华山派在抗疫行动中,由于上线了视频课程而名声大震,在全国武林的地位中一举进入了领导者象限。
俗话说,树大招风。不久,就有网安部门约谈岳不群,事由是,华山派的网页上被插入了一些内容违反社会主义核心价值观的广告。
有这样的:
还有这样的:
啊?看不到。那是因为被识别为不良图片屏蔽了。
岳不群盛怒之下,命令网站部门立即排查服务器,但网站开发部门反映,并没有在网页上挂任何广告,也没有发现任何被入侵并植入广告的迹象。
令狐冲临危受命,组织网络安全团队逐个访谈用户。
很快,令狐冲发现了规律——
所有在华山派页面上发现各种不健康广告的用户,都是使用了“互联网智能家庭路由器”的用户。
原来,一些不法商家利用大众喜欢占小便宜的人性弱点,打着“赠送”路由器的旗号,把带有在网页中插入广告功能的路由器“送”给用户。
只要在家中使用了这种路由器,观看的部分网页就会被插入广告。
解决的办法也很简单:将所有的网站前台虚拟机上开启https服务。
由于https是基于SSL的,将所有的数据进行了加密,第三方在网页HTTP数据流中插入广告的做法就行不通了。
但,在测试环境中,工程师就发现,浏览器总是提示这样的错误:
原来,这是因为,浏览器认为负载均衡设备是一个实施“中间人攻击”行为的设备。
什么是“中间人攻击”呢?
用户A期望和用户K私密通信:
此时,大家期望的通信内容是加密的,无法被窃取或篡改。
O为了截取或篡改内容,分别向用户A宣称自己是用户K,向用户K宣称自己是用户A,如下图所示:
这样,用户A和用户K都以为自己在与对方通信,实际上这两个用户是在与O通信,双方的通信完全被O截取,没有任何私密性和安全性可言,。
为了避免这种“中间人攻击”,在SSL中引入了一种证书机制,利用公钥-私钥体制,让权威机构用私钥对自己的信息做签名,对端使用公钥验证签名。由于公钥-私钥体制难以仿冒的特点,服务器可以通过这种方式证明自身属于特定的域名。
理解了这些背景知识,我们就明白为什么负载均衡设备在HTTPS场景会引起用户浏览器报错了——
如图,LB由于没有获取权威机构签名证书,在接受SSL连接时,只能使用自行签名的证书。用户浏览器识别到签名机构不在受信任的机构列表中,自然不会信任对方并报错。
解决方案也是显而易见的。
这需要在LB上开发一个功能:证书安装——把网站向权威机构申请的证书安装到LB上!
如图,由于LB上安装了网站开发者向权威机构申请的证书,用户可以信赖LB设备,双方建立起了安全的HTTPS连接——
这也引发了安全网关的又一次进化——
请看下回分解。
