思科广域应用服SL加速： 提高广域应用传输速度.docVIP

思科广域应用服务SSL加速提高广域网应用传输速度 概述 SSLv3协议也被称作传输层安全第1版(TLSv1)协议,该协议是最常用的IP网络传输内容加密协议之一。目前受SSL/TLS保护的应用迅速增多，包括基于Web和非基于Web的应用，这意味着必须对受保护的流量实施基于策略的广域网优化。最近，企业越来越多地利用SSL/TLS加密网上传输的内容，而且这一趋势呈迅速发展之势。此外，许多客户虽然尚未在企业中部署SSL,但他们希望确保在将来部署SSL时能够同时拥有一个广域网优化解决方案。 如本文所述，思科? 广域应用服务(WAAS)是一个全面的广域网优化解决方案，能够加速广域网上传输的应用，向分支机构传输视频并对分支机构IT服务进行本地托管。 通过在种类广泛的广域网优化技术中增加强大的SSL加密技术，思科WAAS为整套解决方案提供了一个核心组件，既能保证现有SSL商业应用的安全传输，又能实施新的软件即服务(SaaS)和虚拟桌面(VDI)项目。 思科WAAS的客户使用案例数量庞大而且遍及各行各业，他们在SSL加密保护的环境中部署了广域网加速技术。例如，许多行业和机构采用了Web代理服务器来前置数据中心的关键业务应用，并利用SSL对代理服务器和分支站点远程用户之间的流量进行加密。思科WAAS优化了这些应用的传输性能，同时端到端地保证了SSL加密–而其它同类产品的SSL功能不提供这种支持。为了最大限度提高应用流量的安全性，WAAS设备为静态存储数据提供了额外的加密保护，而且能够与思科ACE应用交换机共同部署在一个端到端的SSL优化架构中，以进行SSL卸载,以减轻对服务器的压力。 思科WAAS提供的SSL优化功能不但与现有的数据中心密钥管理与信任模式完全集成，而且能够用在广域网优化与应用加速组件中。私钥和数字证书可存储在Cisco WAAS Central Manager上一个安全的库中。这些私钥和数字证书将以一种安全的方式分发给数据中心的思科WAAS设备并存储在一个安全库中，从而维持了服务器专用密钥的信任边界。基于思科WAAS的SSL优化对于最终用户和服务器完全透明，而且不要求改变网络环境。 思科WAAS还简化了企业对SSL优化解决方案的部署与管理，同时改进了大型部署环境的管理。思科WAAS的自发现机制支持对SSL流量的自动识别、截取、优化和加速，即使在客户端使用显式代理的环境中也是如此。 挑战 在用于加密的多种密码协议中，SSL/TLS是最重要的协议之一。目前SSL/TLS加密的应用在通过广域网链路传输的流量中所占的比例越来越高。在广域网数据中，安全的加密流量数量庞大，而且在逐渐增长。标准的数据冗余消除（DRE）技术无法优化广域网数据，因为这种加密流程会生成不断变化的数据流，即使冗余数据也变得难以清除，而且完全无法取消复制字节模式。如果没有SSL优化，思科WAAS仍能利用传输流优化(TFO)对加密的流量进行普通优化。在网络中有高带宽延迟产品(BDP)1而且无法填满传输管道的情况下，针对加密的安全数据采用TFO大有助益。 在将思科WAAS DRE和Lempel-Ziv (LZ)压缩等具体的SSL优化技术应用于数据时，必须终止SSL连接并对流量进行解密。SSL优化的最低限度要求是必须： 在临近的思科WAAS广域应用引擎(WAE)处解密流量，并对解密后的明文数据进行广域网优化 重新加密优化后的流量，以保护内容的安全性，以便顺利地在广域网上传输 在远端的思科WAAS WAE上对加密并优化的流量进行解密，并对广域网优化进行解码 重新加密现在的原始流量并将其转发到目的地服务器 在终止SSL连接并对加密数据进行广域网优化时需要使用服务器私钥。此外，解密后的明文数据必须存储在磁盘上，以供将来参考，并充分发挥DRE的优势。在数据安全性至关重要的环境中，这些要求意味着严峻的安全挑战。对于任何提供SSL加速的广域网优化解决方案，安全都是最重要和最敏感的问题。 要想成为适合企业部署的全方位解决方案，SSL优化技术必须满足以下安全要求： 解决方案必须不影响私钥的安全性。私密的信任边界必须得到保护，而且不能将这些密钥应用于安全的数据中心之外。私钥和证书应该存储在数据中心一个安全的电子存储库中。 任何情况下都必须为存储的信息提供数据存储加密，以防止在设备被盗或硬盘拆除时数据遭到非授权访问。 磁盘加密密钥不能保存在磁盘中，应该通过一个安全的链接从一个受保护的中央管理系统获取密钥，然后保存在内存中，以便在发生磁盘丢失时仍能确保数据安全性。 该解决方案的另一个主要特性是透明性。在部属SSL广域网优化时，客户端与服务器应当不受任何影响、也不能要求为运行SSL上的广域网加速而进行特别配置。特别是，客户端与服务器不应觉察到任何广域网优化设备的