ssl *** 應用場景

 SSL ×××通常都部署在防火牆內部，主要有如下四種方式：

    ——和防火牆集成，以同一臺設備的形式出現。

    ——做爲獨立設備部暑於用戶內部網絡。

    ——做爲獨立設備部暑於DMZ區。

    ——做爲獨立設備以雙罔卡形式部屬於DMZ區。

    下面對這四種部署方式的網絡拓撲和優缺點進行分析。

 1．SSL ×××和防火牆集成

    這種方式的SSL ×××以純軟件的方式集成在防火牆上面。若是採用一樣的軟件架構，已有的防火牆設備能夠直接下載SSL ×××軟件包使用。防火牆只開放自身外部接口的443端口(H1vrPS)服務，客戶端直接和防火牆進行SSL握手，內網服務器直接和防火牆通信   

    這種部署方式的優勢在於：不須要爲SSLⅥ)N通道穿越防火牆而提供不受控的鏈接，防火牆壁壘不存在空隙。同時，因爲沒有增長任何設備，網絡的設計和管理相對簡單。缺點也很明顯：

    (1)因爲用戶防火牆和SSL ×××合一，用戶失去了選擇SSL ×××設備的自由。

    (2)防火牆自身的443端口能夠被直接訪問，增大了防火牆受到***的概率。

    (3)防火牆須要和內網服務器直接創建鏈接，防火牆的安全性和處理性能都會受影響；最後，防火牆的軟件架構因爲要兼容SSL ×××，可能會引入新的安全漏洞。

    好處解密後明文傳輸。可審計可管理

2．SSL ×××部署於用戶內部網絡

    這種方式的SSL ×××徹底位於防火牆以後，在用戶的內部局域網之中。防火牆必須爲TCP的443端口徹底放開通道

 優勢主要有三條：

    (1)只須要在防火牆上爲SSL ×××的IP地址設置一條規則，管理簡單。

    (2)因爲SSL ×××徹底位於內網，防火牆上不存在內網服務器和SSL ×××所創建的鏈接。

    (3)SSL ×××和內網服務器之間的數據流量徹底位於防火牆的內部，受到很好的保護，於是不會被DMZ區裏面的設備所竊聽，不會受到DMZ區裏面的ARP等***。

    缺點大體也有三條：

    (1)SSL ×××通道里的加密數據流量徹底從防火牆穿越，因此防火牆沒法對經過×××傳輸的惡意流量進行識別和防堵，SSL ×××必須提供包過濾之類的訪問控制手段以及其餘安全防禦措施，承擔一部分防火牆的功能。

    (2)利用443端口，不少非法流量能夠進入用戶內網，存在安全隱患。

    (3)若是SSL ×××自身被攻破，則***和病毒將利用其做爲攻陷和癱瘓內網的平臺，用戶的內網安全將受到極大的威脅。

3．SSL ×××部署於DMZ區

    這種部署模式下，SSL ×××既要保護×××和內網服務器之間的流量，又要保護×××設備自身免受外部***，防火牆只須要爲TCP的443端口提供開放通道

    SSL ×××位於DMZ區的狀況下，能夠避免由於自身被攻破而致使整個內網的癱瘓，由於內網並不能直接被訪問(DMZ區交換機具備一些訪問和接入控制手段)全部的數據報文都要通過防火牆，防火牆的安全策略仍然能夠起到保護做用；放置於DMZ區的IDS等設備能夠檢查SSL×××和內網服務器之間的數據流量內容，防止惡意流量由×××流入內網．

    這種部署方式在爲IDS等安全設備提供便利的同時，也爲SNIFFER竊聽和ARP***打開方便之門，由於DMZ區存在×××和內網的明文流量。解決這個問題的最佳方式就是爲SSL ×××配置兩個獨立的網絡接口，即下面要提到的第四種部署方式。

    4．SSL ×××以雙網卡形式部屬於DMZ區

    SSL×××位於DMZ區，遠程用戶經過×××的外部網絡接口接入，內部網口與防火牆鏈接，通向內網服務器的數據報文經過×××內部網口經由防火牆轉發

(1)因爲解密後的數據報文直接由防火牆轉入內網，DMZ區不會出現×××和內網服務器之間的明文流量，因此能夠避免SNIFFER竊聽和ARP***等。

    (2)明文流量必須經過防火牆轉發，防火牆的訪問控制策略能夠對其發揮做用，具備較高的安全性。

    (3)DMZ區的安全威脅也只能對SSL ×××的外網接口形成影響，不會威脅到傳輸到內部網絡的數據。

    與之相對應，有如下缺點：

    (1)防火牆須要增長許多條放行的規則，設備負荷增大的同時也存在安全漏洞。

    (2)數據報文被防火牆轉發兩次(分別以SSL隧道和明文形式)，效率相對較低。

    (3)網絡接口的增長可能蝴n×××路由尋徑的複雜度。對於缺點(1)和缺點(2)，能夠採用分離隧道的方{去解決。簡單的說，就是隻有部分重要業務經過SSL ×××加密隧道傳送，其餘的網絡數據在隧道外直接以明文形式經過默認網關傳送。這樣，只有部分重要業務到達SSL ×××。其餘數據能夠直接上互聯網或者直接由防火牆處理。而缺點(3)，在SSL ×××的三種處理機制：代理、協議轉換和隧道模式下，只有隧道模式存在問題。由於隧道模式下IP數據報文的源，目的IP地址和傳輸層端口在解密和剝離隧道以後會發生改變，而源地址的改變將致使迴應的數據報文沒法尋徑。這種狀況能夠採用網絡地址轉換、ARP代理、路由重定向等方式解決，但或多或少都存在一些問題，如地址轉換後沒法追蹤審計，ARP代理配置量大而且影響×××處理效率，路由重定向不穩定等等．

    做爲一種介於網絡層和應用層之間的安全傳輸解決方案，SSL ×××的應用和部署具備很大的靈活性。在實際部署中，須要結合用戶的客觀需求和具體的網絡環境，綜合易用性、安全性，可靠性等多個因素，才能達到理想的使用效果