FortiWeb cihazının çalışma moduna bağlı olarak, FortiWeb SSL/TLS sonlandırıcı olarak davranabilir. Bu, bir back-end serverına giden yolun tamamı boyunca şifreli bir tünele sahip istemciler yerine, istemcinin HTTPS isteği FortiWeb’e ulaştığında, sunucuya giden yolun bir kısmında şifrelenir veya şifresi çözülür. FortiWeb daha sonra tipik olarak şifrelenmemiş HTTP trafiğini serverlarınıza iletmesi için konfigüre edilir. Server yanıt oluşturunca, açık metin HTTP aracılığıyla FortiWeb’e bağlanır. FortiWeb daha sonra bu yanıtı şifreler ve yine HTTPS aracılığıyla istemciye iletir. Bu şekilde, FortiWeb, back-end serverlarınız yerine şifreleme işleminin yükünü üstlenmiş olur ve kaynakların ağ uygulamasının kendisine odaklanmasına fırsat verir buna SSL Offloading (boşaltma) denir. Yani özetlemek gerekirse SSL offloading sayesinde FortiWebinize tanımladığınız SSL sertifikanız kuruluşunuza ait tüm sunuculara HTTP aracılığıyla back-end sunucular kullanmadan şifrelenir ve iletilir.
SSL offloading, geliştirilmiş SSL/TLS performansıyla ilgilidir. Özel ASIC çipli SSL hızlandırıcı bulunan hardware modellerinde FortiWeb, paketleri genel amaçlı bir CPU’su bulanan bir back-end serverdan çok daha hızlı şifreleyebilir ve şifresini çözebilir.
SSL offloading esnasında web serverı kendi server sertifikasını kullanmaz. Bunun yerine FortiWeb, web sunucusu için bir SSL proxy’si gibi hareket ederek, web sunucusunun sertifikasını elde eder ve bir istemci o web sunucusuna bir HTTPS bağlantısı istediğinde bu sertifikayı kullanır. Ayrıca şu amaçlar için de kullanır:
- kendini istemcilere doğrulamak
- isteklerin şifresini çözmek
- yanıtları şifrelemek
SSL sonlandırıcı olmanın yan etkilerinden birisi FortiWeb’in, şifresi çözülmüş durumda hem HTTP isteğine hem de yanıta sahip olmasıdır. Yol üzerinde bu noktada şifrelenmedikleri için FortiWeb, Layer7’nin (uygulama katmanı) içeriğine bağlı olarak içeriği yeniden yazabilir ya da trafiği yönlendirebilir. Aksi olsaydı, Layer7 içerik tabanlı yönlendirme ve yeniden yazma imkansız olurdu yani paketlerin bu kısmı şifrelenir ve FortiWeb tarafından okunamaz duruma gelirdi.
SSL offloadingi kullanırken FortiWeb ve back-end serverlar arasında güvenli trafik oluşturulmalıdır. Eğer bu yapılmazsa boşaltılan tüm oturumların güvenliği tehlikeye girer. SSL offloading tehlikeler tarafından algılanamadığı için istemcilere hiçbir saldırı görünmez ve bu yüzden oturumlarının güvenliğinin ihlal edildiğine dair herhangi bir uyarı almazlar. Örneğin, şifresi çözülmüş trafiği, fiziksel olarak aynı kilitli rafta bulunan ve genel ağa başka hiçbir bağlantısı olmayan bir switch ile back-end sunucularına iletebilirsiniz.
SSL Denetim
Ancak, çalışma moduna bağlı olarak FortiWeb her zaman bir SSL sonlandırıcı olmaz. SSL sonlandırması, asenkron olduklarından dolayı Transparent Inspection (Şeffaf Denetim) ve Offline Protection (Çevrimdışı Koruma) modlarında desteklenemez. Sonlandırmak için FortiWeb sonlandırma işlemini gerçekleştirebilmek için, trafiği bağlantı durumuyla eşzamanlı olarak işlemelidir. Bu iki modda, web sunucusu kendi sertifikasını kullanır ve kendi SSL sonlandırıcısı gibi davranır. Web sunucusu, SSL sürecinde yükünü taşır. FortiWeb yalnızca saldırıları önler ve bağlantıyı kesebilir. Ancak başka türlü paketleri değiştiremez ya da paketleri yeniden yönlendirme yapamaz.
Bu modlarda FortiWeb, policy ihlallerini taramak amacıyla trafiğin şifresini çözerken yalnızca web serverının sertifikasını kullanır. Herhangi bir ihlal yaşanmazsa mevcut şifreli trafiğin kesintisiz devam etmesini sağlar. FortiWeb, bir sonlandırıcı olmadığı için yeniden şifreleme yaparken CPU ve kaynakları harcamaz. Yani siz bu iki modu kullandığınızda manuel olarak takip edersiniz ve FortiWeb sunucularınızı saldırılara karşı korur. Başka bir deyişle, FortiWeb, SSL offloading yapmaz SSL denetimi gerçekleştirir .