F5BIGIPSSL加速全攻略.docx
- 文档编号:24797901
- 上传时间:2023-06-01
- 格式:DOCX
- 页数:24
- 大小:390.05KB
F5BIGIPSSL加速全攻略.docx
《F5BIGIPSSL加速全攻略.docx》由会员分享,可在线阅读,更多相关《F5BIGIPSSL加速全攻略.docx(24页珍藏版)》请在冰豆网上搜索。
F5BIGIPSSL加速全攻略
【中】【小】简介:
F5BIGIP-LTMSSL应用加速技术白皮书1SSL加速原理SSL简要介绍SSL是被设计用来保证信息
安全的一个协议,它依赖于可靠的TCP协议来传输数据。
它的特点之一是独立于上层的应用层协议(如:
H
TTP,FTP,TELNET...
关键字:
SSL加速F5BIGIP
1SSL加速原理
SSL简要介绍
TCP协议来传输数据。
它的特
SSL是被设计用来保证信息安全的一个协议,它依赖于可靠的
点之一是独立于上层的应用层协议(如:
HTTPFTP,TELNET等),这些应用层协议可以透明
使地用SSL协议。
SSL协议可以协商一个对称加密算法和会话密钥,同时可以在通信之前认证服务器的合法性。
SSL协议提供了一种“管道式安全”,它具有三个特征:
管道是保密的,保密性是通过使用加密技术来保证的,在通过一个简单的握手过程之后获得一个共同的密钥,作为对称加密算法的密钥。
以便客户端对服务器进
管道是认证过的,服务器端总是需要把自己的证书递交给客户端,行认证。
服务器可以选择是否需要客户端递交证书。
管道是可靠的,消息的传输包含了消息完整性检查。
SSL协议实际上由两个协议构成,位于下面的一层为SSL记录协议(SSLRecordProtocol),
其上为SSL控制协议(SSLControlProtocols),SSL记录协议用于封装上层发送和接收的
SSL握手协议(SSLHandshakeProtocol)
SSL密钥交换协议(SSLChangeCiphersSpecification)
SSL报警协议(SSLAlertProtocol)
SSL的握手过程是建立SSL的主要加密和安全参数的过程,它是SSL的控制协议执行的控制
功能。
握手过程体现在浏览器使用HTTPS访问WE冋艮务器时,包括以下步骤:
1浏览器向安全WE酿务器发出一个HTTPS的请求,比如:
。
2该WEB服务器将它的证书递交给浏览器的SSL模块。
3浏览器检查服务器递交的证书的有效性,比如有效日期和证书的签名等。
如果该证书不是
被一个浏览器已经信任的发证结构(CA签发的证书,浏览器将弹出一个对话框来提示用户是否信任该WEB站点证书。
如果用户选择不信任该证书,浏览器会选择自动中止该连接。
4浏览器将把从WEB站点证书里取得的站点名称和浏览器的URL里的域名相对照,如果相
符,浏览器将认为站点为真正的站点。
5浏览器将自己支持的一系列算法发送给服务器。
6如果服务器需要客户端递交证书,浏览器将把自己的证书发送给服务器,服务器检查递交
CA发放的证书。
如果不是,服
的证书,并且检查该证书是否为自己已经信任的发证机构(务器将自动中止该次连接。
7服务器端选择自己和客户端共同支持的加密算法,然后发送给客户端。
8浏览器产生一个会话密钥,然后把该密钥通过服务器的公钥加密后传给服务器。
9服务器接收到该加过密的会话密钥后用自己的私钥解密,得到会话密钥的明文。
10客户端和服务器使用刚才协商的会话密钥对应用层的数据进行加解密,对传输的数据进
行安全保护。
典型的SSL应用部署如下:
BIGIPSSL加速
在SSL处理过程中,所有的传输内容均采用加密算法处理。
其中最重要的两个部分为
SSL
握手时交换秘钥的非对称加密和数据传输时的对称加密。
在现有的系统中,通常非对成加密采用1024位的密钥进行加解密,因此对服务器的
CPU占
用率非常高。
在一台最新型号的双Xeon服务器上,大约每秒钟400次非对称加解密就能导
致CPU占用率100%同时对称加密通常采用128位,最高256位加密的加解密也会导致服
务器CPU占用率居高不下,同样的服务器SSL流量大约能达到150Mbps。
因此当我们在部署
SSL应用时,必须考虑到以下参数:
TPS:
TransectionPerSecond,也就是每秒钟完成的非对称加解密次数
Bulk:
SSL对称加解密的吞吐能力,通常以Mbps来进行衡量。
当SSL的客户端压力超过400TPS时,单台服务器就很难处理请求了。
因此,必须采用
SSL
加速设备来进行处理。
BIGIP-LTM/ACC系列可从最低2000TPS到64000TPS实现全硬件处理SSL非对称加密和对称
加密流量。
其实现的结构如下:
所有的SSL流量均在BIGIP上终结,BIGIP与服务器之间可采用HTTP或者弱加密的SSL进
行通讯。
这样,就极大的减小了服务器端对HTTPS处理的压力,可将服务器的处理能力释放
出来,更加专注的处理业务逻辑。
在BIGIP可处理单向SSL连接,双向SSL连接。
并且可同时处理多种类型和多个应用的SSL
加解密处理。
采用BIGIP实现SSL加速的性能如下表:
在BIGIP新的硬件平台BIGIP8400和8800上,SSL加速的处理能力还会有成倍的提高。
由
于采用了独立的安全NP硬件加速SSL流量,基本上对于SSL的流量可实现“零”CPU占用
率。
因此,当采用内置模式时,SSL加解密动作基本不会影响到负载均衡的处理能力。
BIGIPSSL加速产品系列
BIGIP6400-LTM
载均衡,最大支持15000TPS2GbpsSSLBulk
BIGIP6800-LTM
16个10/100/1000M电口,4个可选光纤接口自带100TPSSSL加速License,服务器负
载均衡,最大支持20100TPS2GbpsSSLBulk
BIGIP8400-LTM
12个10/100/1000M光/电口,2个可选10G光纤接口
自带100TPSSSL加速License,
服务器负载均衡,最大支持22000TPS,SSLBulk
除BIGIP3400-ACC之外,其他的产品系列均可根据客户需求增加
SSL处理能力和选配其他
功能模块,包括HTTP压缩、内存Cache、带宽控制、IPV6等。
2主要实现功能
核心功能
客户机到BIGIP端到端加密通道
BIGIP采用标准的SSL加密通道协议。
可以和标准的浏览器配合,支持
SSL/TLS各版本的协
议标准。
在客户端和BIGIP之间建立安全的SSL/TLS加密通道。
保证在通道内传输的HTTP
请求的安全性,实现对应用安全的完整保护。
证书认证功能
在BIGIP中可导入X509证书,可实现单向认证、双向认证。
BIGIP可以提供给客户端自身
的证书以供客户端认证。
也可以要求客户端提交证书进行验证。
确保SSL交易的完整性和不
可抵赖性。
服务器SSL传输
通常情况下,客户端与
BIGIP采用SSL连接,BIGIP与后台服务器采用HTTP连接。
在某些
安全要求较高的场合下,
需要BIGIP与后台服务器也采用HTTPS加密传输,以保证数据传输
的全路径安全加密传输。
BIGIP可支持与后台服务器多种加密算法的连接方式。
资源访问控制
在BIGIP中可对客户端可访问资源和不可访问资源进行灵活的定义访问权限控制。
可通过客
户端是否有证书、Cookie、访问的URL等进行判断,然后确定用户是否有对该资源的访问权
限。
将不安全和越权访问直接进行控制。
证书信息透传
由于信息安全的完整性要求,当服务器端在收到用户请求时,需要对客户端进行再次确认。
以确认用户是通过安全网关访问。
BIGIP可以将客户端证书进行解析,将服务器所需要的所
有信息以HTTPURI参数或者HTTPHeader等方式传递给后台服务器,以提供服务器二次认
证的信息。
多应用系统支持
在BIGIP可以支持不限数量的应用系统,并且可以同时支持单向、双向认证方式。
便于
SSL
加解密的集中控制。
同时,BIGIP还可以同时支持非HTTPS应用如HTTPSMTPPOP3DNS
等应用的集群方式。
提供用户最大的灵活性和安全性。
完善的日志输出
在BIGIP上可提供多种类型的日志输出:
用户访问日志:
可以记录用户的所有访问HTTP青求,并将其存放在BIGIP或者远端Syslog
服务器上。
BIGIP记录在日志中,
错误信息日志:
用户未提交证书、提交证书过期或已吊销等,均将被以提供审计查询。
管理员操作日志:
将管理员的所有操作均记录下来,以提供审计查询或系统配置回溯。
系统日志:
BIGIP自身的系统运行状态,后端服务器的Down/UP状态等。
安全加密级别控制
BIGIP可支持以下加密协议:
SSLv2
TLSvl
SGC设置
RFC2246中描述的所有标准协议扩展和密码
AES(在RFC3268中进行了描述)
从现有的128位加密方式一直到AES256位的加密算法,BIGIP均可提供全硬件加速
支持
用户自定义功能
BIGIP内置有iRules可编程控制语言,具有50多个事件、200多个函数,允许用户对流量
比如
成等BIGIP均有对应的事件处理。
并且丰富的函数和过程也可以对数据进行灵活处理,查找、比对、修改等,然后可以根据查找比对的结果作出相应的处理。
附加功能
服务器负载均衡和健康检查
务器进行负载均衡,同时检查服务器的真实可用性。
以确保交易的不间断性。
服务器慢启动和停机维护
BIGIP可以允许
器的压力逐步增加,以避免新服务器压力过载。
当服务器需要停机维护时,
当前的用户连接不中断,而新的请求分配到其他服务器上。
保证当前用户访问的不中断,样,大大减小了维护的压力。
应用兼容性
mCat、WebLogic、WebSphere等系统BIGIP都可以实现无缝的配合。
多结构支持
BIGIP可支持负载均衡内置SSL加速方式以实现应用的统一管理,简单维护。
也可以支持
SL加速外挂方式以实现系统良好的扩充性和高性能。
灵活的CRL验证机制
BIGIP可支持3种方式的CRL(用户吊销列表)验证
文件方式:
将CRL以文件方式加载到BIGIP内存中。
OCSP通过OCSP认证网关进行客户端证书认证。
CRLDP通过CRLDistributingPoint去读取LDAP或者HTTP服务器上的CRL列表。
透明SSL模式支持
在透明SSL加速模式中,客户端通过域名HTTPS直接访问后台的WEB服务器。
在流量通过
HTTP
IGIP时,BIGIP截获HTTPS流量,并对其进行解密,然后将请求发送到后端服务器的
客户端IP透传
BIGIP可以不改变客户端源地址直接将请求发送到服务器上,以提供服务器日志和审计需
要,也可以将客户端源地址插入到HTTPHeader中提供给后台的服务器进行处理。
多CA支持
在BIGIP上的同一个虚拟服务器中,可以支持多个CA所颁发的客户端证书认证、CRL访问
CA
控制和客户端证书选择。
多CA支持通常用于用户在不改变原有系统的情况下,加入新的
认证体系,而不让原有的用户感觉到任何改变。
实现系统的透明迁移。
应用优化
在BIGIP中拥有许多专利技术的应用优化功能,包括TCPExpress、HTTP压缩、HTTP缓存、
访问链接聚合等。
一方面提高了用户的响应速度,另一方面减小了服务器端的压力。
同时,
HTTP压缩等功能还减小了带宽的占用,直接为企业减小了带宽租借费用。
带宽控制
BIGIP灵活的七层带宽控制模块,可灵活的根据用户的特征、访问的应用等进行应用的优先
级处理,保证关键业务的带宽使用。
产品特性
专用硬件平台提供高性能SSL加速
BIGIP内置高速安全NP硬件处理芯片,可完全支持SSL握手时的非对称加解密和SSL数据
传输时的对称加解密。
实现CPU的”零”占用率。
透明和兼容性
BIGIP默认工作在透明模式,在服务器端接收的HTTP请求看上去全部来源于真实的客户端。
BIGIP极高的兼容性,保证了和后台的多种业务系统对接时的易于部署。
易用性
BIGIP具备iControl二次开发接口,用户可灵活实现BIGIP上数据的采集和设备控制。
简
洁的配置界面和对象式的Profile定义也使管理变得轻松和简单。
高安全性
BIGIP后台的服务器避免DDO敦击。
ASM模块
高可扩展性
咼可扩展性和自身的咼可扩展性。
高可靠性
完善的负载均衡算法、服务器健康检查以及自身的高可用性设计,都充分保证了系统的高可靠性。
3BIGIPSSL加速典型部署结构
内置SSL加速的结构:
如图:
HTTPS流量到达BIGIP上的VS由VS处理之后转换成HTTP流量直接发往服务器,服
务器处理完成后返回给BIGIP,然后由BIGIP加密后返回给用户。
外挂SSL加速器的结构:
通常情况下,考虑到系统的可扩展性,可采用独立的设备分别实现服务器的负载均衡和
BIGIPLTM也实现了SSL加速用BIGIPLTM的负载均衡。
建议的系统结构图如下:
在外挂方式下,通常加速器直接连接在BIGIP上,这样可以节省核心交换机的端口,减少数据包的往返传输。
根据实际情况的不同,也可将加速器直接连接在主干交换机上。
但无论如何连接,实际的数据流程如下:
上下的两台BIGIPLTM实际为同一台设备。
采用外挂方式下,HTTPS流量首先到达实现负载
均衡功能的BIGIPLTM,然后由BIGIPLTM分配到多台用于SSL加速的ACC340Q或BIGIPL
TM上,在SSL加速器处理完成后,将HTTP流量返回到负责负载均衡的BIGIPLTM,并由BI
GIPLTM发往后端的服务器,再后端服务器处理处理完成后原路返回。
4SSL的认证模式
单向认证模式
在采用单向认证时,主要是客户端验证服务器端是否合法。
在建立SSL握手的时候,服务器
将其证书传送给客户端进行验证。
客户端主要验证有三个方面:
即服务器证书的有效时间与当前时间相比较,如果过期,则认为该证书已经失效。
即客户端访问的域名,如在浏览器中填入:
,则访问的域名为。
服务器的证书中的域名必须
与此域名一致。
在主流的浏览器软件包括IE和Mozila的版本中,均已经内置了全球主流的CA系统的根证
根证书。
浏览器将使用内置的根证书对服务器返回的服务器证书进行验证。
如果验证全部通过,则SSL握手成功,浏览器将直接发送HTTP请求到服务器请求内容。
如
果任何一项没有通过,浏览器则会弹出错误提示,由用户选择是否继续进行。
该提示如下:
其中,黄色带惊叹号的标志为验证失败。
绿色标志为验证成功。
单向认证的流程如下:
双向认证模式
在双向认证模式下,除客户端验证服务器端是否合法外,服务器端也需要验证客户端
以确
端提交客户端证书,并通过已经安装的根证书和中间证书对客户端证书进行逐级验证。
定客户端是否为合法用户。
当客户端连接一个双向认证模式的VS时,除了客户端验证服务器端是否安全外,还需要进
行以下步骤:
所发布的证书。
BIGIP将拒绝该用户登录。
端提交的证书是否已经被作废。
如果作废或者证书已经过期,则双向认证的流程如下:
现在国内的主流CA系统为CFCA和信安的证书系统。
下面就针对这两种证书体系进行分别介绍。
4.2.1CFCA系统
CFCA勺证书系统中,分为Entrust
CFCA为银行业的官方证书机构,在国内有较多的用户。
CA和新的国产CA两个系统。
其中EntrustCA为3级结构,其结构如下:
国产CA为两级结构,结构如下:
级认证深度为9级。
以EntrustCA三级证书为例,其验证流程如下:
验证
ClientCertificate是否由PCA认可
验证
RCA是否是自签发证书并存放在BIGIP的可信任证书列表(TrustedAuthorities)
中。
如果三级认证均通过,则验证该客户端为合法客户。
4.2.2
信安系统
特有,在配置时需要向客户配合提供根证书。
在配置信安系统的时候,只需要将提供的根证书配置为TrustedAuthorities即可。
注意根证书必须为PEM格式,经常可能能拿到手的证
书为DER格式。
5基本功能及配置
证书的导入
服务器证书的生成和导入
如果由BIGIP来生成服务器证书需要通过以下步骤。
选择LocalTraffic-〉SSLCertificates-〉Create
注意CommonNam一定要设置为准备用来使用的域名。
点击Finish继续:
点击Download到本地硬盘,然后把csr文件提交给CA就可以得到相应的证书了。
在从CA得到证书后,导入到相应的名字即可。
如果已经具备服务器证书和私钥需要通过以下步骤进行导入选择LocalTraffic->SSLCertificates->Import
选择导入的项目
通常先导入证书:
5.1.2根证及中间证书的导入
对于单级证书模式,将PEMI格式的根证直接导入即可:
证书粘贴拷贝到一起,然后全部导入:
BEGINCERTIFICATE
MlICvDCCAiWgAwIBAglEPPx1qzANBgkqhkiG9wOBAQUFADAgMQswCQYDVQQGEwJD
TjERMA8GA1UEChMIQOZDQSBSQOEwHhcNMDIwNjAOMDczOTIwWhcNMjlwNjAOMDgw
OTIwWjAgMQswCQYDVQQGEwJDTjERMA8GA1UEChMIQ0ZDQSBSQ0EwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBALjj9EbWFRz6rj4a42KpSB+jPqoHnkjmr3S69P4Aicz9r6ZfFat1SvjJAG4XjB69ejGczrP2Acp3JVyH3jDMXSa4EfEfw/Erom1ILaWy
J5ChAgMBAAGjggEBMIH+MBEGCWCGSAGG+EIBAQQEAwIABzBCBgNVHR8EOzA5MDeg
NaAzpDEwLzELMAkGA1UEBhMCQ04xETAPBgNVBAoTCENGQ0EgUkNBMQ0wCwYDVQQD
EwRDUkwxMCsGA1UdEAQkMCKADzIwMDIwNjA0MDczOTIwWoEPMjAyMjA2MDQwODA5
MjBaMAsGA1UdDwQEAwIBBjAfBgNVHSMEGDAWgBQAmjTyUflTFGF0bnKhBt7HgXAbvDAdBgNVHQ4EFgQUAJo08lH5UxRhdG5yoQbex4FwG7wwDAYDVR0TBAUwAwEB/zAd
BgkqhkiG9n0HQQAEEDAOGwhWNi4wOjQuMAMCBJAwDQYJKoZIhvcNAQEFBQADgYEA
Jv+gsBZv4egVVt7qPYUM8M0rfT2TjUd/vm7l7kmfGHLz2hJR2fMhgMXo8sxPBA6D
L3ZW08X+UA5Gsa34enwtkDEVTe1Nvpz6L+W1C9hWpzyKsK0HQbrC5xTLAcEl7nlt
Zb/JN44RbcevYcdAt3SyOAaoOtGljBQwFI0TFdMwHrg=
ENDCERTIFICATE
BEGINCERTIFICATE
MIICezCCAeSgAwIBAgIEPPyMXjANBgkqhkiG9w0BAQUFADAgMQswCQYDVQQGEwJD
TjERMA8GA1UEChMIQ0ZDQSBSQ0EwHhcNMDQwODEwMDgzNjM3WhcNMTQwNzI1MTYw
MDAwWjAkMQswCQYDVQQGEwJDTjEVMBMGA1UEChMMQ0ZDQSBURVNUIENBMIGfMA0G
CSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYrs50M7hq8y0LzFjfN3UPQzGiBg1kLinPqJcSx7oRXey15WpLLMLthcfp9Gn/7uXmtNL6athr91YXzrB3Rcp53U3zqScGE9h2ktFQ3SNdZP6c/VSQ+27pAVxWRUC+F6pmUsno+jd1mftYjhKRV8yvCRpSV6HDzhLK83xbkoCfiQIDAQABo4G9MIG6MEIGA1UdHwQ7MDkwN6A1oDOkMTAvMQswCQYDVQQG
EwJDTjERMA8GA1UEChMIQ0ZDQSBSQ0ExDTALBgNVBAMTBENSTDEwCwYDVR0PBAQD
AgEGMB8GA1UdIwQYMBaAFACaNPJR+VMUYXRucqEG3seBcBu8MB0GA1UdDgQWBBRGctwlcp8CTlWDtYD5C9vpk7P0RTAMBgNVHRMEBTADAQH/MBkGCSqGSIb2fQdBAAQM
MAobBFY2LjADAgSQMA0GCSqGSIb3DQEBBQUAA4GBAJ69l0Y1K+ayEvojzBHfzozMf0a0aQMaEbiil+RJQ8lvwWHZOeaRTcJOxyiPoQ5DZqhEusXavFPX4J/mE3H5PCnV5tF7tSO7vEguhs8m2IXxrOZCpKmCJVevNdV9x0m9eD629NVJGf683raMx39Ft4HQ
FaLT+EXbnSAWvYemPyOW
ENDCERTIFICATE
ClientSSLProfile
的配置,是应用SSL加速功能中最重要的一个环节。
5.2.1单向认证方式单向认证模式下,需要配置的内容较少:
Certificate:
服务器证书
Key:
服务器证书对应的Key
Chain:
如果服务器证书为多级证书体系,则将中间证书添加在这里。
如果是单级证书体系,则不需要任何配置。
5.2.2双向认证方式
在双向认证模式下,则需要配置BIGIP验证Client证书的部分:
在双向认证时,需要配置以下内容:
:
客户端证书的根证书
TrustedCertificateAuthorities
Require:
客户端必须提交证书,通常都采用这种方式
Request:
客户端可提交证书,也可不提交证书
配置时注
CRLDP配置
CRLDF配置步骤为:
信息使在客户端弹出的证书选择列表中只包含选中的根证书所颁发的客户端证书。
创建一个CRLDPProfile:
选择一个CRLDPConfiguration并配置一个authrule,通
常情况下均采用系统默认值。
profile中选择刚才创建
将CRLDPProfile与VS关联:
在VS配置的authentication
的CRLDPProfile。
在配置CRLDP完成后,BIGIP接收到客户端证书后,将根据证书中的CRLDP信息查找相应的
CRLDF服务器,并比较客户的Subject是否存在于吊销列表中。
如果在吊销列表中,则直接
中
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- F5BIGIPSSL 加速 攻略