加密能保護網絡流量免遭黑客與網絡罪犯侵害，卻阻止了安全及監測工具探知網絡中傳遞的數據包的內部情況。事實上，許多企業機構都未對加密流量進行全面檢查就任其流經自己的網絡，黑客往往會利用加密來隱藏惡意軟件并發起攻擊，從而劫持用戶網絡。為了保持強健的防御能力以及降低安全漏洞和數據丟失的風險，我們必須對所有的網絡流量進行解密、檢查并再重新加密這一過程。

解密帶來的負擔

解密設備必須保證功能強大。為了抵御數據劫持，加密算法也日益變得越來越長而且逾加復雜。多年前，NSS實驗室進行的測試表明，密碼從1024位變為2048位后，8款領先的防火墻平均性能下降81%。事實上，針對SSL的解密無需在防火墻處完成。而現在，一些新策略已支持offload解密工作，并向工具發送明文，從而讓其高效工作并處理更多流量。以下四項策略可讓解密變得更加輕松、快速且經濟高效。

策略一：在解密前移除惡意流量

曾用于網絡攻擊的許多IP地址會被重新使用，并被公布于安全社區內。相關專門組織每天都會跟蹤并確認已知的網絡威脅，并將此類信息保存在情報數據庫內。通過該數據庫對流入及流出的數據包進行比對，我們可以辨別出惡意流量并從網絡中對其加以阻止。由于對比是通過明文格式的包頭完成的，該策略無需對數據包進行解密。提前將與已知攻擊者相關的流量過濾掉可以減少需要解密的數據包數量。此外，對這部分同時將會引發安全警報的流量進行剔除也有助于安全團隊提高效率。

部署此項策略的最快方法是在防火墻前端安裝被稱之為威脅情報網關的專用硬件設備。該設備旨在快速、大量地阻止惡意流量，包括來自未經驗證國家的信息，并通過綜合威脅情報源對其自身進行不間斷的更新。安裝后，該網關將無需人工干預，也無需創建或維護相應的過濾器。惡意流量要么被立即丟棄，要么被發送至沙箱接受進一步的分析。根據您所處的行業以及被惡意攻擊的頻率，您可以因此減少最高可達到80%的安全警報。

另外，我們也可以在防火墻上配置自定義的過濾器以阻止特定IP地址。但遺憾的是，防火墻過濾器必須手動配置與維護，并且在能創建的過濾器數量方面也存在限制。隨著聯網設備與遭受攻擊IP地址的爆炸性增長令防火墻能力捉襟見肘。此外，在防火墻一類高級設備上進行循環處理只為完成簡單對比的操作，并不是阻止流量的經濟高效方式。

策略二：尋求高級解密功能

對來往于惡意源頭的加密數據包進行移除之后，余下的部分數據亦需要由解密設備加以處理。許多安全工具，例如下一代防火墻(NGFW)或入侵防御系統(IPS)，均具有SSL解密功能。但是，NSS實驗室發布的一篇文章警告稱，某些安全工具可能未包含最新密鑰，從而將導致在非標準端口上發生的SSL通信丟失，還有可能無法按照所宣稱的吞吐率完成加密、甚至會在完全未實施解密的情況下快速建立某些連接。

密碼學依賴于先人一步的預防措施。安全解決方案必須支持最新加密標準，結合各式各樣的密鑰與算法，并擁有使用更大2048位與4096位密鑰以及更新Elliptic Curve密鑰解密流量的能力。隨著安全技術復雜度攀升，解決方案必須能夠有效且經濟高效地處理解密——即避免丟包、引發錯誤或者未能完成全面檢查。

隨著SSL流量數量的增加，為了實現完全的網絡可視性，解密解決方案的質量將日漸重要。此外，“縱深防御”也成為公認的最佳實踐，其通常需要使用多項同類最佳的安全設備(如：獨立防火墻與IPS)。而讓這些設備全部經歷一遍流量解密與再加密將會導致安全工具效率低下，不僅會增加網絡延遲，同時還會降低策略效力以及端到端的可視性。

策略三：選擇操作簡單的工具

另一項關鍵特性是管理員可以通過簡單操作來創建并管理解密相關策略。那些杰出的解決方案可以提供基于拖放式的用戶操作界面來完成過濾器的創建，從而有能力實現選擇性的數據轉發或者針對基于內容識別的數據脫敏，例如身份證，或銀行卡號。這些解決方案還可以很容易為每個被使用的SSL密鑰以及通信過程中產生的所有異常(如丟失的會話、SSL故障、無效證書以及出于策略原因而無需解密的會話)保存完整記錄。對于審計、取證、網絡故障排除以及容量規劃而言，這些詳細的日志都非常寶貴。

策略四：規劃經濟高效的可擴展性

隨著加密流量數量的增加，解密將對安全基礎架構的性能帶來更大的影響，因此提前規劃十分必要。雖然簡單地“開啟”防火墻中的SSL解密功能，或一體化威脅管理(UTM)解決方案似乎合情合理，但解密是一項需要在過程中進行大量處理的功能。由于SSL流量增加以及解密需要的更多周期，整體性能將會受到影響，工具同時也可能出現丟包。為了增強多功能設備中流量的流動能力，唯一的選項就是擴大整體容量。擴容會帶來大量資本支出，同時為了確保設備能夠承擔解密，某些功能還將產生額外成本。

更好的一個選項是通過采用具有SSL解密功能的網絡可視性解決方案或網絡數據包中轉設備(NPB)來實現SSL解密從而實現針對安全工具的SSL卸載。許多企業機構利用網絡數據包中轉設備匯聚網絡流量、識別相關數據包并將其高速分發給安全工具。使用硬件加速的網絡數據包中轉設備可以在零丟包的情況下以線速處理流量，并實現自動化負載均衡。另外，它們無需多種串聯設備來進行各自獨立的解密/再加密。擴展網絡數據包中轉設備的成本低于擴展大部分安全設備的成本，并可以提供快速的投資回報。

結論

隨著更多的互聯網轉向加密流量，SSL流量內的攻擊將變得更加普遍。為了保護數據與網絡免遭黑客與網絡罪犯侵害，檢查所有加密的網絡流量勢在必行。尚未實施嚴格加密流量檢查制度的企業將令網絡安全性大打折扣，并帶來因漏洞與數據丟失引發的難以承受的風險。但幸運的是，以提高SSL解密效率與經濟效益為目標的新型解決方案正不斷涌現。