这是您想要的页面. 查看搜索结果:

内联 TLS 解密与加密

TLS/SSL 主动 SSL

通过完整的可视化功能,全面监控所有加密流量,从而保护网络安全

您是否已经拥有此产品? 访问技术支持

是德科技的内联解密

鉴于大多数流量都经过加密,而且使用临时密钥逐渐成为主流,企业需要一种有效的方法,既能保留传输层安全性(TLS)1.3 标准的优点,又能检查流量中是否存在威胁和恶意软件,以保护其网络和用户。

是德科技的内联解密功能可以为 SecureStack 功能提供有力补充,使企业能够通过其可视化平台查看使用临时密钥进行加密的内部流量。 是德科技的内联解密功能可用于内联和带外工具,以便处理出站和入站流量,并且可以与 NetStackPacketStackAppStack 功能搭配使用。 多款与 Vision ONE™Vision X 兼容的单独高性能应用模块均可提供这项内联解密功能。这两款一站式网络流量汇聚产品都拥有高性能和无损的可视化功能。 内联解密采用了专用的加密处理器,与可视化解决方案集成之后可提供更出色的吞吐量。 此外,它还提供内置策略管理、统一资源定位符(URL)分类以及报告功能,支持所有主流加密方式。

主动 SSL

安全困局

SSL 统计数据

企业会对通过互联网交换的信息进行加密,尤其是信用卡号、社会保险号等敏感信息,从而保护自己和使用者的安全。 FirefoxGoogle 均表示,截至 2017 年,通过他们的浏览器访问的网站中,75% 以上都对流量进行了加密。 这种加密有助于防止身份盗用、安全漏洞和数据泄露。 然而,就像特洛伊木马程序一样,恶意软件和其他威胁也可能通过加密技术植入网络。 Gartner 预测,到 2020 年,将有超过 60% 的企业无法有效地解密安全超文本传输协议(HTTPS),因而“遗漏最具针对性的网络恶意软件”。 此外,黑客也变得越来越狡猾,某些加密形式对于他们来说变得不堪一击。

突破这个困局需要双管齐下:

  • 使用更难被破解的加密技术
  • 将“检查所有加密流量中是否存在威胁”当成企业的一项重要的安全和监控策略

为什么要使用临时密钥

安全套接字层(SSL)和传输层安全性(TLS)通常都被称为“SSL”,它们通过对数据进行加扰或“编码”来保护计算机网络的通信。 如右图所示,这项技术的基本原理是交换采用公钥(由服务器提供)编码并通过互联网发送的信息。 接收方(服务器)则拥有私钥,能够解码数据。

使用静态密钥的公钥加密算法(Rivest-Shamir-Adleman,RSA)曾经是主流加密技术。 在此架构下,服务器拥有一个指定用于通信加密的密钥。 这个密钥一旦泄露,那么来自该服务器的通信都会暴露无遗。 为了解决这个问题,许多企业和监管机构转向强制使用临时密钥来进行加密。最常用的是椭圆曲线迪菲-赫尔曼-交换(ECDHE)方法,它每次交换就会生成一个新密钥。

基础 SSL

完全前向保密与 TLS 1.3

完全前向保密

假设将静态密钥比喻为真实的钥匙,如果一枚钥匙被盗或者被复制,那么得到钥匙的人就能够任意访问这枚钥匙保护下的所有通信。 相比之下,临时密钥就好比是移动小程序针对一次特定交换而生成的一个号码。 如果这个号码被盗,它只能解锁这一次交换, 所有其他交换仍然受到保护。 正是这种完美的前向保密性,让临时密钥如此有吸引力。

Google、Facebook、Mozilla 等科技巨头纷纷宣布,将转向使用临时密钥进行加密,以便为用户提供更高的安全性。 TLS 1.3 是互联网工程任务组(IETF)发布的最新 TLS 协议标准,它支持临时密钥交换。

是德科技的内联解密

卸载 TLS 解密

执行一次网络流量解密并进行多次检查,从而扩展您的安全和监控基础设施。 TLS 解密可能会占用工具 60-80% 的容量,这意味着工具大部分时间里都是在进行解密,而不是进行更关键的流量检查。 此外,有些工具甚至无法解密 TLS 流量。

通过卸载 TLS 解密,您可以实现以下目标:

  • 在安全和监控工具上实现更高的投资回报率(ROI)
  • 提高安全和监控工具的性能
  • 扩展安全和监控基础设施
  • 全面洞察加密流量,甚至是使用临时密钥加密的流量
一次完成解密并进行扩展

内联和带外(OOB)

内联解密可用于内联和带外工具部署。

  • 内联:可以在中途检查进出网络的流量。 内联解密可先对进入网络流量汇聚设备的数据进行解密,然后再发送给安全和监控工具。 检查完毕后,工具会将数据发送回网络流量汇聚设备,再使用内联解密功能对数据重新加密。 默认情况下,工具会使用相同的密码,但您也可以根据需要灵活选择策略。 数据随后会被路由回网络。 这个过程通过双主动弹性体系结构中的旁路交换机完成,安全性极高。 使用临时密钥重新加密数据可以确保网络安全,同时进行数据检查,堪称一举两得!
  • 带外:流量进入网络流量汇聚设备后经过解密、复制,然后发送给带外安全和监控工具。 这些工具使用解密的流量生成警报。
  • 同时部署:借助是德科技的 Vision ONE 和 Vision X,您可以同时使用内联和带外两种模式。 因此,您可以在同一个部署中使用适合各种模式的安全和监控工具。
内联和带外

无限可视化

将内联解密与是德科技的 NetStackPacketStackAppStack 功能结合使用,可以发挥更大的灵活性,实现无限的可视化。

借助是德科技解决方案,您可以执行流量解密、数据包整理、标头剥离等操作,然后再将流量发送给带外安全工具。 这样可以提高工具效率,延长其使用寿命。 应用识别功能可以将某些应用发送给这些工具或者是禁止将某些应用发送给这些工具,您可以选择是否使用 Data Masking Plus 来保护个人身份信息(PII)。 您可以根据地理位置、浏览器类型和应用类型,甚至自定义应用程序等条件选择将哪些流量转发给带外工具。

对于内联部署而言,内联解密完全透明,不需要您在客户端上手动配置代理。 使用内置负载平衡功能和故障内联设备的心跳信号检测,可以维持高性能、高弹性的安全部署,由 Vision ONE 或 Vision X 负责维护服务链并卸载 TLS 解密和各种 Netflow 生成等任务。

同时使用多种功能可以确保实施优化的安全策略,让工具可以高效运行。 此外还可延长安全和监控工具的使用寿命。 再搭配使用是德科技旁路交换机ThreatARMOR,可以实现出色的安全部署,显著提升可靠性和效率。

无限

易于管理

您可以在 Vision ONE 或 Vision X 网络流量汇聚设备的设置和部署过程中轻松配置和管理内联解密功能。

Vision ONE 和 Vision X 包含灵活的策略配置,可以实现超高的安全性并支持多个并发情境。

您只需简单修改许可证即可轻松升级到更高的吞吐量。Vision ONE 附带 1G、2G、4G 或 10G 许可证。 切换许可证不需要额外的硬件,也不需要通过大规模升级更改配置。 Vision X 为每个 CPU 提供了一个高达 25G 的许可证。

易于管理

实时洞察

是德科技的内联解密功能可以实时分析数据并在屏幕上显示结果,包括吞吐量、会话和加密数据的详细信息。 您可以将鼠标悬停在数据上即可查看更详细的内容,确保对所有数据都能保持跟踪。 内联解密还包括错误和异常记录以及访问历史数据等功能。

实时洞察

支持主流加密方式

内联解密支持 TLS 1.3 中列出的许多主流加密方式,后续还会支持更多加密方式。

支持的加密方式   KX AU ENC MAC
TLS13-AES-256-GCM-SHA384 TLSv1.3 - - AES-128-GCM AEAD
TLS13-CHACHA20-POLY1305-SHA256 TLSv1.3 - - AES-128-GCM AEAD
TLS13-AES-128-GCM-SHA256 TLSv1.3 - - CHACHA20-POLY1305 AEAD
TLS13-AES-128-CCM-8-SHA256 TLSv1.3 - - AES-128-CCM AEAD
TLS13-AES-128-CCM-SHA256 TLSv1.3 - - AES-128-CCM-8 AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 ECDH RSA AESGCM(128) AEAD
ECDHE-ECDSA-AES128-SHA SSLv3 ECDH ECDSA AES(128) SHA1
ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH RSA AES(256) SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 ECDH ECDSA AES(256) SHA384
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 ECDH ECDSA AESGCM(128) AEAD
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH RSA AESGCM(128) AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 ECDH ECDSA AESGCM(128) AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 DH RSA AESGCM(128) AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH RSA AESGCM(128) AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 ECDH RSA AES(128) SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 ECDH ECDSA AES(128) SHA256
ECDHE-RSA-AES128-SHA SSLv3 ECDH RSA AES(128) SHA1
DHE-RSA-AES256-SHA SSLv3 DH RSA AES(256) SHA1
ECDHE-RSA-DES-CBC3-SHA SSLv3 ECDH RSA 3DES(168) SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 ECDH ECDSA 3DES(168) SHA1
AES128-GCM-SHA256 TLSv1.2 RSA RSA AESGCM(128) AEAD
AES256-GCM-SHA384 TLSv1.2 RSA RSA AESGCM(256) AEAD
AES128-SHA256 TLSv1.2 RSA RSA AESGCM(128) SHA256
AES256-SHA256 TLSv1.2 RSA RSA AES(256) SHA256
AES128-SHA SSLv3 RSA RSA AES(128) SHA1
AES256-SHA SSLv3 RSA RSA AES(256) SHA1
ECDHE-RSA-AES256-SHA SSLv3 ECDH RSA AES(256) SHA1
ECDHE-ECDSA-AES256-SHA SSLv3 ECDH ECDSA AES(256) SHA1
DHE-RSA-AES128-SHA256 TLSv1.2 DH RSA AES(128) SHA256
DHE-RSA-AES128-SHA SSLv3 DH RSA AES(128) SHA1
DHE-RSA-AES256-SHA256 TLSv1.2 DH RSA AES(256) SHA256
ECDHE-ECDSA-CHACHA20-POLY1305 TLSv1.2 ECDH ECDSA CHACHA20/POLY1305(256) AEAD
ECDHE-RSA-CHACHA20-POLY1305 TLSv1.2 ECDH RSA CHACHA20/POLY1305(256) AEAD
DHE-RSA-CHACHA20-POLY1305 TLSv1.2 DH RSA CHACHA20/POLY1305(256) AEAD
CAMELLIA128-SHA256 TLSv1.2 RSA RSA CAMELLIA(128) SHA256
CAMELLIA256-SHA256 TLSv1.2 RSA RSA CAMELLIA(256) SHA256
DHE-RSA-CAMELLIA128-SHA256 TLSv1.2 DH RSA CAMELLIA(128) SHA256
DHE-RSA-CAMELLIA256-SHA256 TLSv1.2 DH RSA CAMELLIA(256) SHA256
  • Customer Quote Icon

    “随着 TLS 1.3 标准开始推行临时密钥,企业将会发现解密和检查加密流量的过程变得更复杂,需要耗费更多资源。 像内联解密这样的解决方案将使企业能够高效洞察当前的网络流量,同时减少对网络以及监控工具和安全设备的干扰。”

    ESG 分析师 DAN CONDE

通过内联解密确保内联安全

内联解密功能可以无缝集成到是德科技的防故障安全体系结构中,实现内联部署。 内联解密可以与是德科技的威胁情报网关 ThreatARMOR™ 相结合,搭建更稳固的内联体系结构,从而能够阻止有问题的互联网协议(IP)、处理加密流量并通过双主动高可用性配置保护您的网络,确保持续的流量检查和近乎即时的恢复。

内联安全体系结构

内联 TLS 解密相关资料

Data Sheets 2024.03.06

Vision ONE (Model: Vision ONE) Network Packet Broker

Vision ONE (Model: Vision ONE) Network Packet Broker

Amplify your security without changing a cable. Keysight Vision ONE provides IT Operations the ability to deploy resources where they are needed most and secure any traffic in their network. Keysight Vision ONE acts as the first step to security, providing reliable inline connectivity for security tools such as intrusion prevention systems (IPS), data loss prevention (DLP), and Web firewalls. It simultaneously connects out-of-band monitoring tools like intrusion detection systems (IDS) and data recorders. Integrated intelligence features enable you to access encrypted traffic using inline or out-of-band decryption, reduce analysis traffic using advanced packet processing, and precisely select traffic by application type, and geography. Keysight Vision ONE forwards selected traffic in a variety of formats to interoperate with any security tool.

2024.03.06

Data Sheets 2024.04.24

Vision X (Model: Vision X) Network Packet Broker

Vision X (Model: Vision X) Network Packet Broker

Keysight’s Vision X is the next-generation network visibility solution. It delivers expandability and flexibility that meets the ever-evolving needs of the data center. Vision X is a high-density, modular chassis comprised of customizable front modules and multi-speed port choices. It also supports a rear, advanced packet processing module, extending the total packet processing capacity of the chassis. With a small data center footprint, Vision X conserves both power and rack space. Its footprint, along with its upgradable chassis, will improve your overall ROI now and in the future.

2024.04.24

Solution Briefs 2022.01.05

Offload SSL Decryption to Improve Security Tool Performance

Offload SSL Decryption to Improve Security Tool Performance

While many security tools include the ability to decrypt traffic so that incoming data can be analyzed for security purposes, this comes at the expense of CPU performance - which can dramatically slow a security appliance's processing capability. Learn how you can use a network packet broker (NPB) to offload SSL decrypt functionality and increase the performance of your security tools.

2022.01.05

Solution Briefs 2022.01.20

Offload SSL Decryption to Extend Firewall Life

Offload SSL Decryption to Extend Firewall Life

Read this solution brief to see how you can use a network packet broker (NPB) to direct SSL-based traffic to a purpose-built decryption device to eliminate the issue.

2022.01.20

Solution Briefs 2022.01.21

Offload SSL Decryption to Extend Monitoring Tool Life and Value

Offload SSL Decryption to Extend Monitoring Tool Life and Value

Learn how you can implement a cost-effective solution by deploying a network packet broker (NPB) with integrated SSL decryption capability.

2022.01.21

Solution Briefs 2022.01.21

How to Get Ready for TLS 1.3: Keysight’s 10-Point Checklist

How to Get Ready for TLS 1.3: Keysight’s 10-Point Checklist

Adopting the IETF’s newly approved Transport Layer Security (TLS) 1.3 standards for securing encrypted data has far-reaching implications—and powerful benefits—for security and monitoring infrastructures. Download Keysight’s 10-Point Checklist to help your IT team prepare.

2022.01.21

White Papers 2023.03.14

Best Practices For Monitoring Encrypted Data

Best Practices For Monitoring Encrypted Data

Once used to increase the security of Internet traffic, encryption has actually made the work more difficult. Many firewalls and other security tools do not understand encrypted traffic and many organizations have chosen to pass encrypted traffic into their networks without security inspection, just to keep communications flowing. Unfortunately this creates blind spots in network visibility – areas where the organization is unaware of the traffic moving inside and exiting the network.

2023.03.14

需要帮助或遇到问题?

联系我们