ssl *** 应用场景

 SSL ×××一般都部署在防火墙内部，主要有以下四种方式：

    ——和防火墙集成，以同一台设备的形式出现。

    ——作为独立设备部暑于用户内部网络。

    ——作为独立设备部暑于DMZ区。

    ——作为独立设备以双罔卡形式部属于DMZ区。

    下面对这四种部署方式的网络拓扑和优缺点进行分析。

 1．SSL ×××和防火墙集成

    这种方式的SSL ×××以纯软件的方式集成在防火墙上面。如果采用同样的软件架构，已有的防火墙设备可以直接下载SSL ×××软件包使用。防火墙只开放自身外部接口的443端口(H1vrPS)服务，客户端直接和防火墙进行SSL握手，内网服务器直接和防火墙通讯   

    这种部署方式的优点在于：不需要为SSLⅥ)N通道穿越防火墙而提供不受控的连接，防火墙壁垒不存在空隙。同时，由于没有增加任何设备，网络的设计和管理相对简单。缺点也很明显：

    (1)由于用户防火墙和SSL ×××合一，用户失去了选择SSL ×××设备的自由。

    (2)防火墙自身的443端口可以被直接访问，增大了防火墙受到***的几率。

    (3)防火墙需要和内网服务器直接建立连接，防火墙的安全性和处理性能都会受影响；最后，防火墙的软件架构由于要兼容SSL ×××，可能会引入新的安全漏洞。

    好处解密后明文传输。可审计可管理

2．SSL ×××部署于用户内部网络

    这种方式的SSL ×××完全位于防火墙之后，在用户的内部局域网之中。防火墙必须为TCP的443端口完全放开通道

 优点主要有三条：

    (1)只需要在防火墙上为SSL ×××的IP地址设置一条规则，管理简单。

    (2)由于SSL ×××完全位于内网，防火墙上不存在内网服务器和SSL ×××所建立的连接。

    (3)SSL ×××和内网服务器之间的数据流量完全位于防火墙的内部，受到很好的保护，因而不会被DMZ区里面的设备所窃听，不会受到DMZ区里面的ARP等***。

    缺点大致也有三条：

    (1)SSL ×××通道里的加密数据流量完全从防火墙穿越，所以防火墙无法对通过×××传输的恶意流量进行识别和防堵，SSL ×××必须提供包过滤之类的访问控制手段以及其他安全防护措施，承担一部分防火墙的功能。

    (2)利用443端口，很多非法流量可以进入用户内网，存在安全隐患。

    (3)如果SSL ×××自身被攻破，则***和病毒将利用其作为攻陷和瘫痪内网的平台，用户的内网安全将受到极大的威胁。

3．SSL ×××部署于DMZ区

    这种部署模式下，SSL ×××既要保护×××和内网服务器之间的流量，又要保护×××设备自身免受外部***，防火墙只需要为TCP的443端口提供开放通道

    SSL ×××位于DMZ区的情况下，可以避免因为自身被攻破而导致整个内网的瘫痪，因为内网并不能直接被访问(DMZ区交换机具有一些访问和接入控制手段)所有的数据报文都要经过防火墙，防火墙的安全策略仍然可以起到保护作用；放置于DMZ区的IDS等设备可以检查SSL×××和内网服务器之间的数据流量内容，防止恶意流量由×××流入内网．

    这种部署方式在为IDS等安全设备提供便利的同时，也为SNIFFER窃听和ARP***打开方便之门，因为DMZ区存在×××和内网的明文流量。解决这个问题的最佳方式就是为SSL ×××配置两个独立的网络接口，即下面要提到的第四种部署方式。

    4．SSL ×××以双网卡形式部属于DMZ区

    SSL×××位于DMZ区，远程用户通过×××的外部网络接口接入，内部网口与防火墙连接，通向内网服务器的数据报文通过×××内部网口经由防火墙转发

(1)由于解密后的数据报文直接由防火墙转入内网，DMZ区不会出现×××和内网服务器之间的明文流量，所以可以避免SNIFFER窃听和ARP***等。

    (2)明文流量必须通过防火墙转发，防火墙的访问控制策略可以对其发挥作用，具有较高的安全性。

    (3)DMZ区的安全威胁也只能对SSL ×××的外网接口造成影响，不会威胁到传输到内部网络的数据。

    与之相对应，有以下缺点：

    (1)防火墙需要增加许多条放行的规则，设备负荷增大的同时也存在安全漏洞。

    (2)数据报文被防火墙转发两次(分别以SSL隧道和明文形式)，效率相对较低。

    (3)网络接口的增加可能蝴n×××路由寻径的复杂度。对于缺点(1)和缺点(2)，可以采用分离隧道的方{去解决。简单的说，就是只有部分重要业务通过SSL ×××加密隧道传送，其他的网络数据在隧道外直接以明文形式通过默认网关传送。这样，只有部分重要业务到达SSL ×××。其他数据可以直接上互联网或者直接由防火墙处理。而缺点(3)，在SSL ×××的三种处理机制：代理、协议转换和隧道模式下，只有隧道模式存在问题。因为隧道模式下IP数据报文的源，目的IP地址和传输层端口在解密和剥离隧道之后会发生改变，而源地址的改变将导致回应的数据报文无法寻径。这种情况可以采用网络地址转换、ARP代理、路由重定向等方式解决，但或多或少都存在一些问题，如地址转换后无法追踪审计，ARP代理配置量大并且影响×××处理效率，路由重定向不稳定等等．

    作为一种介于网络层和应用层之间的安全传输解决方案，SSL ×××的应用和部署具有很大的灵活性。在实际部署中，需要结合用户的客观需求和具体的网络环境，综合易用性、安全性，可靠性等多个因素，才能达到理想的使用效果

转载于:https://blog.51cto.com/282110204/1167683

文章知识点与官方知识档案匹配，可进一步学习相关知识网络技能树跨区域网络的通信学习网络层的作用22464 人正在系统学习中 相关资源：免费的OCR软件:蝴蝶识字OCR软件-其它工具类资源-CSDN文库

来源：weixin_34220623