目前,我们的防火墙会检查数据包以寻找某些已知的攻击媒介。如果我的应用程序采用纯 SSL,我们将失去这种能力,对吗?
当然,我们在当前的 ssl 页面上已经失去了该功能。
答案1
“视情况而定。”您可以设置防火墙,使 SSL 终止发生在防火墙上,这样就可以在那里检查数据流,然后通过不同的 SSL 证书或非 SSL 证书传递到后端服务器。通常(根据我的经验)这仅适用于使用专用硬件防火墙(如 Cisco PIX)或加速器(如 F5)的较大规模安装,但即使是使用 Squid 作为入站代理的基于 Linux iptables 的防火墙也是可能的。
答案2
通常,您会将 SSL 加速器放在 IPS/IDS 防火墙前面,然后再放在应用服务器前面。这样不仅可以让您继续检查/过滤,还可以减轻应用服务器中 SSL 相对较重的连接过程。