为了保护敏感数据在互联网传送中的安全性,越来越多的网站都采用SSL加密形式发布,比如网上银行、在线交易系统等,甚至一些病毒、色情、反动以及钓鱼网站也采用SSL加密技术。然而,传统的安全设备并不能扫描加密的信道,因此也就不能对SSL加密网站的内容进行识别和过滤。针对该问题,系统支持能够解密SSL流量的SSL代理功能。通过SSL代理功能与网页关键字过滤、Web外发信息控制和邮件过滤结合使用,安全网关能够对用户访问HTTPS网站的行为进行审计。下图为SSL代理功能示意图:
如上图所示,SSL代理功能利用SSL代理证书替换加密Web网站的数字证书,并将SSL代理证书发送到客户端的Web浏览器,在此过程中,安全网关分别作为SSL客户端和SSL服务器与Web服务器和Web浏览器建立SSL连接,从而获得加密通信的明文内容。SSL代理证书是使用设备本身的证书对Web服务器证书重新签发而成的证书。
相关链接:
