我们目前正在尝试确定如何在我们的环境中最好地处理 SSL 流量。我们有一个面向外部的 Apache 代理服务器,负责将所有流量引导到我们的环境中。它还为我们大多数服务器执行 SSL 工作。
特别是有一两台 IIS 服务器正在执行自己的 SSL,但它们也位于代理后面。
我想知道,代理的 SSL 够好吗?这意味着我们网络内的流量是可识别的,但这有什么大不了的吗?
答案1
这取决于流量。如果流量足够敏感,需要 SSL 到代理,我会谨慎行事并保持端到端的 SSL 连接。如果您处理的是信用卡交易之类的信息,那么您别无选择。
如果您网络中的某台主机受到威胁,则有可能嗅探和捕获流量。同样,风险级别取决于传输的信息。权衡风险与部署端到端 SSL 所需的额外开销和复杂性。
答案2
我同意@sdanelson;但如果我理解正确的话,我还会确保 SSL/TLS 事务通过防火墙,并将其作为来自客户端的 SSL 流量的目的地。然后将请求转发或代理到内部系统。这将有助于减少中间人攻击。