Tobias Mayer - 2016年12月30日

我们一直在互联网上使用的协议，主要是TCP与HTTP 1.1，但是有数据表明他们已不能处理当今对快速和有效处理内容的要求。随着协议的变化，我们还需要确保我们的网络安全策略是符合要求的。这主要是和网关安全的目标，检查入站和出站流量有关系。这是如何影响的呢？

让我们开始谈论一个已经在RFC中规定并正在讯速增长的协议：HTTP / 2

https://tools.ietf.org/html/rfc7540

HTTP / 2增长的原因主要是HTTP / 1.1是旧的，不再是一种处理现代需求的有效方式。HTTP / 1.1越来越短的一个例子是所谓的“Head-of-Line”阻塞。HTTP / 1.0为每个请求打开一个连接，虽然高效率但是缓慢。HTTP / 1.1引入了一个称为流水线的方法。这意味着我们可以在一个请求中请求多个内容对象。 问题是，所有对象都需要按照发送的顺序提供。

服务器：“这里是一只狗，一只猫和...（搜索...搜索...等待...）一个房子的图片！

HTTP头会占用大量空间。 许多不同的标题，大量的信息被传输。 HTTP / 2具有一种算法，即当它们被发送时对这些报头进行压缩。

TCP连接重用和复用：

HTTP / 2正在将其自身组织成流和连接。

服务器可以推送内容：

这是有趣的，因为服务器可以主动地发送尚未被客户端明确请求的信息。

流的优先级：

使用HTTP / 1.1，如上所述，我们已经按照他们到达的确切顺序发送信息。使用HTTP / 2，我们可以实际上确定某些流的优先级。 因此，我们可以开始显示真正需要的内容，如果其他内容有延迟，我们不会阻止所有信息流动。

二进制格式：

HTTP / 2不再是需要解析的文本格式，但现在是一个二进制格式。 通常，计算机可以更好地处理二进制格式，但我们作为人类，我们需要有人来解释它。因此，我们的网络设备需要理解这种格式，并以人类可读的方式显示它，例如如果你想调试问题。Wireshark已经更新了它的库并且可以理解HTTP / 2二进制数据。

所有这些功能使HTTP / 2成为一个更有效的协议，并向前迈进了一步。

所以，现在我们对HTTP / 2有一个基本的了解，是什么影响网络安全呢？

RFC允许以明文或加密的方式发送HTTP / 2。但是主要的浏览器厂商喜欢google with chrome和mozilla with firefox，这已经决定了他们将只支持HTTP / 2加密的方式。 因此，尽管允许和支持以明文形式使用HTTP / 2，但是很可能极少会遇到没有加密的HTTP / 2。 因此，移动到HTTP / 2会显着增加互联网上的加密流量。

使用HTTP / 2的每个网站也将移动到TLS加密，他们以前没有使用TLS。尤其是像facebook.com，google.com等热门网站已经转向HTTP / 2。
截获网关像NGFW（下一代防火墙）或代理现在已经处理了比以前更多的TLS流量。

二进制格式需要通过拦截网关来理解。 没有HTTP / 2的二进制格式的解析器，反病毒或应用程序可见性的签名很可能不会检测太多。

反病毒或应用程序可见性的签名很可能不会检测太多。RFC的另一个小的概念，在9.1.1节：连接重用：

https://tools.ietf.org/html/rfc7540#section-9.1.1

这意味着已建立的连接可以被重新用于在已经建立的连接上请求不同的URI。不是每个URI，只要证书有一个有效的SAN（主体备用名称），URI就可以改变。
 

例如：

“news.yahoo.com”可能在您的代理或NGFW中分类为“新闻类别”，但“sports.yahoo.com”可能被归类为“体育类别”。 你如何处理这样的请求在您的代理/ ngfw？

查看“youtube.com”的证书：

如果通过单个TCP连接存在对google.com（搜索引擎）和youtube.com（视频门户）的请求，您的过滤网络设备现在会做什么。 如何处理视频过滤的带宽限制？

所以综上所述，我们的网络安全模型需要通过使用新的并且是加密的协议来改变。

我们不再仅仅依赖于网络中的深度包检测，但需要结合考虑其他策略。端点上的安全性，网络中的异常检测，通过分析日志流量的异常和威胁检测等等。

想要了解更多方面，请关注CiscoLive！

柏林2017：使用Web安全工具（WSA）的BRKSEC-3006 TLS解密

http://www.ciscolive.com/emea/learn/sessions/content-catalog/?search=BRKSEC-3006