目前我们的防火墙检查数据包寻找某些已知的攻击媒介。 如果我的应用程序变为纯粹的SSL我们会失去正确的能力?
当然,我们已经失去了我们当前ssl'd页面的能力。
“这取决于。” 您可以设置防火墙,使防火墙上发生SSL终止,从而可以在那里检查数据stream,然后通过不同的SSL证书或非SSL证书传递到后端服务器。 通常(就我的经验而言),这只适用于像Cisco PIX那样的专用硬件防火墙或像F5这样的加速器的大规模安装,但即使是使用Squid作为入站代理的基于Linux iptables的防火墙也是如此。
通常你在IPS / IDS防火墙之前放置一个SSL加速器,然后是应用程序服务器。 这不仅可以让您继续检查/过滤,还可以卸载应用程序服务器上相对较重的SSL连接过程。