什么是SSL卸载

SSL卸载是实现SSL加速的一种方式，SSL协议是互联网上广泛应用的一种安全技术，由于SSL协议会消耗大量的服务器资源，通常需要通过SSL卸载将业务的SSL协商以及加解密处理从原来的服务器迁移到负载均衡设备上来，从而减轻服务器的SSL协商以及加解密的工作负担。

为什么选择SSL卸载

互联网为我们提供了丰富的信息资源，也潜藏着众多安全隐患。以常用的HTTP为例，其通信过程使用明文，通信内容可能会被中间人窃听或篡改。为了提高安全性，各种加密技术应运而生，SSL协议就是当今互联网上广泛使用的一种加密和验证技术。采用SSL协议承载的HTTP即为HTTP over SSL，也就是常说的HTTPS。

采用HTTPS协议通信，除了建立TCP连接、发送HTTP报文，还需要额外增加SSL通信。这些多出来的通信过程，导致HTTPS比HTTP通信慢。不仅如此，在SSL通信过程中，通信双方都需要对传输的数据进行加密和解密的计算处理。加密和解密计算是一项非常消耗服务器计算资源的任务，密钥长度越长，消耗资源越多。为了缓解服务器的性能压力，可以在SSL客户端和服务器端中间部署专用硬件，代替服务器执行SSL握手和加解密工作，让服务器专注于应用和业务。

SSL卸载有以下几个方面优势：

• 它能够卸载服务器上的通信与计算任务，减轻内网服务器的SSL加解密负荷，加快网络通信速度。
  在设备上开启SSL卸载功能后，设备充当了SSL代理服务器的角色，全面接管SSL数据的加解密处理，还原后的HTTP流量，可被内网服务器直接应用，大大减轻内网服务器的处理负荷，加快网络通信速度。

减轻内网服务器的SSL加解密负荷

• 它将HTTPS流量还原为HTTP流量，设备便可以有针对性的配置负载均衡功能实现精细化的流量调度，专注于它们的主要功能。
  随着越来越多的内网服务器对外提供HTTPS服务，原有的负载均衡功能无法从HTTPS流量中提取必要字段进行精细化的流量调度，最终只能随机分配。开启SSL卸载功能后，可以将HTTPS流量还原为HTTP流量，对于HTTP流量，设备便可以实现基于HTTP Cookie的会话保持，也可以基于HTTP报文头部调度实服务器组。

实现基于HTTP字段的策略调度和会话保持

SSL卸载如何工作

SSL卸载有两种不同的方式可以实现它：

• SSL终结。
  设备部署在服务器前端并启用SSL卸载功能，当客户端发起HTTPS连接时，设备充当SSL代理服务器，全面接管加密解密工作。设备终结SSL连接，还原出HTTP业务，并与服务器建立明文的HTTP连接。服务器的响应报文，经设备加密后返回给客户端。

SSL终结

• SSL桥接。
  SSL桥接与SSL终结的工作原理非常类似，也是当客户端发起HTTPS连接时，设备充当SSL代理服务器，全面接管加密解密工作，还原出HTTP业务。不同在于它会在所有数据发送到服务器之前，重新加密传输数据，保证做了SSL卸载后的内网数据安全。

SSL桥接

华为SSL卸载方案

当服务器仅关注HTTP业务时，可以通过在负载均衡设备上配置SSL解密文件实现SSL卸载，对于明文的HTTP协议进行相应的负载分担以及会话保持处理，并运用负载均衡算法从实服务器群组中选择一台实服务器，并与之建立HTTP连接。从而减少服务器处理SSL协商与加解密的CPU负载，提高服务器性能；当为了保证做了SSL卸载后的内网数据安全服务器仅接收密文时，可以选择实现HTTP服务器负载分担功能后再配置SSL加密策略，对流量做SSL加密处理后再和服务器节点进行通信。