目前,我们正在尝试决定如何在我们的环境中最好地执行SSLstream量。 我们有一个面向外部的Apache代理服务器,负责将所有stream量引导到我们的环境中。 它也在为我们的大部分服务器做SSL工作。
有一个或两个IIS服务器特别是做自己的SSL,但他们也是代理的背后。
我想知道SSL是否足够好? 这意味着我们networking中的stream量是可以识别的,但是这么重要吗?
这取决于交通。 如果stream量足够敏感以保证SSL的代理服务器,我会在谨慎的方面犯错,并保持SSL连接端到端。 如果你正在处理信用卡交易等信息,那么你没有select。
如果networking中的主机受到威胁,则可能会嗅探并捕获stream量。 风险水平又取决于正在传输的信息。 权衡风险与部署端到端SSL需要增加的开销和复杂性。
我同意@sdanelson; 但是,如果我正确读取这一点,我也将确保SSL / TLS交易通过防火墙,并使其成为来自客户端的SSLstream量的目的地。 然后转发或代理请求到内部系统。 这将有助于减轻中间人攻击 。