1.为什么我们需要为HTTPS和其他加密流量使用加速工具?
WAN优化器善于压缩和重复数据删除纯文本数据流的工具,但要将它用于处理安全套接字层(SSL)加速,必须对它们进行特殊配置。
对于纯文本数据流(例如HTTP或者Telnet),数据包内的负载可以被肉眼、协议分析仪(Wireshark或者WAN优化工具)读取。出于隐私和安全原因,大多数未加密协议都被加密形式所取代。曾经使用Telnet的人转移到安全外壳协议(SSH),很多银行客户坚持采用HTTPS连接,而不再是HTTP。由于这些协议都是加密的,在没有正确的解密密钥的情况下,协议分析仪或WAN优化工具不再能够读取流量内容。
通常情况下,WAN优化器解析协议流,并提取其负载,使用压缩和重复数据删除来优化它。然后,使用其他优化技术来加速已优化的负载在WAN的传输。在 “出厂”时,WAN优化器并不包含读取加密负载的密钥,如果设备无法读取负载,加密数据将保持其原样穿过WAN优化器,优化技术就限于传输层。
2.WAN优化设备如何能够加速SSL流量?
加速SSL流量的关键是密钥。安装在你的Web服务器上的相同的证书和密钥对被安装在你的WAN优化基础设施中。比如Riverbed的Steelhead,以下是如何使用服务器证书来为HTTPS流量进行SSL加速:
• 证书和私钥都安装在离HTTPS服务器最近的Steelhead上(“服务器端”Steelhead)。
• 客户端打开一个到服务器的SSL连接。
• 服务器端Steelhead建立与客户端的SSL会话,并向客户端Steelhead提供这个会话的信息。这允许客户端Steelhead处理SSL会话,但不要求它提供存储在本地的私有证书和密钥。
• 建立了SSL会话后,实际加密的HTTP会话现在可以通过WAN优化设备在客户端和服务器间进行。
• 加密客户端流量到达客户端Steelhead,在这里流量被解密。解密流量随后被优化,采用与未加密HTTP流量相同的所有HTTP协议优化。
• 原来的流量流因为某种原因而被加密,所以在优化后的流量通过WAN传输前,必须重新进行加密。Steelhead使用特殊的SSL“内部通道”来在客户端和服务器端Steelhead之间安全地传输已优化的SSL流量。
• 最后,已优化的数据流到达服务器端Steelhead,在这里,数据流被解密、正常化、再加密,并传送到服务器。
总之,SSL流量被加密、解密、优化、重新加密、解密、正常化、再加密,最后交付。
3.在部署SSL加速时,你需要考虑哪些其他因素?
• 你必须至少在你的基础设施中的一些WAN优化设备上安装和维护证书和密钥。当证书到期时,仅更新服务器上的证书是不够的,你需要更新一个或多个WAN优化设备上的证书。
• 根据证书供应商的不同,除了服务器证书外,你可能还需要安装中间证书,以形成完整的证书链。最常见的中间证书可能已经被预先安装在你的WAN优化设备的证书存储中,但有些供应商可能没有提供。
• 如果你的企业对承载证书的设备制定了物理安全政策,你需要让服务器端WAN优化设备遵守这项政策。如果没有明确的政策,企业最好的做法是,确保存储证书的设备在物理上是安全的。这种方法的好处是,并不需要为了Riverbed改变分支机构的物理安全要求,因为远程WAN加速设备不会存储证书或密钥。
• 你需要监控你的设备是如何有效地优化HTTPS连接,正如你监控HTTP连接一样。Riverbed Steelhead具有HTTP自动调谐算法,该算法能够确定对给定HTTP会话应该采用何种优化。这种调整可能或者可能不是你的应用的理想选择,所以你应该对这种算法进行审查以确保你的应用为WAN传输进行了优化,尽可能完全不影响应用的行为。
你投入了大量资金到WAN基础设施和分支机构连接中,为了充分发挥这笔资金,添加SSL加速到你的技术库是非常明智的选择。但在审查WAN优化需求时,也千万不要忽视加密流量加速。
不要忘记,HTTPS并不是唯一能够被优化的加密流量类型。你还可以优化其他加密流量类型来提高WAN的整体性能,这些常见加密协议有服务器消息块(SMB)、简单邮件传输协议(SMTP/TLS)和邮件应用程序编程接口(MAPI)。