筆者最近參加了廣西密碼鑄盾八桂行和武漢網(wǎng)安創(chuàng)新論壇兩個(gè)重要的會(huì)議，同時(shí)走訪了湖南、湖北、廣東、廣西和福建5省的合作伙伴和意向客戶，發(fā)現(xiàn)無(wú)論是密碼企業(yè)還是網(wǎng)安企業(yè)，還有用戶，都對(duì)SSL VPN網(wǎng)關(guān)的作用和用途有誤解和歧義。所以有必要寫篇文章來(lái)講清楚SSL VPN網(wǎng)關(guān)與HTTPS加密網(wǎng)關(guān)有什么不同，應(yīng)該如何選購(gòu)合適的網(wǎng)關(guān)產(chǎn)品來(lái)滿足用戶業(yè)務(wù)系統(tǒng)的HTTPS加密需求。

SSL VPN網(wǎng)關(guān)僅用于遠(yuǎn)程安全接入

根據(jù)百度百科的定義：SSL VPN 指采用SSL協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN(虛擬專用網(wǎng))技術(shù)。它包括：服務(wù)器認(rèn)證、客戶認(rèn)證、SSL鏈路上的數(shù)據(jù)完整性和保密性。SSL VPN是一種既簡(jiǎn)單又安全的遠(yuǎn)程隧道訪問(wèn)技術(shù)，使用非常簡(jiǎn)單。與IPSec VPN相比，SSL VPN具有架構(gòu)簡(jiǎn)單、運(yùn)營(yíng)成本低、安全性能高的特點(diǎn)，所以在企業(yè)用戶中得到大規(guī)模的使用。

SSL VPN網(wǎng)關(guān)是一種遠(yuǎn)程接入設(shè)備，實(shí)現(xiàn)在外地的員工可以通過(guò)互聯(lián)網(wǎng)使用瀏覽器以HTTPS加密方式訪問(wèn)位于內(nèi)網(wǎng)的Web應(yīng)用系統(tǒng)。SSL VPN網(wǎng)關(guān)當(dāng)然也需要部署SSL證書(shū)實(shí)現(xiàn)HTTPS加密，國(guó)內(nèi)廠商的SSL VPN網(wǎng)關(guān)是默認(rèn)配置了一張自簽的瀏覽器不信任的SSL證書(shū)，用戶要么在使用時(shí)接受不安全警告繼續(xù)使用，要么自己花錢向CA購(gòu)買一張SSL證書(shū)部署后使用。

但是，現(xiàn)在大家都把這個(gè)用于遠(yuǎn)程安全接入內(nèi)網(wǎng)Web應(yīng)用的設(shè)備當(dāng)成了實(shí)現(xiàn)公網(wǎng)網(wǎng)站HTTPS加密的設(shè)備，這就是用錯(cuò)地方了，不僅達(dá)不到公網(wǎng)HTTPS加密所需的快速響應(yīng)用戶請(qǐng)求的要求，而且有可能把整個(gè)內(nèi)網(wǎng)都暴露到了互聯(lián)網(wǎng)上，非常不安全。因?yàn)橛糜赟SL VPN接入的用戶應(yīng)該是內(nèi)部員工，但如果用于互聯(lián)網(wǎng)用戶都可以訪問(wèn)的公網(wǎng)網(wǎng)站那就有很大的安全隱患了。

HTTPS加密網(wǎng)關(guān)專用于實(shí)現(xiàn)網(wǎng)站HTTPS加密

筆者試圖搜一下百度百科對(duì)“HTTPS加密網(wǎng)關(guān)”的定義，很遺憾沒(méi)有搜到，這很正常，因?yàn)檫@是一個(gè)專用于公網(wǎng)網(wǎng)站實(shí)現(xiàn)HTTPS加密的新型網(wǎng)關(guān)產(chǎn)品。

網(wǎng)站要實(shí)現(xiàn)HTTPS加密，通常是直接在Web服務(wù)器上部署SSL證書(shū)。但是有些用戶不希望Web服務(wù)器暴露在互聯(lián)網(wǎng)上，就得部署一個(gè)前置網(wǎng)關(guān)來(lái)實(shí)現(xiàn)HTTPS加密，SSL VPN網(wǎng)關(guān)就變成了首選，因?yàn)榇蠹叶际煜み@個(gè)產(chǎn)品，也可以實(shí)現(xiàn)HTTPS加密，但是這是一個(gè)錯(cuò)誤的選擇，因?yàn)橛脩粜枰氖菍?shí)現(xiàn)網(wǎng)站HTTPS加密，而不是用戶遠(yuǎn)程接入內(nèi)網(wǎng)。但是，對(duì)于用戶來(lái)講，這也是一個(gè)無(wú)奈的選擇，因?yàn)榘踩珡S商給用戶推薦的方案就是部署SSL VPN網(wǎng)關(guān)，沒(méi)有別的選擇。

所以，HTTPS加密網(wǎng)關(guān)就應(yīng)運(yùn)而生了，這是在普及HTTPS加密應(yīng)用的市場(chǎng)環(huán)境下誕生的新產(chǎn)品，一個(gè)可以實(shí)現(xiàn)HTTPS加密、HTTPS卸載和高速轉(zhuǎn)發(fā)的網(wǎng)關(guān)產(chǎn)品，一個(gè)Web應(yīng)用反向代理網(wǎng)關(guān)產(chǎn)品，一般采用具有高性能的反向代理能力的Nginx實(shí)現(xiàn)，類似于常用CDN和WAF服務(wù)的實(shí)現(xiàn)原理。

HTTPS加密網(wǎng)關(guān)一般內(nèi)置高速密碼卡，也就是早期常用的安裝在Web服務(wù)器上的SSL加密卡或SSL卸載卡，以實(shí)現(xiàn)快速HTTPS加密響應(yīng)和HTTPS解密卸載，并把卸載后的明文流量轉(zhuǎn)發(fā)給網(wǎng)關(guān)后面的Web服務(wù)器。這就是與SSL VPN網(wǎng)關(guān)的最大不同，不給訪問(wèn)者分配內(nèi)網(wǎng)IP地址直接訪問(wèn)內(nèi)網(wǎng)Web服務(wù)器，而且轉(zhuǎn)發(fā)訪問(wèn)者的數(shù)據(jù)請(qǐng)求到內(nèi)網(wǎng)Web服務(wù)器。

當(dāng)然，HTTPS加密網(wǎng)關(guān)也必須有SSL證書(shū)才能實(shí)現(xiàn)HTTPS加密，也需要用戶向CA購(gòu)買SSL證書(shū)并部署在網(wǎng)關(guān)上使用。這是同SSL VPN網(wǎng)關(guān)一樣的，但是不同的，HTTPS加密網(wǎng)關(guān)是為了減輕Web服務(wù)器的HTTPS加密負(fù)擔(dān)，無(wú)需在Web服務(wù)器上安裝SSL證書(shū)，專用于為Web服務(wù)器提供HTTPS加密卸載轉(zhuǎn)發(fā)服務(wù)的網(wǎng)關(guān)，不是用于用戶遠(yuǎn)程接入內(nèi)網(wǎng)Web服務(wù)器的網(wǎng)關(guān)。

用戶在選購(gòu)網(wǎng)關(guān)產(chǎn)品時(shí)一定要搞清楚自己的需求是為單位員工遠(yuǎn)程接入到單位內(nèi)網(wǎng)Web服務(wù)器，還是為公眾用戶提供HTTPS加密方式的Web服務(wù)(如公網(wǎng)網(wǎng)站和服務(wù)系統(tǒng))，前者選用SSL VPN網(wǎng)關(guān)，后者則選用HTTPS加密網(wǎng)關(guān)。

HTTPS加密自動(dòng)化網(wǎng)關(guān)和國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)，自動(dòng)化配置SSL證書(shū)

HTTPS加密網(wǎng)關(guān)提供的是一個(gè)前置Web代理服務(wù)，替Web服務(wù)器分擔(dān)了HTTPS加密工作，從而減輕Web服務(wù)器的加解密負(fù)擔(dān)而專用于業(yè)務(wù)系統(tǒng)，并且使得Web服務(wù)器不用直接暴露在互聯(lián)網(wǎng)上，讓位于網(wǎng)關(guān)后面的Web服務(wù)器更安全。

HTTPS加密自動(dòng)化網(wǎng)關(guān)，多了“自動(dòng)化”三個(gè)字，則是一個(gè)升級(jí)產(chǎn)品，實(shí)現(xiàn)了自動(dòng)化為網(wǎng)關(guān)配置SSL證書(shū)，用戶無(wú)需向CA申請(qǐng)SSL證書(shū)，這是把國(guó)際上流行的在Web服務(wù)器上安裝ACME客戶端軟件實(shí)現(xiàn)HTTPS加密的方案集成到網(wǎng)關(guān)上，國(guó)際網(wǎng)安大廠的所有相關(guān)設(shè)備都已經(jīng)實(shí)現(xiàn)了這個(gè)SSL證書(shū)自動(dòng)化管理功能。這當(dāng)然是用戶喜愛(ài)的功能。

國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)，則是自動(dòng)化配置國(guó)密SSL證書(shū)實(shí)現(xiàn)國(guó)密算法HTTPS加密，當(dāng)然一般都同時(shí)自動(dòng)化配置國(guó)際SSL證書(shū)，實(shí)現(xiàn)自適應(yīng)算法的HTTPS加密，這非常適合于我國(guó)要求完成的Web應(yīng)用國(guó)密改造，因?yàn)橛脩魺o(wú)需向CA申請(qǐng)國(guó)密SSL證書(shū)和國(guó)際SSL證書(shū)，只需配置網(wǎng)站域名即可自動(dòng)化部署雙算法雙SSL證書(shū)，實(shí)現(xiàn)HTTPS加密自動(dòng)化。

國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)，自動(dòng)化配置雙算法SSL證書(shū)和集成WAF服務(wù)

國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)就是一個(gè)自動(dòng)化配置雙算法(ECC/SM2)雙SSL證書(shū)的國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)產(chǎn)品，是我國(guó)首個(gè)也是目前唯一一個(gè)通過(guò)商用密碼產(chǎn)品認(rèn)證的專用于國(guó)密HTTPS加密自動(dòng)化的網(wǎng)關(guān)產(chǎn)品。不僅如此，為了保障Web應(yīng)用安全，還集成了高性能WAF系統(tǒng)，為用戶提供檢測(cè)能力和識(shí)別能力都為A級(jí)的Web應(yīng)用防火墻服務(wù)，所以，國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)也同時(shí)是一個(gè)國(guó)密WAF自動(dòng)化網(wǎng)關(guān)，可用于替代需要用戶手動(dòng)申請(qǐng)和部署SSL證書(shū)的傳統(tǒng)WAF設(shè)備。

國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)是一個(gè)高端高性能網(wǎng)站安全硬件密碼設(shè)備，是一個(gè)集https加密加速、https卸載轉(zhuǎn)發(fā)、國(guó)密算法模塊、SSL證書(shū)自動(dòng)化、WAF防護(hù)、負(fù)載均衡、雙向認(rèn)證等多項(xiàng)功能于一體的專用于Web網(wǎng)站系統(tǒng)https加速和卸載的硬件網(wǎng)關(guān)產(chǎn)品，內(nèi)置專業(yè)級(jí)高性能雙算法硬件密碼卡實(shí)現(xiàn)高速密碼運(yùn)算和網(wǎng)絡(luò)包轉(zhuǎn)發(fā)，并且對(duì)內(nèi)置操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、SSL/TLS協(xié)議、RSA/ECC算法和SM2算法都進(jìn)行了專業(yè)的深度優(yōu)化，實(shí)現(xiàn)了業(yè)界領(lǐng)先的極致性能：HTTPS并發(fā)連接數(shù)可達(dá)到150萬(wàn)、HTTPS加密吞吐量可達(dá)到9Gbps。

國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)最大的特點(diǎn)和特色是無(wú)需在原Web服務(wù)器上安裝SSL證書(shū)、自動(dòng)化為網(wǎng)站域名配置雙算法SSL證書(shū)，自動(dòng)化實(shí)現(xiàn)HTTPS加密，自適應(yīng)加密算法，支持國(guó)密算法和國(guó)密證書(shū)透明的瀏覽器采用SM2算法實(shí)現(xiàn)國(guó)密https加密，不支持國(guó)密算法和國(guó)密證書(shū)透明的瀏覽器采用ECC算法實(shí)現(xiàn)https加密。這是一個(gè)端云一體的創(chuàng)新解決方案，內(nèi)置國(guó)密ACME客戶端，自動(dòng)對(duì)接云SSL服務(wù)系統(tǒng)，自動(dòng)化完成雙SSL證書(shū)申請(qǐng)、部署和續(xù)期，確保業(yè)務(wù)系統(tǒng)零改造實(shí)現(xiàn)https加密，不間斷地自動(dòng)化為多達(dá)255個(gè)不同域名的網(wǎng)站和業(yè)務(wù)系統(tǒng)提供5年無(wú)憂的自動(dòng)化https加密服務(wù)和WAF防護(hù)服務(wù)。

國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)自動(dòng)化完成了三種不同網(wǎng)絡(luò)協(xié)議的轉(zhuǎn)換工作，一是實(shí)現(xiàn)了HTTP明文傳輸協(xié)議到HTTPS密文傳輸協(xié)議的轉(zhuǎn)換；二是實(shí)現(xiàn)了兩個(gè)不同密碼體系(RSA和SM2)的轉(zhuǎn)換，使得原Web服務(wù)器零改造完成了國(guó)密改造，三是實(shí)現(xiàn)了兩個(gè)不同IP地址體系(IPv4和IPV6)的轉(zhuǎn)換，使得原Web服務(wù)器也無(wú)需改造支持IPv6，但用戶可以使用IPv6網(wǎng)絡(luò)訪問(wèn)Web應(yīng)用。技術(shù)端云一體創(chuàng)新實(shí)現(xiàn)了一個(gè)網(wǎng)關(guān)搞定三個(gè)協(xié)議轉(zhuǎn)換難題，是網(wǎng)站和Web系統(tǒng)實(shí)現(xiàn)HTTPS加密的不二之選。

選對(duì)網(wǎng)關(guān)產(chǎn)品，保障Web應(yīng)用安全

SSL VPN網(wǎng)關(guān)是實(shí)現(xiàn)遠(yuǎn)程安全接入的首選，但不是網(wǎng)站實(shí)現(xiàn)HTTPS加密的選項(xiàng)，這個(gè)產(chǎn)品選型不能錯(cuò)！要想網(wǎng)站和Web系統(tǒng)實(shí)現(xiàn)HTTPS加密，就得選購(gòu)HTTPS加密網(wǎng)關(guān)，但是這類網(wǎng)關(guān)需要用戶人工申請(qǐng)和部署SSL證書(shū)到網(wǎng)關(guān)上，費(fèi)錢費(fèi)時(shí)費(fèi)力，特別是SSL證書(shū)有效期即將縮短為47天，用戶必須選購(gòu)支持SSL證書(shū)自動(dòng)化管理的HTTPS加密自動(dòng)化網(wǎng)關(guān)。而對(duì)于要求完成國(guó)密改造的用戶，不僅僅是為了密評(píng)和等保，更重要的是為了滿足四部委發(fā)布的《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理》要求所有互聯(lián)網(wǎng)應(yīng)用都必須實(shí)現(xiàn)國(guó)密HTTPS加密的合規(guī)要求，應(yīng)該選購(gòu)?fù)瑫r(shí)支持國(guó)密SSL證書(shū)和國(guó)際SSL證書(shū)自動(dòng)化管理的國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)。

正確選對(duì)網(wǎng)關(guān)產(chǎn)品，不僅能實(shí)現(xiàn)保障Web應(yīng)用安全所需的目的，而且能簡(jiǎn)化網(wǎng)絡(luò)管理和提升網(wǎng)絡(luò)安全水平，這非常重要，希望本文能對(duì)合作伙伴和用戶選購(gòu)所需的網(wǎng)關(guān)產(chǎn)品有所幫助。