KEYAAS云安全网关（KSG）全站HTTPS解决方案

发布日期：2019-03-20

KSG (KEYAAS Security Gateway)云安全网关，是一款专业的负载均衡与HTTPS加速设备，提供高性价比的负载均衡、web加速与SSL卸载等功能。基于KEYAAS云安全网关(KSG)的全站HTTPS解决方案，采用高性能的专用设备，提供一个可扩展的、兼顾性能和安全性的最佳HTTPS解决方案。

一、需求分析

1、为什么需要HTTPS （安全风险）

1）网站钓鱼
攻击者很容易复制一个假冒网站，通过网络钓鱼方法，让用户访问假网站，从而达到盗取用户帐号等目的。该方法在wifi 环境下尤其容易实现。
2）流量窃听
攻击者可以截获用户正常访问的网络流量，并分析截取用户帐号等信息，然后利用截获的帐号非法登录网站。
3）流量篡改
攻击者可以拦截用户正常访问的网络流量，非法篡改流量数据，注入弹窗广告、病毒木马等，对网站用户造成干扰和安全风险。
4）网站互联
网站联盟中，已使用HTTPS加密的网站里，无法嵌入HTTP页面，浏览器会对HTTPS页面中的HTTP资源报错。

HTTPS（HTTP Over SSL）是目前主流的Web 网站安全基础应用之一，通过安全握手、数据加密、完整性校验等方式，来保护Web 网站数据传输安全，解决站点和访问者身份鉴别问题，为用户带来更安全的网络体验和更好的隐私保护。HTTPS 在Web 网站防止流量劫持、防钓鱼、防数据窃听等方面起着无可替代的作用。

2、为什么需要HTTPS （⽤户体验）

1）Chrome/Firefox 等逐渐将HTTP 网站标记为不安全；
2）苹果要求所有iOS 应用默认使用HTTPS 连接；
3）微信小程序的开发要求必须使用https 通信；
4）HTTP/2 协议仅支持HTTPS加密连接；
5）搜索引擎优先收录HTTPS 网站；

3、为什么需要全站HTTPS

采用局部HTTPS，即只对主要的登录和交易等页面配置HTTPS保护，而其他部分仍然采用HTTP。局部HTTPS 看似扬长避短，但其实被证明是一个不合理的方案。攻击者可以针对HTTP页面进行攻击，将用户引导到钓鱼网站，从而绕开HTTPS加密页面。

4、HTTPS性能问题

HTTPS 增加了网络通信量，而且涉及大量的密码运算，对性能提出了更大的挑战。因此，Web 网站在采用HTTPS 时，需要同时兼顾安全性和性能，让用户在 HTTPS 下访问能够获得极致体验。

5、国密算法HTTPS加密问题

Web服务器无法直接配置国密SSL证书，但政策合规是刚需。

二、基于KEYAAS云安全网关(KSG)的全站HTTPS解决方案

1、KSG网关

KSG（KEYAAS安全网关，HTTPS加速与负载均衡器）为2U硬件设备，作为Web网站的前置HTTPS负载均衡，既可以让后台Web网站从性能瓶颈中完全解放出来，又可以避免后台服务器的单点故障。KSG是可选的，可以在Web网站不改动的情况下，直接增加HTTPS加密和虚拟私钥服务。

KSG示意图

2、KEYAAS 检测与监测

HTTPS 本身很容易存在很多漏洞和配置缺陷，因此KEYAAS还提供安全性检测和性能检测，用于上线评估。KEYAAS也提供平时的HTTPS运行监测，确保Web网站长期安全运行。

KEYAAS 之HTTPS 检测

3、KSG主要功能和优势

1）建立全站HTTPS
只需要在KSG安全网关上添加证书即可实现全站HTTPS的建立，即可解决网站钓鱼、网络监听、信息篡改、流量监控等问题。
2）负载均衡
KSG针对Web应用深度优化，支持IP保持，支持应用会话保持。支持深度健康检查。支持URL重定向，支持Web应用平滑上下线。
3）Web加速
KSG支持动态压缩、高速缓存、连接复用等加速技术，支持阈值上下限及告警。支持用户证书透传，支持页面预加载。
4）SSL加速
KSG支持RSA/SM2加速，支持SSLv3.0、TLSv1.0、TLSv1.1和TLSv1.2。支持国密双证书，支持国密浏览器，支持超大CRL/OCSP。
5）多机热备
KSG支持多达32个集群节点，支持Master/Master与Master/Backup集群方式。支持秒级失效切换，支持虚拟地址，支持数据同步。
6）签名/验签
KSG支持签名/验签，能实现在线的数字签名服务。
7）访问控制
KSG支持基于角色的访问控制，便于管理用户和资源。
8）与VPN对比
SSL VPN:登录VPN后，服务器完全直接暴露给用户。