05
2017
12

白话https的传输原理以及管控方式以及SSL加密!

说到https,不得不提http(HyperText Transfer Protocol)这个互联网上用的最广泛的网络协议,其技术架构,协议功能,协议原理百度或者google都有详细解释。而https(Hyper Text Transfer Protocol over Secure Socket Layer)多就多在这个S上,SSL加密,通常理解,https就是http加入SSL加密层变成以安全为目标的http传输。那么SSL是个啥呢,SSL是一个目前应用非常广泛的一种非对称加密方式,也是公认破解不了的。安全,又好用,所以才能广泛应用,除了http,邮件的pop3,smtp,IM通讯等等,都能用上,是个很好的加密方式。起初用https通常都是金融类网站用到财务交易,时光如水,岁月如歌,IT技术一日百里的飞速发展,现在很多门户网站,企业网站也都逐渐使用https协议,这个也是事实的趋势。概念就是这个概念了,那么https如何监控管理呢?以下说明是献给非专业IT技术人员,非专业码农的。为了大家都能明白,可能有些叙述比较幼稚和粗浅,请多多理解。

1.https是如何监控管理的呢,又要从http的传输说起。(叙述的比较粗浅,非专业水平,就是让大家有个概念性理解就行,太专业的词汇扯起来也不明白就不装腔了)为了更好的理解,先说http传输,将A比作客户端,C比作网站端。A说我要苹果,C就给A传一个苹果,这个时候可以想象成,互联网上无数的苹果在裸奔。

白话https管控1.jpg

所以市面上专业带审计功能上网行为管理软件,硬件都能记录到HTTP的网页浏览链接,域名,标题。如果连这点都做不到,或者就是记录一个简单的域名,那么这款产品和专业上网审计就不搭边了,很多路由号称也有上网审计功能,扯呼。路由是路由芯片来的,几乎没法对上网做审计。

2.下面就要解释https的传输了,如果说http传输是裸奔的苹果,那么https的传输则是被锁起来的苹果在奔跑,解锁的只要网站端和用户端了。这个时候互联网上飘着很多锁,但是锁里面的是苹果还是橘子不知道,也没法解出来,这个锁就是SSL不对称加密,直接解是解不了的。

白话https管控2.jpg

白话https管控2.jpg















3.https解不了,不代表没有办法哦,有个专业技术“中间人技术”原理,源码都有公开,但是做的好坏,也看各家技术上专研的态度以及愿意用多少时间和成本放在技术上了。看图解释,(这个中间人是两面派,在客户端面前扮演网络端,在网络端面前扮演客户端,把网络端和客户端加密的传输的苹果自己也加密传输给对方获取对方的密钥从而解析到解密的数据)中间人技术用在HTTPS监控上的不如用在SSL加密上的普遍,到底记录了员工的网页浏览也只是追踪了员工上网痕迹分析他们工作动态,信息安全上,一般用在邮件监控方面,所以拥有HTTPS监控的方案的产品,客户端邮件基本都能监控到。中间人技术不是什么高深技术,但是一定是一个专业技术。

201712281514455254819523.jpg

4.实际应用:那么在实际应用中,什么样的产品才有有这样的专业技术用来全方位网络管理?首先,所有的路由都不可以,中间人技术比较耗资源,路由架构以及路由芯片承载不了,在高端,在大牌,在怎么说是上网行为管理的路由,都没有哦。有的都是硬件防火墙,网关,x86架构专业工控机,PC,或者服务器系列才可。

中间人技术一般用在两个方面比较多,局域网网络监控以及专业的硬件防火墙,专业硬件防火墙用中间人技术,一般都是用来杀毒的。局域网网络监控用来监控HTTPS浏览,以及SSL加密邮件的记录。有两种非常典型的实际应用,两个恰恰侧重点偏的不一样。Unangel 第二代防火墙,侧重防火墙和过滤,中间人技术应用在杀毒和过滤上。WSG上网行为管理网关,侧重上网行为管理和内容审计,中间人技术应用在内容审计以及过滤上。

a,untangel:第二代防火墙,专业防火墙加网络管理 侧重防火墙以及应用网站过滤。价格牛产品牛,系统开放,有条件可以试试,网站介绍,他们号称开源,不过估计瞎扯淡了。

201801191516360233118757.png

b.WSG上网行为管理网关,基本防火墙加网络管理 侧重上网行为记录,以及应用过滤网站过滤,中间技术用在用在SSL邮件监控以及HTTPS网站监控上,内容过滤。亲民产品,系统开放有技术条件用户都可以测试使用。

201801241516761701170004.png

201801241516761734650560.png

« 上一篇 下一篇 »