一、解決方案背景

越來越多的應(yīng)用程序使用SSL/TLS來加密通信。今天，世界上許多最流行的網(wǎng)站都會對每個web請求和響應(yīng)進(jìn)行加密。不幸的是，許多傳統(tǒng)的安全設(shè)備無法檢測加密的通信量，少數(shù)能夠解密通信量的設(shè)備無法跟上不斷增長的SSL/TLS帶寬和處理需求，暴露出企業(yè)防御方面的危險缺口。因此，組織可能遭受攻擊、入侵和數(shù)據(jù)丟失，因為攻擊者很容易繞過安全控制。此外，所有內(nèi)聯(lián)設(shè)備都會出現(xiàn)單點故障，這可能會導(dǎo)致網(wǎng)絡(luò)停機(jī)。這種停機(jī)可能是由電源故障、軟件崩潰、鏈路丟失或計劃的維護(hù)窗口引起的。

二、解決方案

A10 Networks和Niagara Networks共同提供了一個可擴(kuò)展的解決方案，在不引入單點故障的情況下消除了企業(yè)防御的盲點。

1. 將Niagara Networks Bypass設(shè)備串接在網(wǎng)絡(luò)中

2. 把A10 Networks Thunder SSLi接到Bypass設(shè)備上

3. 通過A10 Networks SSL Insight?技術(shù)攔截SSL/TLS通信，并將其未加密的流量發(fā)送給第三方安全工具。

4. Thunder SSLi設(shè)備的入口和出口接在Bypass設(shè)備上，通過發(fā)送可配置的單向或雙向心跳來感知Thunder SSLi設(shè)備的運行狀況，如果Bypass交換機(jī)檢測到Thunder SSLi處于維護(hù)窗口或停機(jī)時間，系統(tǒng)會將提供故障接線保護(hù)-將網(wǎng)絡(luò)鏈路的兩側(cè)連接在一起，保證網(wǎng)絡(luò)直通，直到設(shè)備恢復(fù)。

5. 正常情況下，流量檢測后，Thunder SSLi對解密的流量進(jìn)行加密，并通過Niagara Networks Bypass交換機(jī)將其發(fā)送到網(wǎng)絡(luò)中。

三、方案價值

Niagara Networks Bypass設(shè)備和A10 Networks Thunder SSLi配合，可以透明地解密流量并將其轉(zhuǎn)發(fā)到安全工具，如防火墻、入侵防御系統(tǒng)（IPS）、數(shù)據(jù)丟失預(yù)防（DLP）工具、網(wǎng)絡(luò)取證、高級威脅保護(hù)（ATP）平臺和其他安全設(shè)備，而不會減少或損害網(wǎng)絡(luò)的可靠性或正常運行時間。

通過將Niagara Networks Bypass交換機(jī)連接到A10 Thunder SSLi，有效地消除了單點故障，確保了一致和完整的網(wǎng)絡(luò)正常運行時間。NiagaraNetworks的inline解決方案確保網(wǎng)絡(luò)始終保持完整，而無需部署冗余的Thunder SSLi設(shè)備。