关于 TLS 连接

如果用户想要通过 HTTPS 协议连接到网页资源，您必须在用户计算机和托管所需网页资源的 Web 服务器 之间建立安全加密连接。建立基本 TCP/IP 连接后，客户端和服务器将交换安全证书和加密设置。因此，使用 TLS（传输层安全）协议创建加密数据通道。为此原因，加密连接也被称为 TLS 连接。在此渠道内，数据通过应用程序层协议，比如 HTTP，进行传输。

如果在应用程序中禁用 TLS/SSL 连接的解密，代理服务器将在客户端和服务器之间中继消息，而无需干预加密的连接建立过程。在这种情况下，Kaspersky Web Traffic Security（反病毒和反网络钓鱼）的保护模块无法扫描在加密数据通道内传输的数据。这降低了企业 IT 基础架构的保护级别。因此，建议启用 TLS/SSL 连接的解密。

如果在应用程序设置中启用了解密 TLS/SSL 连接，代理服务器会收到干预连接建立过程的能力。在此情况下，如果被扫描流量不符合任何 SSL 规则的条件，应用程序可以将 SSL 规则中定义的操作或默认操作应用到流量。

应用程序可提供以下加密连接处理操作：

• Tunnel。
• Tunnel with SNI check。
• Bump。
• Terminate。

为了保证最高级别的安全，建议选择 Bump 操作。建议仅对不支持涉及解密传输流量的操作（例如银行应用程序）的 web 资源或应用程序使用 Tunnel 和 Tunnel with SNI check 操作。

应用 Tunnel、Tunnel with SNI check 或 Terminate 操作

下图说明了在应用 Tunnel、Tunnel with SNI check 或 Terminate 操作后建立加密连接的原则。

Tunnel、Tunnel with SNI check 或 Terminate 操作后建立加密连接的原则

建立加密连接包括以下步骤：

1. 客户端请求

   客户端会发送一个 CONNECT 请求到代理服务器和 Web 服务器 进行连接。请求包含托管所需网页资源的 Web 服务器的完全限定域名 (FQDN) 或 IP 地址。

2. 请求重定向到服务器

   代理服务器生成并向 web 服务器发送连接请求，从它接收响应，并将此响应中继到客户端。

3. 将客户端的 SNI 和其他加密设置传输到代理服务器

   客户端向代理服务器发送其支持的加密设置和 SNI 字段，该字段指示相关 web 资源（网站）的完全限定域名（FQDN）。

   传输需要建立连接的网站名称的 TLS 协议的扩展。当通过 HTTPS 协议运行的多个服务由同一物理服务器托管并使用相同的 IP 地址，但每个服务都有自己的安全证书时，SNI 是必需的。

4. 检查连接是否应中断

   如果根据 SSL 规则或默认操作中指定的操作对请求应用 Terminate 操作，则连接将终止。阻止页面不向用户显示。

5. 将客户端的 SNI 和其他加密设置传输到 web 服务器

   如果 Terminate 操作尚未应用于请求，代理服务器将代表客户端将 SNI 字段和其他加密设置中继到 web 服务器。

6. 将 web 资源的证书传输到代理服务器

   web 服务器返回到代理服务器其自己支持的加密设置集，以及用户基于 SNI 字段请求访问的 web 资源的证书。

7. 将 web 资源的证书传输到客户端

   代理服务器将从 web 服务器接收的证书和加密设置中继到客户端。

8. 建立安全连接

   客户端和服务器会协调其它连接细节。然后创建安全数据通道，客户端和服务器可以在此通道内交换数据。

应用 Terminate 和 Bump 操作

下图说明了在应用 Terminate 和 Bump 操作后处理加密连接的原则。在这种情况下，步骤 5 和 7 不同于建立加密连接的基本机制。在步骤 5 中，代理服务器代表其自身而不是代表客户端传输 SNI 字段和其他加密设置。代理服务器从 web 服务器接收请求的 web 资源的证书，在其基础上生成其自己的（替换）证书，并将此替换证书中继到客户端。

应用 Terminate 和 Bump 操作后处理加密连接的原则

下表说明了应用程序根据指定的操作处理加密连接的方式之间的差异。

根据定义的操作处理加密连接

不涉及代理服务器	Tunnel	Tunnel with SNI check	Bump	Terminate
客户端请求。	客户端请求。 代理服务器允许根据 Web 服务器的 IP 地址或完全限定域名（FQDN）创建安全渠道。	客户端请求。	客户端请求。	客户端请求。
服务器相应。	服务器相应。	服务器相应。	服务器相应。	服务器相应。
传输 SNI 和客户端的其它加密设置。	传输 SNI 和客户端的其它加密设置。	传输 SNI 和客户端的其它加密设置。 代理服务器允许根据所需网页资源的 SNI 创建安全渠道。	传输 SNI 和客户端的其它加密设置。 代理服务器会将该数据发送到 Web 服务器，就好像该数据来自代理服务器而不是客户端。	连接被终止。阻止页面不向用户显示。
传输所请求网页资源的证书。	传输所请求网页资源的证书。	传输所请求网页资源的证书。	传输所请求网页资源的证书。 代理服务器拦截 web 服务器发送的证书，并在此基础上生成其自己的替换证书。	–
建立安全连接。	建立安全连接。 应用程序无法使用反病毒和防钓鱼模块扫描传输的数据。	建立安全连接。 应用程序无法使用反病毒和防钓鱼模块扫描传输的数据。	建立安全连接。 建立了两个连接：一个在客户端和代理服务器之间，另一个在代理服务器和 Web 服务器之间。应用程序可以分析加密渠道的内容并将流量处理规则应用到在渠道内传输的数据。	–

页面顶端