的流量中所占的比例越来越高。在广域网数据中，安全的加密流量数量庞大，而且在逐渐增长。标准的数据冗余消除（DRE）技术无法优化广域网数据，因为这种加密流程会生成不断变化的数据流，即使冗余数据也变得难以清除，而且完全无法取消复制字节模式。如果没有SSL优化，思科WAAS仍能利用传输流优化(TFO)对加密的流量进行普通优化。在网络中有高带宽延迟产品(BDP)1而且无法填满传输管道的情况下，针对加密的安全数据采用TFO大有助益。

在将思科WAAS DRE和Lempel-Ziv (LZ)压缩等具体的SSL优化技术应用于数据时，必须终止SSL连接并对流量进行解密。SSL优化的最低限度要求是必须：

• 在临近的思科WAAS广域应用引擎(WAE)处解密流量，并对解密后的明文数据进行广域网优化
• 重新加密优化后的流量，以保护内容的安全性，以便顺利地在广域网上传输
• 在远端的思科WAAS WAE上对加密并优化的流量进行解密，并对广域网优化进行解码
• 重新加密现在的原始流量并将其转发到目的地服务器

在终止SSL连接并对加密数据进行广域网优化时需要使用服务器私钥。此外，解密后的明文数据必须存储在磁盘上，以供将来参考，并充分发挥DRE的优势。在数据安全性至关重要的环境中，这些要求意味着严峻的安全挑战。对于任何提供SSL加速的广域网优化解决方案，安全都是最重要和最敏感的问题。

要想成为适合企业部署的全方位解决方案，SSL优化技术必须满足以下安全要求：

• 解决方案必须不影响私钥的安全性。私密的信任边界必须得到保护，而且不能将这些密钥应用于安全的数据中心之外。私钥和证书应该存储在数据中心一个安全的电子存储库中。
• 任何情况下都必须为存储的信息提供数据存储加密，以防止在设备被盗或硬盘拆除时数据遭到非授权访问。
• 磁盘加密密钥不能保存在磁盘中，应该通过一个安全的链接从一个受保护的中央管理系统获取密钥，然后保存在内存中，以便在发生磁盘丢失时仍能确保数据安全性。

该解决方案的另一个主要特性是透明性。在部属SSL广域网优化时，客户端与服务器应当不受任何影响、也不能要求为运行SSL上的广域网加速而进行特别配置。特别是，客户端与服务器不应觉察到任何广域网优化设备的存在，也不应被迫改变其代理或其它设置。SSL加速机制应与所有类型的客户端浏览器代理设置兼容，包括自动识别与显式代理配置。

思科WAAS SSL优化技术的优势

思科WAAS是一个业界领先的综合广域网优化与应用加速解决方案。思科WAAS中的SSL优化功能与客户部署环境中现有的公共密钥基础设施(PKI)信任模式透明集成，而且能够在不影响现有数据中心密钥管理安全性的前提下轻松部署。

BDP是在任何给定时间，两个端点之间的广域网链路上传输的最高数据量。BPD的计算方式是数据链路的每秒比特数乘以每秒的端到端延迟。

在思科WAAS中, SSL信任模式在数据中心保持不变。服务器私钥安全地存储在数据中心的核心思科WAAS WAE和思科WAAS Central Manager上，而且永远不会被推送到分支机构。临时性的SSL连接密钥将通过一个边缘思科WAE和一个核心思科WAE之间的安全HTTPS连接，从安全的核心思科WAE发送到边缘思科WAE。Cisco WAAS SSL Application Optimizer 以一种完全透明的模式运行，不要求对客户端或目的地服务器进行任何更改。图1显示了思科WAAS SSL 优化功能如何与现有的应用密钥交换机制透明集成，以及如何保持服务器专用密钥的信任边界。

• 在初始客户端SSL握手协议中，数据中心的核心思科WAE将参与会话。利用思科WAE设备证书可以安全地建立思科WAE之间的连接，思科WAE将互相进行交叉验证。
• 在发生客户端SSL握手而且数据中心思科WAE获得了连接密钥后，数据中心思科WAE将通过安全的链路将连接密钥（临时性）发送到边缘思科WAE,以开始解密客户端流量并应用DRE。
• 然后被优化的流量将通过思科WAE对等连接密钥重新加密，并在带内通过目前的连接保持完全透明的状态传输到数据中心思科WAE。
• 继而核心思科WAE将对优化的流量进行解密，重新对原信息进行组合，并利用服务器和数据中心思科WAE之间协商的另外一个连接密钥对这些信息进行重新加密。
• 如果后端SSL服务器要求客户端发送一个SSL证书，核心思科WAE将向客户端索要一个证书。核心思科WAE将验证该客户端，采用的方法是利用一个可信的Certificate Authority (CA)或一个Online Certificate Status Protocol (OCSP)应答器对SSL证书进行检验。

与其它提供SSL支持但只能与部分集成现有安全架构的解决方案相比，Cisco WAAS SSL Application Optimizer拥有显著的优势：

• 架构简单而且易于部署: 通过增加对通配符证书和IP地址的支持，思科WAAS允许创建汇聚式服务。
• 维持信任边界：思科WAAS不会将私钥分发给除安全的数据中心思科WAAS设备之外的其它设备。
• 对密钥进行安全的可扩展存储：所有证书和专用密钥都安全地存储在Cisco WAAS Central Manager上，而且只分发给数据中心的思科WAAS设备。这些私钥永远不会分发给边缘思科WAAS设备。
• 磁盘加密: 利用由Cisco WAAS Central Manager管理的磁盘加密密钥，可以进行选择性加密或全局加密。这种方法能够确保在思科WAAS设备被破坏的情况下写入至思科WAAS设备的数据无法使用。
• 与现有代理基础设施的互操作性：即使在已经部署了Web代理或客户端使用显式代理的环境中，思科WAAS也完全支持对SSL流量的自动识别、截取、优化和加速。
• OCSP支持: 通过支持OCSP, 思科WAAS能够对证书进行实时安全检查，从而提高了安全性。
• 客户端验证支持: 在最初建立连接时，思科WAAS支持基于客户端证书的验证。
• 基于角色的访问控制(RBAC): Cisco WAAS Central Manager RBAC架构允许对SSL配置和监控机制进行受控访问。

思科WAAS SSL优化解决方案: 简单、可扩展、易于部署

思科WAAS提供了业界最全面然而部署非常简单的SSL优化架构。思科WAAS 解决方案在配置SSL加速服务方面灵活性极高并具有显著的优势：

• SSL加速服务配置支持通配符证书和任何IP，此外还允许针对每个服务使用多个IP地址和TCP端口。单个SSL加速服务可用于汇聚多个后端服务器。
• 支持广泛的证书格式，包括私密性增强邮件(PEM)和公共密钥密码标准12 (PKCS12)。思科WAAS支持证书链，并提供自签名证书，以支持快速概念验证。思科WAAS还能够生成证书签名请求(CSR)。
• 思科WAAS提供了一个根证书授权方的默认列表，而且允许添加新的证书授权方。
• SSL加速服务支持各种密码编码方法，包括流密码和块密码。 思科WAAS还支持Diffie-Hellman密钥交换方法，这种方法是Firefox和Apache等主流浏览器和服务器的默认配置。该默认密码组合包含联邦信息处理标准(FIPS) 140-2中的所有加密和MAC方法。
• SSL加速服务提供对SSLv3和TLS的默认支持。此外，SSL加速服务还能够定制协议选择并限制对协议的使用。

维持数据中心的信任模式

Cisco WAAS SSL Application Optimizer要求将私钥保存在数据中心的思科WAAS设备中，远程分支机构的思科WAAS设备永远不需要使用这些密钥。这种方法将密钥的使用范围限制在安全的数据中心之内，从而保证了密钥的安全性。