什麼是 SSL 檢查?

在 HTTPS 中使用 SSL/TLS 為包含敏感資訊的網路流量提供安全性。 雖然這對用戶隱私有價值,但對網絡犯罪分子也很有用。 惡意軟體越來越多地使用 HTTPS 來隱藏其命令和控制通訊。

 

SSL/TLS 是一種網路協議,旨在為其他使用加密的不安全協議提供額外的安全性。它通常在 HTTPS 中用於保護 Web 流量,但惡意軟體對 HTTPS 的廣泛使用使得 SSL 檢查功能成為組織網路安全策略的重要組成部分。

NGFW 採購指南

什麼是 SSL 檢查?

什麼是 HTTPS?

超文本傳輸通訊協定安全 (HTTPS) 是使安全網絡成為可能的原因。 瀏覽網頁時,任何位址列中有鎖定圖示的網頁都會使用 HTTPS 來要求頁面的電腦與儲存頁面的伺服器之間進行通訊。

HTTP 與 HTTPS

HTTPS 是基本 HTTP 通訊協定的安全版本。 HTTP 旨在通過定義用戶端電腦和 Web 服務器如何互相交流來啟用瀏覽網絡。

 

HTTP 的主要限制在於它完全不安全。 通過 HTTP 傳輸的所有流量都可以對任何聽到它的人可以讀取。 隨著網絡隨著越來越多的敏感信息(由於電子商務,在線健康記錄,社交媒體等),這使用戶的敏感信息面臨風險。

 

HTTPS 使用傳輸層安全性 (TLS) 通訊協定 (以前稱為安全通訊端層 (SSL)),為 HTTP 增加安全性。 使用 SSL/TLS,HTTPS 能夠驗證網絡服務器的身份,並加密客戶端和服務器之間流動的所有流量。

HTTPS 是如何運作的?

HTTPS 是以兩個協定一起工作的形式實現。 SSL/TLS 用於在用戶端和伺服器之間建立加密連線。 完成此操作後,將 HTTP 流量通過加密並將其嵌入 SSL/TLS 封包的數據部分通過此通道傳送。 在其目的地,另一台計算機會根據 HTTP 通訊協定解密資料並處理資料。

 

為此,客戶端和伺服器需要具有用於加密的共用金鑰。SSL/TLS 使用握手協議來建立此協議,其中客戶端和伺服器就用於加密的參數(演算法等)達成一致,並使用非對稱或公鑰加密技術共享金鑰以防止竊聽。

SSL/TLS 的好處

使用 SSL/TLS 使 HTTPS 比 HTTP 更慢且效率低。 但是,該協議也提供了幾個重要的好處,包括:

 

  • 隱私:HTTPS 加密用戶的網絡流量,確保數據隱私。 使用完美轉向保密 (PFS),它甚至可以通過使用會話結束後刪除的隨機值來保護消息不會被解密,如果將來密鑰洩漏。
  • 資料完整性:HTTPS 使用訊息驗證碼 (MAC) 來確保資料在傳輸中沒有被修改。 這可防止傳輸錯誤和惡意修改。
  • 驗證:SSL/TLS 的握手階段使用 Web 伺服器的數位憑證,該憑證會驗證網頁伺服器的身份。 HTTPS 也可以被配置為證明客戶端的身份。

HTTPS 並不完全安全

HTTPS 旨在成為 HTTP 的安全替代方案。 但是,它的安全性有其限制,包括:

 

  • 協定脆弱性: SSL/TLS 協定正在不斷改進。該協議的許多更新都包括對先前發現的脆弱性的修復,這使得安裝這些更新對於安全性至關重要。
  • 仿冒網站: HTTPS 中的鎖定圖示僅保證網頁伺服器具有針對該網址所發出的數位憑證。它無法防禦使用名稱與受信任網域類似的網址建立的網路釣魚網站。
  • SSL/TLS 攔截:SSL/TLS 會驗證網站的數位憑證是否由用戶端信任的授權單位簽署。 如果攻擊者可以建立虛假、受信任的憑證,他們可以執行中間人 (MitM) 攻擊來攔截並讀取/修改流量。 通過此攻擊,攻擊者會與用戶端建立 SSL/TLS 連線,解密流量以查看封包內容,然後將封包加密到 Web 伺服器。 返回數據包經過相同的過程。 用戶可能沒有註意到這種情況正在發生,但有端點瀏覽器行動安全解決方案可以偵測和防止 MitM 攻擊。
  • 加密的惡意內容: HTTPS 提供的加密使得無法檢查流量的內容。惡意軟體和網路釣魚網站利用這一點來逃避組織的網路防禦。

HTTPS 檢查的需要

在 HTTPS 中使用 SSL/TLS 為包含敏感資訊的網路流量提供安全性。 雖然這對用戶隱私有價值,但對網絡犯罪分子也很有用。 惡意軟體越來越多地使用 HTTPS 來隱藏其命令和控制通訊。

 

SSL/TLS 檢查涉及對進入或離開組織網路的 SSL/TLS 連線執行 MitM 式攔截。這可讓組織檢查流量是否存在惡意內容。

HTTPS 檢查的好處

HTTPS 檢查提供了多種網路效能和安全優勢,包括:

 

  • 改進的應用程式識別:解密 HTTPS 流量使組織能夠更好地識別使用連接的應用程式並應用特定於應用程式的安全性和路由策略。
  • 網址 過濾執行:對 HTTPS 流量的檢查使組織能夠阻止流向不安全或不適當網站的流量。
  • 惡意內容過濾:HTTPS 檢查允許網路安全解決方案掃描 HTTPS 流量中的惡意內容。 可以在沙盒中測試內容,並使用內容取消武器和重建 (CDR) 技術從檔案中移除惡意內容。

HTTPS 檢查的效能影響

HTTPS 檢查需要次世代防火牆 (NGFW)來解密連接,檢查其中包含的資料是否存在惡意內容,然後在將其轉送到目的地之前對其進行加密。這可能會造成嚴重的網路延遲,尤其是在 NGFW 缺乏以線速執行檢查的能力的情況下。

 

部署可擴充的安全解決方案對於確保組織能夠適應增加的流量頻寬至關重要。 超大規模網路解決方案使組織能夠添加更多資源來滿足需求,而無需購買額外的專用系統。

網路 HTTPS 檢查的最佳實踐

HTTPS 檢查可以大幅提高組織的網頁安全性。 選取和部署用於 HTTPS 檢查的 NGFW 時,請實作下列最佳做法:

 

  • 輸入與輸出檢查:輸入檢查會檢查流向用戶端的流量,而輸出檢查則監控到伺服器的流量。 入站檢查可以透過應用IPS(入侵防禦系統)保護來保護內部 Web 伺服器。
  • 尊重合法隱私權問題:某些類型的數據受到 GDPR、PCI DSS 和 HIPAA 等法規保護。 HTTPS 檢查規則應設定為忽略可能包含這些類型的敏感資料的流量(即金融機構、醫療保健組織等)。
  • 建議的繞過清單: HTTPS 檢查會增加網路延遲,對於某些受信任的網站來說是不必要的。NGFW 應該能夠使用可更新的繞過清單來確定不應檢查哪些流量。
  • 閘道器證書:匯入閘道器證書,終端瀏覽器將信任安全閘道器證書。這對於消除瀏覽器警告和創建無縫的用戶體驗至關重要。

 

除了本 NGFW 購買指南中所述的其他核心功能之外,NGFW 應支持這些功能,包括:

 

  • 用戶友好的管理
  • 威脅防護
  • 應用程式的檢視和管控機能
  • 身份制的檢視和管控機能
  • 可擴充效能

 

Check Point 的 NGFW 提供高效能、可擴充的 SSL/TLS 檢查功能。要觀看它們的實際操作,歡迎您申請免費演示

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明