跨网络拓扑构建 SSL Orchestrator 和 Palo Alto Networks 下一代防火墙
客户端(计算机、平板电脑、手机等)和服务器之间移动的数据主要使用安全套接字层 (SSL) 或更现代、更安全的传输层安全性 (TLS) 进行加密。 (有关参考,请参阅 F5 实验室的2019 年 TLS 遥测报告摘要)。 当今普遍存在的加密意味着威胁是隐藏的,除非流量被解密,否则安全检查无法发现。
不同的安全设备(如 Palo Alto Networks Next-Gen Firewall (NGFW))对数据的解密和加密可能会增加开销和延迟。 除了 SSL/TLS 可见性挑战和安全堆栈的碎片化特性之外,企业还发现设计一个具有长期性的全面安全策略也很有挑战性。
该系统参考架构涵盖了跨网络拓扑构建 F5® SSL Orchestrator® 和 Palo Alto Networks 下一代防火墙 (NGFW) 的不同方式,同时还解决了可见性、隐私和法规遵从性挑战。
F5 SSL Orchestrator 位于 IT 基础设施和互联网之间,创建了一个可用于检查的解密区域。 在解密区内,Palo Alto Networks NGFW 等安全设备可以访问数据以检测和减轻恶意软件等隐藏的威胁。
F5 先进的 SSL/TLS 解密技术、强大的密码支持和灵活的架构可帮助您优化资源使用、消除延迟并增强安全检查基础设施的弹性。 由于所有通信都通过 SSL Orchestrator 进行,因此它还可充当战略控制点,在此实施针对运营风险(性能、可用性和安全性)的策略。
SSL Orchestrator 提供入站(从互联网用户到 Web应用)和出站(从企业用户到互联网) SSL/TLS 流量的高性能解密。 如图 1 所示,出站流量被解密并发送到 Palo Alto Networks NGFW 进行检查和检测。
图 1: 出站流量正在解密并发送到 Cisco WSA。
不同的环境需要不同的架构。 SSL Orchestrator 提供多种外形和尺寸,以满足不同的架构要求。
形式 |
容量选项 |
F5 SSL Orchestrator iSeries 平台 |
高性能 SSL Orchestrator iSeries 硬件经过优化,可提供 1 GB、5 GB、10 GB 和 20 GB 解密吞吐量,是区域和中央企业站点的理想选择。 |
F5® BIG-IP® 虚拟版本 |
高性能 SSL Orchestrator 虚拟版可用于增强 SSL 解密架构,以涵盖较小的办公站点。 |
F5® VIPRION® 平台(底盘) |
高端VIPRION 平台提供超过 100 GB 的解密吞吐量,能够聚合和管理不断增长的网络流量。 模块化设计和集群功能使 VIPRION 能够随着网络需求的发展轻松扩展。 |
典型的安全堆栈通常由多个系统组成,例如 NGFW、入侵检测或预防系统 (IDS/IPS)、数据丢失预防和恶意软件分析工具。 所有这些系统都需要访问解密数据以供检查。 SSL Orchestrator 可轻松与现有安全架构集成,并集中安全堆栈中多个检查设备的 SSL/TLS 解密。 这种“一次解密,引导至多台检查设备”的设计解决了每个安全设备执行解密时可能出现的延迟、复杂性和风险问题。 您还可以使用上下文引擎为不同的流量创建多个服务链。
图 2: 使用动态服务链,解密一次并引导至多个检查设备设计。
SSL Orchestrator 的上下文引擎能够根据使用分类标准、URL 类别、IP 信誉和流信息做出的策略决策来智能地引导流量。 您还可以使用上下文引擎绕过对金融、政府服务、医疗保健等应用和网站的解密,以达到法律或隐私目的。
图 3: 上下文引擎提供服务链和基于策略的流量控制。
SSL Orchestrator 支持主动-备用 HA 架构:一个系统主动处理流量,而另一个系统保持待机模式,直到需要为止。 目标是减少停机时间并消除单点故障。 配置和用户连接信息在系统之间自动同步。
SSL Orchestrator 以 L2 或 L3 模式内联部署,可以配置为显式正向代理、透明正向代理或反向代理。 与 Palo Alto Network NGFW 集成时,SSL Orchestrator 可以通过内联 L2、内联 L3 或仅接收 TAP 模式连接以引导解密流量,如图 4 所示。
图4: F5 SSL Orchestrator 支持的 Cisco WSA 部署拓扑。
图 5 显示了 SSL Orchestrator 如何集成到企业架构中,以集中执行整个检查基础设施中的入站和出站流量的解密。
图5: F5 SSL 编排集成到企业网络架构中。
如下图 6 所示,SSL Orchestrator 支持使用 IEEE 802.1q VLAN 标记协议进行链路聚合,以提供链路冗余,从而提高容错能力。
图 6:用于端口冗余的链路聚合。
SSL 及其后继者 TLS 在保护互联网上的 IP 通信方面正变得越来越普遍。 这可能是好事也可能是坏事。 很好,因为所有通信都被加密以防止窥探。 但这可能很糟糕,因为攻击者可以将恶意软件隐藏在加密流量中。 如果加密流量只是简单地通过,安全系统就无法拦截它。 这会破坏分层安全功能的整个纵深防御策略。
SSL Orchestrator 与 Palo Alto Networks NGFW 等高级威胁防护系统相结合,可以通过在企业边界内集中解密来解决这些 SSL/TLS 挑战。 它可以通过整个安全堆栈协调解密的流量以进行检查,从而识别和阻止零日漏洞。 因此,该解决方案可让您最大限度地利用现有安全服务对恶意软件防护和下一代防火墙的投资。
F5(纳斯达克: FFIV 为世界上最大的企业、服务提供商、政府和消费品牌提供了自由、自信地在任何地方安全交付每个应用程序的能力。 F5 提供云和安全应用服务,使组织能够采用他们选择的基础设施,而无需牺牲速度和控制力。 如需了解更多信息,请访问 f5.com。 您还可以在 Twitter 上关注@f5networks或访问我们的LinkedIn和Facebook,以获取有关 F5、其合作伙伴和技术的更多信息。
