1.為什么我們需要為HTTPS和其他加密流量使用加速工具?

WAN優(yōu)化器善于壓縮和重復(fù)數(shù)據(jù)刪除純文本數(shù)據(jù)流的工具，但要將它用于處理安全套接字層(SSL)加速，必須對它們進行特殊配置。

對于純文本數(shù)據(jù)流(例如HTTP或者Telnet)，數(shù)據(jù)包內(nèi)的負載可以被肉眼、協(xié)議分析儀(Wireshark或者WAN優(yōu)化工具)讀取。出于隱私和安全原因，大多數(shù)未加密協(xié)議都被加密形式所取代。曾經(jīng)使用Telnet的人轉(zhuǎn)移到安全外殼協(xié)議(SSH)，很多銀行客戶堅持采用HTTPS連接，而不再是HTTP。由于這些協(xié)議都是加密的，在沒有正確的解密密鑰的情況下，協(xié)議分析儀或WAN優(yōu)化工具不再能夠讀取流量內(nèi)容。

通常情況下，WAN優(yōu)化器解析協(xié)議流，并提取其負載，使用壓縮和重復(fù)數(shù)據(jù)刪除來優(yōu)化它。然后，使用其他優(yōu)化技術(shù)來加速已優(yōu)化的負載在WAN的傳輸。在 “出廠”時，WAN優(yōu)化器并不包含讀取加密負載的密鑰，如果設(shè)備無法讀取負載，加密數(shù)據(jù)將保持其原樣穿過WAN優(yōu)化器，優(yōu)化技術(shù)就限于傳輸層。

2.WAN優(yōu)化設(shè)備如何能夠加速SSL流量?

加速SSL流量的關(guān)鍵是密鑰。安裝在你的Web服務(wù)器上的相同的證書和密鑰對被安裝在你的WAN優(yōu)化基礎(chǔ)設(shè)施中。比如Riverbed的Steelhead，以下是如何使用服務(wù)器證書來為HTTPS流量進行SSL加速：

• 證書和私鑰都安裝在離HTTPS服務(wù)器最近的Steelhead上(“服務(wù)器端”Steelhead)。

• 客戶端打開一個到服務(wù)器的SSL連接。

• 服務(wù)器端Steelhead建立與客戶端的SSL會話，并向客戶端Steelhead提供這個會話的信息。這允許客戶端Steelhead處理SSL會話，但不要求它提供存儲在本地的私有證書和密鑰。

• 建立了SSL會話后，實際加密的HTTP會話現(xiàn)在可以通過WAN優(yōu)化設(shè)備在客戶端和服務(wù)器間進行。

• 加密客戶端流量到達客戶端Steelhead，在這里流量被解密。解密流量隨后被優(yōu)化，采用與未加密HTTP流量相同的所有HTTP協(xié)議優(yōu)化。

• 原來的流量流因為某種原因而被加密，所以在優(yōu)化后的流量通過WAN傳輸前，必須重新進行加密。Steelhead使用特殊的SSL“內(nèi)部通道”來在客戶端和服務(wù)器端Steelhead之間安全地傳輸已優(yōu)化的SSL流量。

• 最后，已優(yōu)化的數(shù)據(jù)流到達服務(wù)器端Steelhead，在這里，數(shù)據(jù)流被解密、正?；?、再加密，并傳送到服務(wù)器。

總之，SSL流量被加密、解密、優(yōu)化、重新加密、解密、正?；?、再加密，最后交付。

3.在部署SSL加速時，你需要考慮哪些其他因素?

• 你必須至少在你的基礎(chǔ)設(shè)施中的一些WAN優(yōu)化設(shè)備上安裝和維護證書和密鑰。當證書到期時，僅更新服務(wù)器上的證書是不夠的，你需要更新一個或多個WAN優(yōu)化設(shè)備上的證書。

• 根據(jù)證書供應(yīng)商的不同，除了服務(wù)器證書外，你可能還需要安裝中間證書，以形成完整的證書鏈。最常見的中間證書可能已經(jīng)被預(yù)先安裝在你的WAN優(yōu)化設(shè)備的證書存儲中，但有些供應(yīng)商可能沒有提供。

• 如果你的企業(yè)對承載證書的設(shè)備制定了物理安全政策，你需要讓服務(wù)器端WAN優(yōu)化設(shè)備遵守這項政策。如果沒有明確的政策，企業(yè)最好的做法是，確保存儲證書的設(shè)備在物理上是安全的。這種方法的好處是，并不需要為了Riverbed改變分支機構(gòu)的物理安全要求，因為遠程WAN加速設(shè)備不會存儲證書或密鑰。

• 你需要監(jiān)控你的設(shè)備是如何有效地優(yōu)化HTTPS連接，正如你監(jiān)控HTTP連接一樣。Riverbed Steelhead具有HTTP自動調(diào)諧算法，該算法能夠確定對給定HTTP會話應(yīng)該采用何種優(yōu)化。這種調(diào)整可能或者可能不是你的應(yīng)用的理想選擇，所以你應(yīng)該對這種算法進行審查以確保你的應(yīng)用為WAN傳輸進行了優(yōu)化，盡可能完全不影響應(yīng)用的行為。

你投入了大量資金到WAN基礎(chǔ)設(shè)施和分支機構(gòu)連接中，為了充分發(fā)揮這筆資金，添加SSL加速到你的技術(shù)庫是非常明智的選擇。但在審查WAN優(yōu)化需求時，也千萬不要忽視加密流量加速。

不要忘記，HTTPS并不是唯一能夠被優(yōu)化的加密流量類型。你還可以優(yōu)化其他加密流量類型來提高WAN的整體性能，這些常見加密協(xié)議有服務(wù)器消息塊(SMB)、簡單郵件傳輸協(xié)議(SMTP/TLS)和郵件應(yīng)用程序編程接口(MAPI)。