當(dāng)公司有強(qiáng)烈的要求將基于Web的應(yīng)用程序整合到他們的商業(yè)系統(tǒng)的時(shí)候, 他們可以使用SSL協(xié)議來保護(hù)應(yīng)用程序和用戶之間的信息的交換..這篇文章分析了當(dāng)前基于SSLWeb站點(diǎn)的可測量性問題和整合的細(xì)節(jié), 例如 DellTM PowerEdgeTM Load Balancing Server-BIG-IP® Powered (formerly Dell PowerApp.BIG-IP), 能與SSL管理進(jìn)行整合。
評價(jià)普通SSL的實(shí)施
一部分SSL的實(shí)施是基于軟件的解決方案.在這種實(shí)施中, 服務(wù)器通過SSL連接與客戶端連接然后在軟件級別上執(zhí)行加密和解密. SSL握手, 實(shí)際上是客戶端和服務(wù)器端協(xié)商使用哪種運(yùn)算法則和密鑰, 是一個(gè)處理器的操作. 因?yàn)閳?zhí)行握手過程和運(yùn)行應(yīng)用程序需要消耗大量的資源因此連接到這臺(tái)服務(wù)器上的客戶端的數(shù)量受到限制. 如果想連接更多的客戶端需要更多的能力更強(qiáng)的服務(wù)器。
第二種SSL的實(shí)施是通過添加額外獨(dú)立的SSL加速卡實(shí)現(xiàn)的, 例如roadcom CryptoNetXM 卡, 對于每個(gè)Web 服務(wù)器. SSL 通信量并不會(huì)對整個(gè)網(wǎng)絡(luò)流量帶來影響, 但是它加重了處理網(wǎng)絡(luò)流量的服務(wù)器的負(fù)擔(dān). 使用加密方式通信的Web站點(diǎn)和Web應(yīng)用程序可能會(huì)因?yàn)閃eb站點(diǎn)流量的增加而出現(xiàn)響應(yīng)時(shí)間的延遲.為每個(gè)Web服務(wù)器增加SSL加速卡可以避免Web站點(diǎn)和Web應(yīng)用程序出現(xiàn)這種延遲. 當(dāng)SSL協(xié)商過程被SSL加速卡來進(jìn)行處理后可以將服務(wù)器的處理器解脫出來用來處理其他的內(nèi)容和應(yīng)用程序。
為了管理更高級別的流量, 管理員能夠?qū)⒍鄠€(gè)Web服務(wù)器組織成一個(gè)Web組(看 圖1). 這個(gè)組中的每個(gè)Web服務(wù)器必須安裝有內(nèi)置的加速卡以便能夠提供SSL握手的處理. 這種SSL基本結(jié)構(gòu)比基于軟件方式的SSL或使用加速卡的單個(gè)Web服務(wù)器的性能要好的多, 但是它也有以下的幾個(gè)局限性。
圖1:一個(gè)標(biāo)準(zhǔn)的SSL實(shí)施: Web服務(wù)器組
測量Web服務(wù)器組的局限性
因?yàn)樵S多服務(wù)器使用不同的加密技術(shù)來加密數(shù)據(jù)因此管理這樣一個(gè)Web服務(wù)器組會(huì)花費(fèi)比較大并比較復(fù)雜. 在一個(gè)傳統(tǒng)的采用負(fù)載均衡的Web服務(wù)器陣列中, 每個(gè)處理加密數(shù)據(jù)的服務(wù)器要求有一個(gè)SSL加速卡和一個(gè)數(shù)字證書. 一個(gè)數(shù)字證書是被CA簽署的一個(gè)電子認(rèn)證標(biāo)識(shí). 在加密通信方面提供了身份一致性的驗(yàn)證.
為了從CA獲得一個(gè)數(shù)字證書, 管理員必須創(chuàng)建一個(gè)公鑰對和CSR, 然后提交這些項(xiàng)目給CA. 這個(gè)過程被Web組中的每個(gè)服務(wù)器重復(fù)進(jìn)行. 數(shù)字證書僅僅是在有限的時(shí)間內(nèi)是正確的, 當(dāng)證書過期后管理員還必須重新獲得證書.
不但管理這些支持 SSL 特性的服務(wù)器是耗時(shí)的、而且成本很高。技術(shù)的進(jìn)步可以降低SSL 加速卡的成本,但是仍然很昂貴。并且每次認(rèn)證到期后,都必須從CA 重新購買。這種花費(fèi)成本極大的增加采購與管理支持SSL 特性的服務(wù)器成本。
將 SSL基礎(chǔ)結(jié)構(gòu)和BIG-IP整合在一起
一種集中和簡單的管理SSL Web組的方式是通過Dell PowerEdge Load Balancing Server-BIG-IP Powered 實(shí)現(xiàn)負(fù)載均衡, 一般稱之為BIG-IP. BIG-IP 是一個(gè)運(yùn)行有BIG-IP 負(fù)載均衡軟件的Dell PowerEdge服務(wù)器. 它通過SSL加速卡實(shí)現(xiàn)SSL的 off-loading 同時(shí)還可以實(shí)現(xiàn)應(yīng)用層和IP層的負(fù)載均衡. 一般作為冗余對, 這個(gè)工具還提供了對關(guān)鍵Web結(jié)構(gòu)的高可用性的保證.
通過允許SSL的終結(jié),BIG-IP工具可以減少Web服務(wù)器組的管理性和成本. 使用SSL的終結(jié),前端的BIG-IP加密從客戶端接受的數(shù)據(jù)然后將它們發(fā)送到后端服務(wù)器. 后端服務(wù)器響應(yīng)這個(gè)請求后將完成的請求發(fā)送給BIG-IP, BIG-IP再重新解密數(shù)據(jù)然后發(fā)送會(huì)客戶端. 因?yàn)楹笈_(tái)服務(wù)器并不是直接參與SSL的處理, 它們不要求SSL硬件或數(shù)字證書;BIG-IP在只有考慮冗余性時(shí)才要求SSL硬件和數(shù)字證書. 在可測量性方面, BIG-IP工具每秒鐘最多能夠管理到800個(gè)加密處理事務(wù). SSL證書的集中管理減少了Web服務(wù)器組的復(fù)雜性和整體擁有成本.
在Web服務(wù)器環(huán)境中實(shí)現(xiàn)BIG-IP
大多數(shù)的BIG-IP把前端配置成一個(gè)應(yīng)用服務(wù)器陣列. 這些服務(wù)器可能組成了一個(gè)數(shù)據(jù)庫, cache池, 防火墻, 郵件交換組, 虛擬專用網(wǎng)絡(luò), 或Web服務(wù)器組. 這一部分詳細(xì)解釋一下管理員如何實(shí)現(xiàn)BIG-IP冗余的,一個(gè)處于活動(dòng)狀態(tài)另一個(gè)則處于備用狀態(tài), 前端的Web服務(wù)器組包括了兩類服務(wù)器, 一類滿足SSL的處理,另一類進(jìn)行內(nèi)容的解密. 圖 2 顯示了BIG-IP實(shí)現(xiàn)的例子.
圖2:使用BIG-IP實(shí)現(xiàn)SSL的集中管理
BIG-IP的網(wǎng)絡(luò)設(shè)置
管理員必須首先配置BIG-IP對.使用Dell的快速部署工具, 管理員能配置基本的主機(jī)和網(wǎng)絡(luò)信息, 例如VLAN, 主機(jī)名稱,Web管理員的名稱以及密碼.
在這里例子中使用三個(gè)VLAN: 一個(gè)為外部的網(wǎng)絡(luò)服務(wù)(自身的IP 153.142.10.111-112/255.255.255.0, 第二個(gè) IP 153.142.10.115) 另外兩個(gè)為內(nèi)部網(wǎng)絡(luò)服務(wù)自身的IP 192.168.10.101-102/255.255.255.0, 第二個(gè) IP 192.168.10.100; 自身的IP 10.10.10.101-102/255.255.255.0, 第二個(gè) IP 10.10.10.100). 自身的 IP是每個(gè)BIG-IP與VLAN通信的IP地址. 第二個(gè)IP是由冗余對中的活動(dòng)的BIG-IP使用的與其他的服務(wù)器中的BIG-IP連接. 在兩個(gè)內(nèi)部的網(wǎng)絡(luò)中, 一個(gè) (192.168.10.X) 是與提供安全處理的電子商務(wù)服務(wù)器連接,另一個(gè)與提供解密內(nèi)容的Web服務(wù)器連接.
網(wǎng)絡(luò)管理員是在配置初始時(shí)定義的, 能通過任何網(wǎng)絡(luò)訪問BIG-IP配置工具. 這個(gè)基于Web的工具允許管理員創(chuàng)建緩沖池和虛擬服務(wù)器以及管理節(jié)點(diǎn). 管理員也可以通過在一個(gè)內(nèi)部網(wǎng)絡(luò)中的主機(jī)的瀏覽器中輸入https://192.168.10.100/ 或https://10.10.10.100/來訪問這個(gè)活動(dòng)的BIG-IP的配置工具.
一旦連接到配置工具, 管理員能夠?qū)⒑笈_(tái)的服務(wù)器組織到兩個(gè)分別稱為SECURE 和WEB 的不同的緩沖池中. SECURE 緩沖池包括IP地址為192.168.10.X 的服務(wù)器, 這種服務(wù)器能夠運(yùn)行應(yīng)用程序和處理器從客戶端收到的請求. WEB緩沖池由IP地址為10.10.10.X 的Web服務(wù)器組成, 這種服務(wù)器進(jìn)行有規(guī)則的數(shù)據(jù)操作. 在BIG-IP上創(chuàng)建兩個(gè)虛擬的服務(wù)器: VS1 (153.142.10.101) 駐留在前端的SECURE 緩沖池中,而VS2 (153.142.10.102) 駐留在前端的WEB緩沖池中. VS1和VS2的DNS名稱分別為https://buy.compxyz.com 和 http://www.compxyz.com. 管理員現(xiàn)在可以通過將冗余的BIG-IP與活動(dòng)的BIG-IP進(jìn)行同步以便它們能夠保持相同的狀態(tài).
當(dāng)完成了BIG-IP系統(tǒng)的配置后, 管理員改變了后臺(tái)Web服務(wù)器的默認(rèn)網(wǎng)關(guān)以便使它指向BIG-IP的內(nèi)部接口. 為了完成這個(gè)任務(wù), 管理員將電子商務(wù)服務(wù)器的默認(rèn)網(wǎng)關(guān)改為192.168.10.100 ,將Web服務(wù)器的默認(rèn)網(wǎng)關(guān)改為10.10.10.100.
配置SSL終結(jié)
為了配置SSL 終結(jié),管理員必須獲得由CA認(rèn)證的證書 并架設(shè)一個(gè)SSL代理. 管理員使用配置工具產(chǎn)生一個(gè)CSR并將它提交給CA. 當(dāng)接收到一個(gè)正確的證書后, 管理員將它安裝到一個(gè)BIG-IP上.
當(dāng)在BIG-IP對上安裝完了證書后, 管理員改變VS1的地址(就是駐留在前端的SECURE 池中的)為127.0.0.1. 管理員然后創(chuàng)建一個(gè)SSL代理給它分配一個(gè)IP地址為153.142.10.100; 它的目標(biāo)虛擬服務(wù)器是VS1. 客戶端也能夠通過https://153.142.10.100/訪問這個(gè)安全站點(diǎn).當(dāng)加密數(shù)據(jù)到達(dá)IP地址為153.142.10.100的SSL代理后,它首先解密,然后發(fā)送到VS1, 并最終轉(zhuǎn)到SECURE 緩沖池.
提供持續(xù)性工作
配置的最后的步驟是提供這個(gè)Web服務(wù)器組的持續(xù)運(yùn)行. 因?yàn)锽IG-IP解密所有的數(shù)據(jù),更多的持續(xù)性選項(xiàng)變得可用. BIG-IP能夠持續(xù)的檢測信息的 HTTP報(bào)頭例如SSL 任務(wù)IDs 或 HTTP cookies. 更新的Microsoft IE瀏覽器 包括了一個(gè)安全功能,能夠重新判斷Web 服務(wù)器上的SSL任務(wù)的.
由于 BIG-IP 可以解密所有數(shù)據(jù),因此就可以應(yīng)用更多可用選項(xiàng)。BIG-IP 可以檢查 HTTP 頭并根據(jù)SSL 會(huì)話ID 或HHTP Cookies的信息完成連續(xù)執(zhí)行操作。新版本的 Microsoft® Internet Explorer 瀏覽器包含安全特性可以與Web服務(wù)器的SSL 會(huì)話 ID 完成重新數(shù)據(jù)協(xié)商操作。該特性根據(jù)會(huì)話ID 持續(xù)運(yùn)行因此不適合應(yīng)用于電子商務(wù)Web站點(diǎn),但是非常適用于負(fù)載均衡其它加密應(yīng)用程序。
BIG-IP 工具提供了四種類型的基于HTTP cookie 的persistence:插入模式, 重寫模式,被動(dòng)模式, 和 細(xì)分模式 mode. 在插入模式中, BIG-IP創(chuàng)建和寫cookie到服務(wù)器響應(yīng)的HTTP報(bào)頭中. 在重寫模式中, 服務(wù)器創(chuàng)建cookie 但是被會(huì)被BIG-IP覆蓋. 在被動(dòng)模式中, 后臺(tái)服務(wù)器創(chuàng)建cookie, 這中間包括了足夠的供BIG-IP負(fù)載均衡流量的使用的信息.在細(xì)分模式中,BIG-IP 創(chuàng)建一個(gè)cookie 的細(xì)分以便返回的通信能夠被傳送到負(fù)載均衡組中的正確的服務(wù)器中.
為了避免對后臺(tái)服務(wù)器的任何重新配置, 管理員選擇插入模式cookie. 當(dāng)一個(gè)客戶返回到一個(gè)Web 站點(diǎn)時(shí), 他通過cookie 就已經(jīng)駐留在BIG-IP中了. 該站點(diǎn)的信息就已經(jīng)存儲(chǔ)在cookie 中, 當(dāng)客戶下次再訪問這個(gè)站點(diǎn)時(shí)會(huì)很快的顯示出來了. 管理員通過persistence 功能可以提供一個(gè)完整的電子商務(wù)站點(diǎn)了.
發(fā)現(xiàn)BIG-IP另外的好處
BIG-IP工具提供了幾個(gè)SSL實(shí)施之外的功能.它能負(fù)載均衡各種不同類型的應(yīng)用程序,,或后臺(tái)數(shù)據(jù)庫. 在一個(gè)單一的Web組中, 一個(gè)BIG-IP也能檢測進(jìn)入的通信的HTTP的報(bào)頭然后將它們直接發(fā)送給不同類的服務(wù)器.
使用BIG-IP進(jìn)行集中的SSL管理
Dell PowerEdge Load Balancing Server-BIG-IP Powered 提供了一種性價(jià)比很高的方法來管理當(dāng)今復(fù)雜的Web服務(wù)器結(jié)構(gòu)中的Web站點(diǎn)的加密性. 通過結(jié)合SSL證書管理, BIG-IP 幫助我們減少了復(fù)雜性和整體擁有成本; 通過對SSL流量的負(fù)載均衡, BIG-IP增加了Web站點(diǎn)的性能.
