思科数据中心产品

SSL服务模块是集成在Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器上的一个服务模块， 它可以完成及其消耗主机处理器资源的安全套接字（SSL）计算任务，从而增加网站同时支持的安全连接数量，并减少高性能网站服务器群运行的复杂性。

服务模块的主要特性包括：

• 服务器SSL卸载——集成SSL处理，执行与SSL相关的所有任务，使服务器能处理高速纯文本流量。
• 性能可扩——只要简单地在机箱里增加安装模块就可以满足性能升级的要求
• 永久连接——用Cisco CSM（集成模式）操作时，及时客户机请求新对话ID时，也能保持永久连接。
• 证书优化——对传输到Web服务器的用户数据进行加密，提供私密性、保密性和认证。SSL使用驻留在模块上的多种证书，能集中证书管理。由于无需在单独的服务器上管理证书，只需一份证书就能完成管理，因而能显著降低成本。
• 后台加密——SSL模块可以对服务器到模块的之间的通信进行加密从而提供端到端的安全保证

在每个机箱内最多可以安装4块SSL服务模块，提供业界最快的SSL对话建立速度和最高的加密吞吐量， 支持最高数量的并发连接：

• 每个模块每秒建立3,000条连接（每个机箱10,000条）
• 每个模块的加密吞吐量高达300Mbps（每个机箱1.2Gbps），

能同时保留64,000条并发的客户机连接（每个机箱256,000个）

图1

SSL服务模块能够卸载SSL计算，使后台的Web和电子商务服务器能处理更多的内容请求和交易请求 － 使电子商务应用的性能大大提高，同时也使用加密算法保证了网站的安全。

随着电子商务应用的发展，牵涉到越来越多的应用，B2C和B2B交易的安全性成为最重要的考虑。在B2C交易中，分析家估计有超过70％的消费者由于害怕有人会盗用他们的信用卡号码而不敢在网上交易。这也导致了SSL成为保护电子商务交易安全的业界标准。

企业在利用Internet来提高运行效率，改善客户服务并提高销售率。企业也把传统的应用转移到Web应用，并把应用开放到内部网和外联网 － 这需要提供对保密数据的高速度、安全并经认证的访问。越来越多的企业现在在使用SSL加速设备来进行认证、加密和解密处理。

SSL服务模块的主要优点

在传统的客户机/服务器SSL模型中，SSL的处理是通过集成在服务器里的SSL网卡来完成的。这种传统方式的缺点包括：

• 不能建立永久连接，当客户端重新请求新的SSL ID时会话会丢失，这会导致销售额的下降
• 必须为服务器群里的每一台服务器购买证书，这会导致成本增加
• 为了增加SSL交易量的处理性能必须增加新的Web服务器，这会导致成本增加并使服务器群的稳定性下降
• Web服务器在建立SSL会话上浪费了大量的处理器资源，这会导致成本增加

Cisco提供向用户提供集成的SSL服务模块解决了上述缺点，并提供以下的优点：

低成本的方案

SSL服务模块提供了业界最好的性能价格比。维护的成本包括在Cisco Catalyst交换机的维护服务合同中，使用户在每年的服务合同中节约了成本。 通过把消耗处理器资源的SSL计算负担卸载到SSL服务模块上，用户不需要购买多余的服务器。一个机箱里可以安装多块SSL服务模块，节约了机架空间，这对机架空间紧张的用户来说尤其重要。

卸载服务器计算

通过把消耗处理器资源的SSL计算负担卸载到SSL服务模块上，用户的Web服务器可以增加处理性能。可以通过使用内容交换机，如Cisco CSM，在多块SSL服务模块间使用标准的负载均衡算法进行均衡负载以进一步实现性能的提高，并且维持SSL 会话 ID的永久连接。

性能扩展

集成的内容交换模块和外置的负载均衡设备可以把安全的HTTPS内容请求在多块Cisco SSL服务模块之间做负载均衡 － 这使SSL计算的性能最大化并提供了SSL性能的扩展。通过把消耗处理器资源的SSL计算负担从Web服务器卸载到SSL服务模块上，使Web服务器在不牺牲用户性能的情况下可以处理更多高峰时期的流量请求。因为SSL处理在交换机中集中进行，用户可以很方便地增加新模块，不需要中断当前的处理。

永久连接

在集成模式中，当用户端浏览器重新协商SSL ID和源IP地址改变时（这种情况经常在无线网络和经过网关的流量中发生），SSL服务模块和CSM保持了永久的客户端-SSL设备会话信息。SSL服务模块和CSM通过使用sticky cookie来维持用户到Web服务器的永久连接 － 优化了用户的网上浏览经历。当SSL模块工作在冗余配置模式下时，即使发生硬件故障用户的会话状态也不会丢失。

管理配置容易

SSL服务模块把SSL计算集成在网络基础架构中，这可以使Cisco Catalyst 6500交换机上的任意一个端口都可以成为SSL端口。SSL服务模块简化了安全管理，可以对用户数据到Web服务器进行加密从而提供了保密性，也可以支持多种证书包括Netscape和Verisign。

高可用性

当SSL服务模块和CSM模块都安装在Catalyst 6500交换机中时，当硬件故障发生时SSL流量可以维持。SSL模块的failover功能和CSM模块提供了极强的容错方案。

降低证书成本

SSL证书在Cisco SSL模块上，集中了证书管理，无须为每台服务器购买证书，从而降低了证书的成本。

关键功能	优点
系统容量和性能	2500 连接建立/秒 每模块—10K 每机箱 60K 并发客户连接—240K 每机箱 300 Mbps 加密流量—1.2 Gbps 每机箱 256 key pairs 256 证书 512-bit, 768-bit, 1024-bit, 1536-bit, 和2048-bit 256 代理服务器
散列算法	Message Digest 5 (MD5) SHA1
加密包	SSL_RSA_WITH_RC4_128_MD5 SSL_RSA_WITH_RC4_128_SHA SSL_RSA_WITH_DES_CSC_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA
握手协议	SSL 3.0 SSL 3.1/TLS 1.0 SSL 2.0 (Client Hello) Session reuse Session renegotiation
算法	ARC4 DES 3DES RSA
Public Key Infrastructure	RSA key pair generation Server certificate enrollment Server key and certificate import Server key and certificate export Key and certificate renewal Auto-enrollment of server certificates
网络地址翻译	Client NAT Server NAT/Port Address Translation (PAT)
扩展性	每机箱支持最多4个SSL模块
高可用性	CSM 可以在多个SSL模块间均衡负载
和服务器负载均衡设备集成	可以和CSM模块紧密集成在Cisco Catalyst 6500交换机中
监控	可以对SSL会话进行多种统计和监控
热插拔	在线插拔
安全密钥储存	密钥储存在私有的NVRAM
独立模式	独立模式可以和外部服务器负载均衡设备共同工作
SSL会话ID保持	保持会话的永久连接
后端加密	可配置SSL服务模块作为SSL客户机. 当配置SSL代理服务, SSL 服务模块和服务器协商一个SSL会话并使用这个会话来加密从客户端连接得到的明文数据
客户认证	当SSL服务模块作为SSL服务器时可配置要求并认证客户端证书。当SSL服务模块作为SSL客户端时自动认证服务器证书。此功能定义了一套认证的CA和每个代理服务的合法程度
客户证书	可为客户端的代理服务配置证书。当作为SSL客户，SSL服务模块在SSL服务器请求时发送此证书
SSL 2.0 转发	可配置SSL服务模块转发SSLv2 连接到另一服务器. 当配置了SSL v2服务器IP地址, SSL服务模块透明转发所有SSLv2连接到指定服务器
证书撤回表Certificate revocation lists (CRL)	CRL基于时间指明哪些证书不能继续使用. 当对方使用证书时, 设备不仅检查证书签名和合法性还需要检查证书的序列号不在CRL表中
基于HSRP的冗余	当SSL服务模块工作在独立模式时可配置HSRP提供冗余(使用策略路由).
URL 重写	URL 重写通过把域从http:// 改为 https:// 解决了网站重定向用户到一个不安全的HTTP URL的问题. 配置URL重写, 所以用户连接到Web服务器都是SSL连接, 保证向用户传递安全的内容
Header 插入	支持某些服务器需要在HTTP包头中插入特定内容
密码恢复	使用密码恢复脚本，用户可以访问SSL服务模块
代理通配	如果用户使用大量服务器SSL代理通配提供了灵活的网络配置
TACACS/ACACS+/RADIUS	配置外部AAA服务器进行AAA认证
SNMP MIBs	支持多种SNMP MIBs
Certificate security attribute-based access control lists 证书安全特性控制列表	配置访问控制列表基于证书特性过滤证书
证书过期警告	配置证书过期警告, SSL 服务模块每30分钟检查过期信息. SSL服务模块可以记录警告信息并当证书过期和在一段时间后即将过期时发送SNMP traps

配置模式和数据流

Cisco SSL服务模块可以工作在两种模式下:

• 集成模式—和CSM集成
• 独立模式—使用外部的负载均衡设备

集成模式配置

如图2所示，SSL模块和CSM相集成，在客户端和服务器之间提供加密的数据和连接的负载均衡。

Figure 2 SSL模块集成模式

客户端通过标准的SSL端口，TCP 443端口发送加密数据。 CSM监听443端口并把加密数据负载均衡地分配到内部的“服务器群”SSL模块上。被选定的SSL服务模块解密数据，在数据上标识SSL会话ID，打开一个明文的连接到CSM的VIP处理器上，然后把数据用配置的接收“解密SSL数据”的端口发送出去，如TCP端口81。

CSM模块接收到解密的数据，根据负载均衡算法选择一个Web服务器，然后转发数据。当CSM收到从Web服务器返回的数据时，它会通过到SSL服务模块的明文的连接把数据转发给SSL服务模块。

SSL服务模块接收到为加密的数据，加密数据并通过443端口发送给CSM模块。CSM模块接收到加密的数据然后转发给客户端。

注释: 被选定的SSL服务模块和客户端对所有的TCP连接使用SSL 会话ID。 CSM也使用一部分的SSL会话ID 来使选定的SSL服务模块和客户端建立永久连接。如果客户端向SSL服务模块请求新的SSL 会话 ID, CSM可以把客户端和选定的SSL服务模块绑定在一起

独立模式配合内容交换机和其他服务器负载均衡设备

在独立模式中, 如图3, SSL 服务模块安装在Cisco Catalyst 6500 机箱中， 同一机箱中没有负载均衡设备（无论软件或硬件）

Figure 3 SSL服务模块独立模式

Cisco Catalyst 6500 交换机使用访问控制列表中的IP地址和端口号定向用户到SSL服务模块的数据和SSL服务模块到服务器之间的数据。在客户端到服务器方向，访问控制列表识别需要被定向到TCP端口443的SSL数据。 Cisco Catalyst 6500 交换机可以让普通数据流直接到目的服务器， 不须让所有流量都经过SSL服务模块。

独立模式和集成模式的数据流很类似，但有以下不同：

• SSL会话ID永久连接功能不可用
• 客户端和服务器必须在不同子网上
• 服务器可以是真实服务器地址或服务器群的虚拟地址
• 根据服务器负载均衡设备的能力，cookie sticky 可能支持或不支持