面臨流量加密機制已普遍採用的態是，企業想要管理網路，勢必要能夠掌握這種類型的流量，後續才能加以彙整與分析。不過，由於以往加密流量應用比例並不多，利用封鎖的手段便能因應，許多企業便沒有特別採取相關的流量解析措施。

現在，若是想要轉換管理的角度，改從流量的內容監控及分析下手，企業還是要依據自身的網路環境進行評估，才能買到合適的產品。

隨著加密措施在網路流量上的應用，日漸普及，市面上的許多資安設備，包含了防火牆、IPS、網頁安全閘道等，也順應這種趨勢，內建了有關SSL流量解密的功能。

不過，企業若是因為透視流量的目的，將每一樣網路設備，全數汰換為具備相關能力的產品，往往需要花費大量的金錢，不僅資訊預算難以因應，即便採購了這些新設備上線後，極有可能因為解密耗費大量的運算資源，以及設備之間衍生的相容性等情形，對網路效能帶來極大的衝擊。

從目前現有的網路流量加解密設備來看，大致上可為兩種企業架構的型態進行區隔：若是想要與企業裡本身已建置的多種型態防護措施，互相搭配使用，那麼，經由能夠拆解流量的專屬設備，解開流量後，再複製需要檢查的特定類型流量，交給企業中現有的資安設備分析，藉此減少需逐項資安設備升級的情況，或許是較為務實，且架構上變動較少的做法。

反之，假如企業的網路架構較為單純，想要採用多功能的單臺設備，在解析流量內容之餘，兼顧檢測其中是否含有潛在的威脅，也許次世代防火牆會是一時之選。

但這兩種型態的解決方案，都各有其特色，專屬的加密流量管理（Encrypted Traffic Management，ETM）設備，基本上只負責流量的解密與加密，解開後的內容分析，企業通常要傳送到其他的資安設施檢查。

而一機多用的次世代防火牆設備，則是面臨要同時身兼流量解密與各種威脅解析的任務時，其效能負荷可能會出現吃緊的情形。

再者，若是為了找出潛藏在流量裡的威脅，企業勢必需要長期收集流量的內容，但是，加密流量管理設備本身，多半沒有保留記錄的功能，而一機多用的設備，可存放容量則是相當有限，因此，企業也應該搭配像是資安事件管理平臺（SIEM）、內部威脅分析系統（UEBA），或是端點偵測與回應系統（EDR）等解決方案，加以彙整網路流量上的事件記錄，進行長期列管，並且定期執行進階分析。

｜次世代防火牆列管所有進出流量｜具有多功能的次世代防火牆設備，便能同時將加密流量納入管理，並分析其中是否隱含潛在的威脅。以圖中Palo Alto的防火牆管理介面而言，在網路行為監控的儀表板上，就能看出SSL加密流量的比例，接近總流量的一半，此外，其中Gmail與YouTube網站的流量，同樣也採取了加密連線措施。圖片來源／Palo Alto

專屬流量管理設備能與資安設備分工，解密後進行分流

從流量解密的角度來看，雖然不論是上網安全閘道、資料外洩防護設備，還是入侵防禦系統等資安設備，許多產品已經內建了相關功能，然而，由於解密的過程中，會消耗非常多的運算資源，依據NSS實驗室的研究指出，光是啟用防火牆內建的SSL解密功能，這類型設備便只剩下不到20%的效能，大幅影響企業網路的運作。

因此，透過專用的加密流量管理設備，一站式處理解密流程，便是這種型態產品的主要訴求，具有代表性的廠商，包含了Citrix、F5、Gigamon、Symantec等品牌。

其中，Citrix和F5的SSL產品線，可說是從應用程式交付控制器（ADC）發展而來，因此在主動（Active）分流，以及被動（Passive）複製流量之餘，這兩個廠牌的設備，也能利用多臺設備分工──一臺將流量解密，供企業部署的各式資安防護設備檢查之後，再由另一臺設備重新加密流量後，交給接收端，這種做法，一般稱為三明治架構。

不過，由於這樣的機制中，資安設備是逐一串連在網路閘道及加解密設備之間，因此，其中的資安設備本身，都要具備旁路功能，才能在其中一個設備出現異常時，仍能維持整個流量解析的過程，繼續進行。

因此，許多品牌的加密流量管理設備，都普遍訴求能採用單機的方式部署，並提供了主動與被動的流量派送措施。所謂的主動模式，就是加解密設備將特定的流量，送到資安設備，經由資安設備檢測之後，再將這些流量傳回加解密設備加密；而被動模式的作法，則是由加解密設備將流量進行複製後，再將複製後的流量，交給資安設備進行檢測。這兩種方式各有其特點，但都解決了以往在網路流量傳遞的問題，也就是，能直接透過加解密設備直接採取旁路措施，跳過有問題的資安設備。

雖然，單機加解密設備的做法，可應付其中的某項資安設備出現異常時，不致影響其他流量檢查的執行，也能正常傳送網路流量。然而，面對各式網路架構型態，加解密設備單機執行的做法，未必能夠一體適用，因此企業導入這類設備之前，仍需檢視自己的網路結構，才能選擇真正合用的設備。

在設備加解密流程的安排上，應用程式交付控制器的做法，也開始整合其他防護機制，例如，Citrix的NetScaler SDX設備，就在內建功能之餘，也提供企業在同一臺設備裡，增加其他品牌的防護產品（像是資料外洩防護機制），該公司稱這種做法為超融合負載平衡（Hyper Converged Load Balance）。而針對加密流量內容的分析，以及憑證的管理，他們也推出了Management and Analytics System平臺，供企業搭配。

同樣在應用程式交付控制器型態的設備而言，針對大型企業，F5訴求採用了軟體模組化與刀鋒設備機制，藉此提供了向上與向外擴展的特性，在加密封包的處理上，能減少因為硬體設備的限制，而出現網路架構疊床架屋的情形。

在併購Blue Coat之後，Symantec也納入了SSL Visibility Appliance，跨足加密流量管理。其產品容易部署，他們宣稱，設備架設完成後，配置參數大約只需花費10分鐘，算是相當快速。再者，這款解密設備提供了即時流量記錄報表，能夠監控當下執行的情形。從產品的機種來看，他們擁有較小的型號SV800-250M可選，適用於約300人規模的企業。

｜常見的加密連線協定與演算法名稱｜能夠管理加密流量的設備，通常也能識別未加密流量的型態，像是電子郵件的POP3與SMTP等，不過，值得留意的是，許多流量並預設並不會檢查，而是採取直接放行的做法，像是常用於VPN的IPsec協定，或是Cisco網路設備專屬的ISL協定等。而在流量的加密方式而言，常見加密套件（Cipher suite）與金鑰演算法，現行設備普遍都能處理。圖片來源／Symantec

包辦解析流量與內容分析，次世代防火牆統整威脅檢測流程

相較於專屬設備，原本就以SSL流量檢測而著稱的次世代防火牆，同時兼具多項資安檢測的功能，包含了掃毒、偵測惡意軟體、防入侵偵測等等，不過，這樣的做法，勢必考驗了防火牆設備本身的處理能力，以及硬體資源能否負荷。隨著時代的演進，現在的次世代防火牆設備，普遍也能因應加密流量解密所帶來的衝擊。

次世代防火牆不只功能豐富，價格也較專屬設備來得親民許多，規模不大的企業也有適用的機種可選。像我們之前就曾介紹過，能以十萬元左右的預算，買到的小型次世代防火牆設備，這種產品就適用於50人以下的企業。而且，具有相關產品的廠牌也很多，包含了Cisco、Check Point、Palo Alto、SonicWall、Sophos等，企業也有國產廠牌可選，像是合勤、眾至，以及利基網路，都具備了這種類型的設備。

以次世代防火牆起家的Palo Alto而言，他們的PA系列設備便強調能依據流量內容、應用程式，以及使用者身份，包辦流量拆解與檢測的任務。因此，相較於專屬的加解密設備，原廠認為，在惡意流量出現時，PA系列的設備能較為即時阻擋有關的威脅。在新版的PANOS 8.1中，企業如有其他的資安設備，PA系列防火牆將流量檢測完成後，也能交由這些設備額外分析。

也有廠商採取與端點防毒軟體搭配，形成聯合防禦的做法，例如，Sophos推出的XG系列次世代防火牆，能取得公司內部，由Sophos Endpoint Protection列管的電腦狀態，藉此自動判斷是否阻擋來自特定來源或目的地的連線。而針對加密流量中疑似惡意威脅的內容，XG系列也能交由Sandstorm雲端沙箱，執行進一步的檢查。

而對於潛在的威脅，Cisco的ASA與Firepower系列次世代防火牆設備，則提供了進階流量分析的功能可選，也就是Advanced Malware Protection，讓企業搭配後，找出防火牆流量中的異常記錄。

雖說防火牆與UTM設備的品牌，大多是外國廠商，但其實我們也有國產品牌可選。像是合勤就提供了USG系列的次世代防火牆設備，而在2017年，他們更是訴求能簡化多分公司的網路管理，另闢Nebula NSG產品線，可由Nebula雲端主控臺，集中控管這些次世代防火牆。

近期加入次世代防火牆戰場的，還有眾至資訊，他們在2016年底，推出了NU系列設備，強調提供次世代防火牆的加密流量防護能力之餘，也具備核心交換器的能力。此外，他們強調NU系列的防火牆設備，內建了深度封包檢測（Deep Packet Inspection，DPI）的能力，可檢查封包的內容，並依據內容分類，管理者也可透過防火牆，嚴格控管使用者，限制所執行的應用程式。

從提供使用者上網的行為監控、側錄，推出專屬管理設備的利基網路，他們也規畫更新旗下的次世代防火牆產品──InstantArray，產品本身採用獨立板卡分工運算的架構，強調能有良好的處理效能。而與之前設備最大的差異，則是他們終於將管理介面合一，網管人員只需透過瀏覽器就能管理，不需額外在電腦上安裝軟體，才能控管上網行為。

即將到來的新興規格將是挑戰

上述各式的流量解析設備，適用的情境完全取決於企業的網路環境型態，但無論選擇的是專屬解密設備，還是多功能的次世代防火牆，接下來企業也要注意，這些設備能否支援即將推出的TLS 1.3通訊協定。

目前最普遍，也最為廣泛應用的加密流量方式，是已經推出9年以上的TLS 1.2版，而最新的1.3版尚在草案階段，強調大幅改善加密連線交握程序的安全性，並經由流程的調整，能夠更快建立連線。此外，過往為求向下相容，卻成為有心人士用來攻擊的情況，TLS 1.3則是加入了偵測機制，減少此類刻意降級的情況發生。

即使TLS 1.3仍在草案階段，不過，目前主要的瀏覽器已經開始支援，也有大型的網站服務，包含Gmail、Facebook、Cloudflare等，開始採用這個協定，雖然規格尚未正式推出，但TLS 1.3成為下一個加密連線的標準，將是指日可待，因此，企業日後勢必要能解析這種流量。

從另一個角度來看，我們這次介紹的廠商中，Symantec、利基網路等，都已經開始支援TLS 1.3，Citrix則是在測試版軟體加入，供企業先進行評估，顯示訴求更加安全的新標準，也幾乎要準備成形。不過，也有廠商持保留態度，F5與Gigamon就認為，TLS 1.3成為正式標準前，仍有許多變數，因此尚未支援。

透視加密流量為企業帶來的挑戰

導入能夠解密SSL流量的解決方案時，為了確保能長久使用，有限的預算也花在刀口上，並且維持企業的生產力，有幾件事是企業需要特別留意的：

｜1. 透視流量型態的能力｜對於SSL加密流量的解密與再加密程序中，同時要能識別出含有隱私資料的內容，直接保留送到目的地，以免觸法。

｜2. 能提供流量分流｜SSL檢測產品必須能將指定的流量，解密後導向一或多個資安設備，像是網頁安全閘道、資料外洩防護設備（DLP）、入侵防禦系統（IPS）等，供其檢查、分析。

｜3. 具備檢測彈性｜針對可能假冒其他型態的加密流量，例如，採用非標準TCP連接埠傳輸的流量，以HTTPS而言，就是使用443 埠以外的接口。解決方案必須提供動態條件的執行解密機制，才不致造成漏網之魚。

｜4. 安全性 SSL｜流量檢測設備也應避免自己成為攻擊目標，因此最好不應該擁有自己的IP位址。

｜5. 可擴充性｜加密流量逐年不斷增加，因此加解密設備也需要擁有擴充能力。

｜6. 高可用性（HA）｜為了避免連接的資安設備異常停機，造成流量檢測過程受到停擺，加解密設備必須提供自動切換為旁路的功能。

｜4種加密流量處理與分析的網路架構｜在針對企業內部設備與外部網際網路連線的過程中，不同型態的加解密設備，提供的流量處理過程，也有所差異。但不論那種加解密設備，通常都是部署在網路邊際區（DMZ），介於企業對外的防火牆，以及對內的路由器之間。

分別以2臺設備各別執行解密與加密的架構，是最早期應用程式交付控制器（ADC）設備的做法，但現在這種類型的設備，普遍也能以單一設備處理解密與加密，然後分流（Active模式），或複製解密流量（Passive模式）給資安設備。

而訴求流量分流功能型態的加密流量控管設備，則是提供分流與複製解密流量的做法，但無法像應用程式傳輸控制器，採取加解密分工的做法。

次世代防火牆則納入了威脅分析機制，在解密流量之後，由設備內建的IPS、防毒功能等，直接檢查。圖片來源／Symantec