ssl *** 應用場景

 SSL ***一般都部署在防火牆內部，主要有以下四種方式：

    ——和防火牆集成，以同一臺設備的形式出現。

    ——作爲獨立設備部暑於用戶內部網絡。

    ——作爲獨立設備部暑於DMZ區。

    ——作爲獨立設備以雙罔卡形式部屬於DMZ區。

    下面對這四種部署方式的網絡拓撲和優缺點進行分析。

 1．SSL ***和防火牆集成

    這種方式的SSL ***以純軟件的方式集成在防火牆上面。如果採用同樣的軟件架構，已有的防火牆設備可以直接下載SSL ***軟件包使用。防火牆只開放自身外部接口的443端口(H1vrPS)服務，客戶端直接和防火牆進行SSL握手，內網服務器直接和防火牆通訊   

    這種部署方式的優點在於：不需要爲SSLⅥ)N通道穿越防火牆而提供不受控的連接，防火牆壁壘不存在空隙。同時，由於沒有增加任何設備，網絡的設計和管理相對簡單。缺點也很明顯：

    (1)由於用戶防火牆和SSL ***合一，用戶失去了選擇SSL ***設備的自由。

    (2)防火牆自身的443端口可以被直接訪問，增大了防火牆受到***的機率。

    (3)防火牆需要和內網服務器直接建立連接，防火牆的安全性和處理性能都會受影響；最後，防火牆的軟件架構由於要兼容SSL ***，可能會引入新的安全漏洞。

    好處解密後明文傳輸。可審計可管理

2．SSL ***部署於用戶內部網絡

    這種方式的SSL ***完全位於防火牆之後，在用戶的內部局域網之中。防火牆必須爲TCP的443端口完全放開通道

 優點主要有三條：

    (1)只需要在防火牆上爲SSL ***的IP地址設置一條規則，管理簡單。

    (2)由於SSL ***完全位於內網，防火牆上不存在內網服務器和SSL ***所建立的連接。

    (3)SSL ***和內網服務器之間的數據流量完全位於防火牆的內部，受到很好的保護，因而不會被DMZ區裏面的設備所竊聽，不會受到DMZ區裏面的ARP等***。

    缺點大致也有三條：

    (1)SSL ***通道里的加密數據流量完全從防火牆穿越，所以防火牆無法對通過***傳輸的惡意流量進行識別和防堵，SSL ***必須提供包過濾之類的訪問控制手段以及其他安全防護措施，承擔一部分防火牆的功能。

    (2)利用443端口，很多非法流量可以進入用戶內網，存在安全隱患。

    (3)如果SSL ***自身被攻破，則***和病毒將利用其作爲攻陷和癱瘓內網的平臺，用戶的內網安全將受到極大的威脅。

3．SSL ***部署於DMZ區

    這種部署模式下，SSL ***既要保護***和內網服務器之間的流量，又要保護***設備自身免受外部***，防火牆只需要爲TCP的443端口提供開放通道

    SSL ***位於DMZ區的情況下，可以避免因爲自身被攻破而導致整個內網的癱瘓，因爲內網並不能直接被訪問(DMZ區交換機具有一些訪問和接入控制手段)所有的數據報文都要經過防火牆，防火牆的安全策略仍然可以起到保護作用；放置於DMZ區的IDS等設備可以檢查SSL***和內網服務器之間的數據流量內容，防止惡意流量由***流入內網．

    這種部署方式在爲IDS等安全設備提供便利的同時，也爲SNIFFER竊聽和ARP***打開方便之門，因爲DMZ區存在***和內網的明文流量。解決這個問題的最佳方式就是爲SSL ***配置兩個獨立的網絡接口，即下面要提到的第四種部署方式。

    4．SSL ***以雙網卡形式部屬於DMZ區

    SSL***位於DMZ區，遠程用戶通過***的外部網絡接口接入，內部網口與防火牆連接，通向內網服務器的數據報文通過***內部網口經由防火牆轉發

(1)由於解密後的數據報文直接由防火牆轉入內網，DMZ區不會出現***和內網服務器之間的明文流量，所以可以避免SNIFFER竊聽和ARP***等。

    (2)明文流量必須通過防火牆轉發，防火牆的訪問控制策略可以對其發揮作用，具有較高的安全性。

    (3)DMZ區的安全威脅也只能對SSL ***的外網接口造成影響，不會威脅到傳輸到內部網絡的數據。

    與之相對應，有以下缺點：

    (1)防火牆需要增加許多條放行的規則，設備負荷增大的同時也存在安全漏洞。

    (2)數據報文被防火牆轉發兩次(分別以SSL隧道和明文形式)，效率相對較低。

    (3)網絡接口的增加可能蝴n***路由尋徑的複雜度。對於缺點(1)和缺點(2)，可以採用分離隧道的方{去解決。簡單的說，就是隻有部分重要業務通過SSL ***加密隧道傳送，其他的網絡數據在隧道外直接以明文形式通過默認網關傳送。這樣，只有部分重要業務到達SSL ***。其他數據可以直接上互聯網或者直接由防火牆處理。而缺點(3)，在SSL ***的三種處理機制：代理、協議轉換和隧道模式下，只有隧道模式存在問題。因爲隧道模式下IP數據報文的源，目的IP地址和傳輸層端口在解密和剝離隧道之後會發生改變，而源地址的改變將導致迴應的數據報文無法尋徑。這種情況可以採用網絡地址轉換、ARP代理、路由重定向等方式解決，但或多或少都存在一些問題，如地址轉換後無法追蹤審計，ARP代理配置量大並且影響***處理效率，路由重定向不穩定等等．

    作爲一種介於網絡層和應用層之間的安全傳輸解決方案，SSL ***的應用和部署具有很大的靈活性。在實際部署中，需要結合用戶的客觀需求和具體的網絡環境，綜合易用性、安全性，可靠性等多個因素，才能達到理想的使用效果