在SSL/TLS握手及密钥协商阶段,若采用支持前向安全性的密钥交换算法,服务端会为每一段SSL会话生成一对唯一的、临时的、随机的公私钥对。服务端将公钥通过SSL通道传递给客户端,而私钥则仅在服务端本地保留,并在会话结束后自动销毁。这种机制确保了无论是安全设备还是恶意攻击者,都无法仅通过导入SSL证书和私钥来解密加密流量。只有实际参与到SSL握手过程中的代理模式设备,才能够解密这些流量。
选取的密钥交换算法均支持前向安全性,废除了不支持前向安全性的RSA和静态DH密钥交换算法面向以上安全风险隐患,广西广电600936)用户通过采用迪普科技300768)的流量编排产品,针对现网中30余个关键的互联网业务系统,实现了对加密流量的100%全面解密,明显提升了网络安全防护效能,在2024年护网行动中,实现攻击流量100%全防护。
除此之外,迪普科技的流量编排产品还为广西广电用户所带来其他的显著业务价值,具体表现在以下几个方面:
通过集中管理SSL证书和私钥,有实际效果的减少了业务系统中证书和私钥的暴露风险,降低了潜在的泄露风险。同时,这种集中管理方式也简化了证书变更时的运维工作,提高了运维效率。
将加密流量解密为明文,并将这些明文流量共享给安全设备。安全设备能直接对明文流量做处理,无需消耗额外的性能资源进行解密操作,提高了安全设备的处理效率,避免因性能瓶颈导致的安全风险。
打破传统安全设备糖葫芦串架构,安全设备旁挂在流量编排设备旁形成安全设备资源池,多厂商/同厂商安全设备异构兼容,并按照特定算法,实现均衡调度。
对客户端请求类型以及请求的对应业务,进行多维度识别,特定的请求类型转发、镜像给特定的安全设备,形成特定的安全服务链自定义编排,避免无效流量处理,提高效率。
通过应用层的探测手段,防止应用假死,状态异常的安全设备可自动下线,有很大成效避免单点故障。当安全设备回到正常状态后,可自动上线
安全资源按需动态调整,在线扩缩容,弹性伸缩无感知,无需寻找变更窗口期,运维排障成本有效降低。
流量编排设备作为一款创新产品,广西广电用户在初期使用时,最大限度地考虑了对设备操作的熟悉度和业务迁移的平稳过渡。为此,他们第一步利用流量编排产品的灵活组网能力,对一些边缘业务进行了测试和验证。在确认其稳定性和效果后,逐步将所有核心互联网业务纳入流量编排,实现了业务的全面优化和升级。这一策略既保证了业务的连续性,也确保了边缘到核心系统的顺利过渡。
在未来,迪普科技致力于通过不断地技术创新和产品研制,继续深化在网络安全及应用交付领域的专业能力,提供覆盖各个行业和场景的网络安全解决方案,帮助用户应对日益复杂的网络威胁,构建简单、智能、安全的网络环境。