那里有防火墙可以分析stream量,如果不需要的话可以阻止stream量。 这些防火墙对于encryptionstream量的效果如何?例如HTTPS或SSL上的IMAP?
一个例子:防火墙可以区分端口443上的HTTPSstream量,可以说,保护443以上的远程桌面stream量?
在你的具体例子中,是的,这是可能的。
HTTPS启动与远程的TLS会话。
TLSv1 Client Hello 安全RDP启动一个RDP会话来协商会话两端之间的TLS安全连接。
X.224 Connection Request (0xe0)
由于会话启动协议不同,有状态的防火墙应该能够区分HTTPS连接启动和其他。
对于通用情况,由于SSH通信隐藏在HTTPS通信中,因此防火墙将无法检测到类似SSH-over-HTTPS的内容。 它能够检测到的唯一方法是通过对stream量模式的启发式分析,但是我不知道任何事情。
对于IMAP,有两种保护方式。 一个是通过SSL,另一个是通过TLS。 SSL方法看起来就像在另一个端口上的HTTPS连接一样,如果远程端口是相同的,那么对于它来说就没有多大的作用。 另一方面,TLS在会话的两端进行协商,因此会话启动明显不同且易于检测。
要记住的关键是SSL创build一个TCP包装,通过它传递的stream量。 许多协议包括一个在协议内部协商安全的方法,它利用包装器使用的很多相同的技术,但是使用不同的会话启动方法,这使得它不同。
某些防火墙/代理产品可以在TLS连接上执行“授权的中间人攻击”; 例如,Squid把这个function称为“ SSL Bump ”。 这样做的代理服务器将完全访问在TLS会话内传输的纯文本数据。 但是,这样的代理背后的客户端将获得不同的服务器证书(由代理本身提供,而不是真实的服务器),这将导致TLS错误或警告,除非客户端configuration为期望这样的证书(通过添加代理CA证书到受信任的根证书列表)。