FortiWeb SSL Offloading vs. Denetim

FortiWeb SSL Offloading vs. Denetim

FortiWeb cihazının çalışma moduna bağlı olarak, FortiWeb SSL/TLS sonlandırıcı olarak davranabilir. Bu, bir back-end serverına giden yolun tamamı boyunca şifreli bir tünele sahip istemciler yerine, istemcinin HTTPS isteği FortiWeb’e ulaştığında, sunucuya giden yolun bir kısmında şifrelenir veya şifresi çözülür. FortiWeb daha sonra tipik olarak şifrelenmemiş HTTP trafiğini serverlarınıza iletmesi için konfigüre edilir. Server yanıt oluşturunca, açık metin HTTP aracılığıyla FortiWeb’e bağlanır. FortiWeb daha sonra bu yanıtı şifreler ve yine HTTPS aracılığıyla istemciye iletir. Bu şekilde, FortiWeb, back-end serverlarınız yerine şifreleme işleminin yükünü üstlenmiş olur ve kaynakların ağ uygulamasının kendisine odaklanmasına fırsat verir buna SSL Offloading (boşaltma) denir. Yani özetlemek gerekirse SSL offloading sayesinde FortiWebinize tanımladığınız SSL sertifikanız kuruluşunuza ait tüm sunuculara HTTP aracılığıyla back-end sunucular kullanmadan şifrelenir ve iletilir.

FortiWeb SSL Offloading vs. Denetim

SSL offloading, geliştirilmiş SSL/TLS performansıyla ilgilidir. Özel ASIC çipli SSL hızlandırıcı bulunan hardware modellerinde FortiWeb, paketleri genel amaçlı bir CPU’su bulanan bir back-end serverdan çok daha hızlı şifreleyebilir ve şifresini çözebilir.

SSL offloading esnasında web serverı kendi server sertifikasını kullanmaz. Bunun yerine FortiWeb, web sunucusu için bir SSL proxy’si gibi hareket ederek, web sunucusunun sertifikasını elde eder ve bir istemci o web sunucusuna bir HTTPS bağlantısı istediğinde bu sertifikayı kullanır. Ayrıca şu amaçlar için de kullanır:

  • kendini istemcilere doğrulamak
  • isteklerin şifresini çözmek
  • yanıtları şifrelemek

SSL sonlandırıcı olmanın yan etkilerinden birisi FortiWeb’in, şifresi çözülmüş durumda hem HTTP isteğine hem de yanıta sahip olmasıdır. Yol üzerinde bu noktada şifrelenmedikleri için FortiWeb, Layer7’nin (uygulama katmanı) içeriğine bağlı olarak içeriği yeniden yazabilir ya da trafiği yönlendirebilir. Aksi olsaydı, Layer7 içerik tabanlı yönlendirme ve yeniden yazma imkansız olurdu yani paketlerin bu kısmı şifrelenir ve FortiWeb tarafından okunamaz duruma gelirdi.

SSL offloadingi kullanırken FortiWeb ve back-end serverlar arasında güvenli trafik oluşturulmalıdır. Eğer bu yapılmazsa boşaltılan tüm oturumların güvenliği tehlikeye girer. SSL offloading tehlikeler tarafından algılanamadığı için istemcilere hiçbir saldırı görünmez ve bu yüzden oturumlarının güvenliğinin ihlal edildiğine dair herhangi bir uyarı almazlar. Örneğin, şifresi çözülmüş trafiği, fiziksel olarak aynı kilitli rafta bulunan ve genel ağa başka hiçbir bağlantısı olmayan bir switch ile back-end sunucularına iletebilirsiniz.

SSL Denetim

Ancak, çalışma moduna bağlı olarak FortiWeb her zaman bir SSL sonlandırıcı olmaz. SSL sonlandırması, asenkron olduklarından dolayı Transparent Inspection (Şeffaf Denetim) ve Offline Protection (Çevrimdışı Koruma) modlarında desteklenemez. Sonlandırmak için FortiWeb sonlandırma işlemini gerçekleştirebilmek için, trafiği bağlantı durumuyla eşzamanlı olarak işlemelidir. Bu iki modda, web sunucusu kendi sertifikasını kullanır ve kendi SSL sonlandırıcısı gibi davranır. Web sunucusu, SSL sürecinde yükünü taşır. FortiWeb yalnızca saldırıları önler ve bağlantıyı kesebilir. Ancak başka türlü paketleri değiştiremez ya da paketleri yeniden yönlendirme yapamaz.

Bu modlarda FortiWeb, policy ihlallerini taramak amacıyla trafiğin şifresini çözerken yalnızca web serverının sertifikasını kullanır. Herhangi bir ihlal yaşanmazsa mevcut şifreli trafiğin kesintisiz devam etmesini sağlar. FortiWeb, bir sonlandırıcı olmadığı için yeniden şifreleme yaparken CPU ve kaynakları harcamaz. Yani siz bu iki modu kullandığınızda manuel olarak takip edersiniz ve FortiWeb sunucularınızı saldırılara karşı korur. Başka bir deyişle, FortiWeb, SSL offloading yapmaz SSL denetimi gerçekleştirir .

FortiWeb SSL Offloading vs. Denetim

İlginizi Çekebilecek Makaleler​

LLM (Large Language Models) Nedir?

Günümüzde yapay zeka ve makine öğrenmesi, teknolojinin birçok alanında devrim niteliğinde ilerlemeler kaydetmiştir. Bu ilerlemelerin merkezinde yer alan büyük dil modelleri (LLM – Large Language

Devamı »
Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »