首页>解决方案>KEYAAS云安全网关(KSG)全站HTTPS解决方案

KEYAAS云安全网关(KSG)全站HTTPS解决方案

KSG (KEYAAS Security Gateway)云安全网关,是一款专业的负载均衡与HTTPS加速设备,提供高性价比的负载均衡、web加速与SSL卸载等功能。基于KEYAAS云安全网关(KSG)的全站HTTPS解决方案,采用高性能的专用设备,提供一个可扩展的、兼顾性能和安全性的最佳HTTPS解决方案。

一、需求分析

1、为什么需要HTTPS (安全风险)

  1. 1)网站钓鱼
    攻击者很容易复制一个假冒网站,通过网络钓鱼方法,让用户访问假网站,从而达到盗取用户帐号等目的。该方法在wifi 环境下尤其容易实现。
  2. 2)流量窃听
    攻击者可以截获用户正常访问的网络流量,并分析截取用户帐号等信息,然后利用截获的帐号非法登录网站。
  3. 3)流量篡改
    攻击者可以拦截用户正常访问的网络流量,非法篡改流量数据,注入弹窗广告、病毒木马等,对网站用户造成干扰和安全风险。
  4. 4)网站互联
    网站联盟中,已使用HTTPS加密的网站里,无法嵌入HTTP页面,浏览器会对HTTPS页面中的HTTP资源报错。

HTTPS(HTTP Over SSL)是目前主流的Web 网站安全基础应用之一,通过安全握手、数据加密、完整性校验等方式,来保护Web 网站数据传输安全,解决站点和访问者身份鉴别问题,为用户带来更安全的网络体验和更好的隐私保护。HTTPS 在Web 网站防止流量劫持、防钓鱼、防数据窃听等方面起着无可替代的作用。

2、为什么需要HTTPS (⽤户体验)

  1. 1)Chrome/Firefox 等逐渐将HTTP 网站标记为不安全;
  2. 2)苹果要求所有iOS 应用默认使用HTTPS 连接;
  3. 3)微信小程序的开发要求必须使用https 通信;
  4. 4)HTTP/2 协议仅支持HTTPS加密连接;
  5. 5)搜索引擎优先收录HTTPS 网站;

3、为什么需要全站HTTPS

采用局部HTTPS,即只对主要的登录和交易等页面配置HTTPS保护,而其他部分仍然采用HTTP。局部HTTPS 看似扬长避短,但其实被证明是一个不合理的方案。攻击者可以针对HTTP页面进行攻击,将用户引导到钓鱼网站,从而绕开HTTPS加密页面。

4、HTTPS性能问题

HTTPS 增加了网络通信量,而且涉及大量的密码运算,对性能提出了更大的挑战。因此,Web 网站在采用HTTPS 时,需要同时兼顾安全性和性能,让用户在 HTTPS 下访问能够获得极致体验。

5、国密算法HTTPS加密问题

Web服务器无法直接配置国密SSL证书,但政策合规是刚需。

二、基于KEYAAS云安全网关(KSG)的全站HTTPS解决方案

1、KSG网关

KSG(KEYAAS安全网关,HTTPS加速与负载均衡器)为2U硬件设备,作为Web网站的前置HTTPS负载均衡,既可以让后台Web网站从性能瓶颈中完全解放出来,又可以避免后台服务器的单点故障。KSG是可选的,可以在Web网站不改动的情况下,直接增加HTTPS加密和虚拟私钥服务。

KSG示意图

2、KEYAAS 检测与监测

HTTPS 本身很容易存在很多漏洞和配置缺陷,因此KEYAAS还提供安全性检测和性能检测,用于上线评估。KEYAAS也提供平时的HTTPS运行监测,确保Web网站长期安全运行。

KEYAAS 之HTTPS 检测

3、KSG主要功能和优势

  1. 1)建立全站HTTPS
    只需要在KSG安全网关上添加证书即可实现全站HTTPS的建立,即可解决网站钓鱼、网络监听、信息篡改、流量监控等问题。
  2. 2)负载均衡
    KSG针对Web应用深度优化,支持IP保持,支持应用会话保持。支持深度健康检查。支持URL重定向,支持Web应用平滑上下线。
  3. 3)Web加速
    KSG支持动态压缩、高速缓存、连接复用等加速技术,支持阈值上下限及告警。支持用户证书透传,支持页面预加载。
  4. 4)SSL加速
    KSG支持RSA/SM2加速,支持SSLv3.0、TLSv1.0、TLSv1.1和TLSv1.2。支持国密双证书,支持国密浏览器,支持超大CRL/OCSP。
  5. 5)多机热备
    KSG支持多达32个集群节点,支持Master/Master与Master/Backup集群方式。支持秒级失效切换,支持虚拟地址,支持数据同步。
  6. 6)签名/验签
    KSG支持签名/验签,能实现在线的数字签名服务。
  7. 7)访问控制
    KSG支持基于角色的访问控制,便于管理用户和资源。
  8. 8)与VPN对比
    SSL VPN:登录VPN后,服务器完全直接暴露给用户。
  1. KSG安全网关:用户与服务器不直连,KSG本身起到一个堡垒机作用。

4、技术指标

  1. 1)KSG支持30KCPS(每秒新建SSL),10Gbps吞吐(AES128);
  2. 2)支持协议检测、算法检查、证书检测、漏洞检测、配置检测;
  3. 3)支持HTTPS性能检测,支持HTTPS最大并发检测。

5、方案特点

  1. 1)极致性能
    KSG采用领先的硬件加速卡和国密卡,提供极致的HTTPS性能,让Web应用从容应对互联网用户的大规模访问。
  2. 2)深度优化
    KSG从硬件、操作系统、网络、算法到协议等各方面进行了全方位的深度优化,将设备性能完全发挥出来,确保了用户访问的极速体验。
  3. 3)自主可控
    拥有完整独立的完全自主知识产权,可迅速为用户特定场景和特定应用提供定制化开发,打造专属的负载均衡和HTTPS加速。

三、部署方式

1、传统部署

2、云部署

总结

基于KEYAAS云安全网关(KSG)的全站HTTPS解决方案,采用高性能的专用设备,提供一个可扩展的、兼顾性能和安全性的最佳HTTPS解决方案。