SSL(Secure Sockets Layer安全套接層)協(xié)議是在互聯(lián)網(wǎng)上廣泛應用于交易安全性保障的一種主導技術。在一般情況下,HTTP采用明文的方式在互聯(lián)網(wǎng)上進行傳輸,但是對于認證口令等敏感信息而言,會存在被非法竊聽的風險�����。為了消除這一方面的隱患����,可采用SSL協(xié)議對HTTP協(xié)議進行加密(即HTTPS)�,以確保在整個數(shù)據(jù)傳輸過程中的信息安全性。
問題分析
服務器性能過載
借助SSL加密機制����,但凡涉及敏感信息的互聯(lián)網(wǎng)服務,便可利用數(shù)據(jù)傳輸加密來增強其安全性����。諸如電子商務���、賬單支付、納稅申報���、股票與證券交易等線上業(yè)務�,紛紛得以通過互聯(lián)網(wǎng)實現(xiàn)安全交付���。然而�,SSL的聯(lián)機加密運算不可避免會消耗服務器的處理性能��,在相同的硬件性能下����,處理SSL加密數(shù)據(jù)所消耗的時間是處理明文數(shù)據(jù)的5倍。一臺服務器啟用SSL加密之后,其性能往往只達到原來的20%��,其余80%的計算性能都消耗在了SSL的加密運算方面���。與日俱增的SSL通信量�,將會給網(wǎng)絡服務器帶來嚴重的負擔�。
傳統(tǒng)方法的不足
為了緩解服務器的性能壓力���,一度較為流行的方法是安裝SSL加速卡。但是加速卡對SSL數(shù)據(jù)的處理還是建立在服務器主機之上�,并且過分注重于加速SSL數(shù)據(jù)處理,而不是完全卸除系統(tǒng)負荷�����。隨著網(wǎng)絡應用的日益豐富��、數(shù)據(jù)流量的迅猛增長�、線上用戶數(shù)量的不斷增加�����,單純的SSL加速卡已經(jīng)越來越難以勝任�。另一方面,SSL加速卡一般都存在系統(tǒng)兼容性不佳��、性能受制于總線技術瓶頸����、對主機的依賴性大等問題,越來越無法滿足大型應用的需求�。
安全管理的需要
日益增長的SSL通信量已經(jīng)對系統(tǒng)設計者們提出了前所未有的挑戰(zhàn)����,尤其是大型網(wǎng)站和數(shù)據(jù)中心的場景中����,往往需要同時處理數(shù)以萬計的安全交易。傳統(tǒng)的SSL加速卡解決方案在面對如此規(guī)模信息處理的時候����,顯得捉衿見肘。此外�����,由于SSL對應用層數(shù)據(jù)進行了加密�����,防火墻和交換機等各種網(wǎng)絡設備面對這些內(nèi)容也就變得難以處理����,例如負載均衡器無法提取用戶會話中的cookies、URL��、路徑等信息進行細化的分發(fā)調(diào)度�����。
深信服解決方案
針對SSL處理的高性能需求,深信服科技的服務器SSL卸載解決方案��,通過將應用訪問過程中的SSL加解密過程轉(zhuǎn)到AD應用交付設備之上�����,一舉解決應用系統(tǒng)的性能問題���。
整體規(guī)劃
通過SSL和TCP/IP包處理的一體化設計���,全面卸除系統(tǒng)負荷��,減少服務器端的性能壓力���。
將SSL數(shù)據(jù)處理融入AD應用交付設備�����,以保持與一般網(wǎng)絡結構有良好的契合性����,同時保障業(yè)務應用的性能優(yōu)化和安全方面。
專業(yè)的AD應用交付設備具有強勁的SSL處理能力���,不但能夠?qū)崿F(xiàn)端到端的SSL加密��,同時支持全面的加密算法配置�����,并可管理服務器證書��。
實現(xiàn)機制
配備SSL卸載功能的深信服AD應用交付設備����,可以充當起SSL代理服務器的角色���,將專用的SSL應用程序置于網(wǎng)絡服務器的前端�,不影響后臺服務器主機的CPU資源���,從而全面卸除SSL數(shù)據(jù)處理的負荷�。
當客戶端發(fā)起的HTTPS連接��,經(jīng)過AD設備處理后,變成明文的HTTP數(shù)據(jù)���,即可被WEB服務程序(例如IIS�����、APACHE)直接讀取�����,無需特殊的驅(qū)動程序來傳送和接受網(wǎng)絡數(shù)據(jù)���。
方案價值
利用AD應用交付設備對后臺服務器進行SSL卸載處理,保障通訊數(shù)據(jù)的安全傳輸��。
減少后臺應用服務器的性能消耗�,顯著提升整個業(yè)務應用系統(tǒng)的安全性和穩(wěn)定性��。
節(jié)省應用系統(tǒng)的服務器數(shù)量���,降低業(yè)務系統(tǒng)建設的硬件投資����。
縮短了用戶請求的響應處理時間,提升用戶的訪問體驗�����。
