为了保护敏感数据在互联网传送中的安全性,越来越多的网站都采用SSL加密形式发布,比如网上银行、在线交易系统等,甚至一些病毒、色情、反动以及钓鱼网站也采用SSL加密技术。然而,传统的安全设备并不能扫描加密的信道,因此也就不能对SSL加密网站的内容进行识别和过滤。针对该问题,Hillstone安全网关提供能够解密SSL流量的SSL代理功能。通过SSL代理功能与上网行为管理功能结合使用,安全网关能够对用户访问含有特定关键字的HTTPS站点以及发送Gmail加密邮件的网络行为进行控制。下图为SSL代理功能示意图:
如图所示,SSL代理功能利用SSL代理证书替换加密Web站点的数字证书,并将SSL代理证书签发到客户端的Web浏览器,在此过程中,安全网关分别作为SSL客户端和SSL服务器与Web服务器和Web浏览器建立SSL连接,从而获得加密通信的明文内容。SSL代理证书是使用设备本身的证书对Web服务器证书重新签发而成的证书。
