ssl *** 应用场景

 SSL ×××通常都部署在防火墙内部，主要有如下四种方式：

    ——和防火墙集成，以同一台设备的形式出现。

    ——做为独立设备部暑于用户内部网络。

    ——做为独立设备部暑于DMZ区。

    ——做为独立设备以双罔卡形式部属于DMZ区。

    下面对这四种部署方式的网络拓扑和优缺点进行分析。

 1．SSL ×××和防火墙集成

    这种方式的SSL ×××以纯软件的方式集成在防火墙上面。若是采用一样的软件架构，已有的防火墙设备能够直接下载SSL ×××软件包使用。防火墙只开放自身外部接口的443端口(H1vrPS)服务，客户端直接和防火墙进行SSL握手，内网服务器直接和防火墙通信   

    这种部署方式的优势在于：不须要为SSLⅥ)N通道穿越防火墙而提供不受控的链接，防火墙壁垒不存在空隙。同时，因为没有增长任何设备，网络的设计和管理相对简单。缺点也很明显：

    (1)因为用户防火墙和SSL ×××合一，用户失去了选择SSL ×××设备的自由。

    (2)防火墙自身的443端口能够被直接访问，增大了防火墙受到***的概率。

    (3)防火墙须要和内网服务器直接创建链接，防火墙的安全性和处理性能都会受影响；最后，防火墙的软件架构因为要兼容SSL ×××，可能会引入新的安全漏洞。

    好处解密后明文传输。可审计可管理

2．SSL ×××部署于用户内部网络

    这种方式的SSL ×××彻底位于防火墙以后，在用户的内部局域网之中。防火墙必须为TCP的443端口彻底放开通道

 优势主要有三条：

    (1)只须要在防火墙上为SSL ×××的IP地址设置一条规则，管理简单。

    (2)因为SSL ×××彻底位于内网，防火墙上不存在内网服务器和SSL ×××所创建的链接。

    (3)SSL ×××和内网服务器之间的数据流量彻底位于防火墙的内部，受到很好的保护，于是不会被DMZ区里面的设备所窃听，不会受到DMZ区里面的ARP等***。

    缺点大体也有三条：

    (1)SSL ×××通道里的加密数据流量彻底从防火墙穿越，因此防火墙没法对经过×××传输的恶意流量进行识别和防堵，SSL ×××必须提供包过滤之类的访问控制手段以及其余安全防御措施，承担一部分防火墙的功能。

    (2)利用443端口，不少非法流量能够进入用户内网，存在安全隐患。

    (3)若是SSL ×××自身被攻破，则***和病毒将利用其做为攻陷和瘫痪内网的平台，用户的内网安全将受到极大的威胁。

3．SSL ×××部署于DMZ区

    这种部署模式下，SSL ×××既要保护×××和内网服务器之间的流量，又要保护×××设备自身免受外部***，防火墙只须要为TCP的443端口提供开放通道

    SSL ×××位于DMZ区的状况下，能够避免由于自身被攻破而致使整个内网的瘫痪，由于内网并不能直接被访问(DMZ区交换机具备一些访问和接入控制手段)全部的数据报文都要通过防火墙，防火墙的安全策略仍然能够起到保护做用；放置于DMZ区的IDS等设备能够检查SSL×××和内网服务器之间的数据流量内容，防止恶意流量由×××流入内网．

    这种部署方式在为IDS等安全设备提供便利的同时，也为SNIFFER窃听和ARP***打开方便之门，由于DMZ区存在×××和内网的明文流量。解决这个问题的最佳方式就是为SSL ×××配置两个独立的网络接口，即下面要提到的第四种部署方式。

    4．SSL ×××以双网卡形式部属于DMZ区

    SSL×××位于DMZ区，远程用户经过×××的外部网络接口接入，内部网口与防火墙链接，通向内网服务器的数据报文经过×××内部网口经由防火墙转发

(1)因为解密后的数据报文直接由防火墙转入内网，DMZ区不会出现×××和内网服务器之间的明文流量，因此能够避免SNIFFER窃听和ARP***等。

    (2)明文流量必须经过防火墙转发，防火墙的访问控制策略能够对其发挥做用，具备较高的安全性。

    (3)DMZ区的安全威胁也只能对SSL ×××的外网接口形成影响，不会威胁到传输到内部网络的数据。

    与之相对应，有如下缺点：

    (1)防火墙须要增长许多条放行的规则，设备负荷增大的同时也存在安全漏洞。

    (2)数据报文被防火墙转发两次(分别以SSL隧道和明文形式)，效率相对较低。

    (3)网络接口的增长可能蝴n×××路由寻径的复杂度。对于缺点(1)和缺点(2)，能够采用分离隧道的方{去解决。简单的说，就是只有部分重要业务经过SSL ×××加密隧道传送，其余的网络数据在隧道外直接以明文形式经过默认网关传送。这样，只有部分重要业务到达SSL ×××。其余数据能够直接上互联网或者直接由防火墙处理。而缺点(3)，在SSL ×××的三种处理机制：代理、协议转换和隧道模式下，只有隧道模式存在问题。由于隧道模式下IP数据报文的源，目的IP地址和传输层端口在解密和剥离隧道以后会发生改变，而源地址的改变将致使回应的数据报文没法寻径。这种状况能够采用网络地址转换、ARP代理、路由重定向等方式解决，但或多或少都存在一些问题，如地址转换后没法追踪审计，ARP代理配置量大而且影响×××处理效率，路由重定向不稳定等等．

    做为一种介于网络层和应用层之间的安全传输解决方案，SSL ×××的应用和部署具备很大的灵活性。在实际部署中，须要结合用户的客观需求和具体的网络环境，综合易用性、安全性，可靠性等多个因素，才能达到理想的使用效果