ssl *** 应用场景

 SSL ***一般都部署在防火墙内部，主要有以下四种方式：

    ——和防火墙集成，以同一台设备的形式出现。

    ——作为独立设备部暑于用户内部网络。

    ——作为独立设备部暑于DMZ区。

    ——作为独立设备以双罔卡形式部属于DMZ区。

    下面对这四种部署方式的网络拓扑和优缺点进行分析。

 1．SSL ***和防火墙集成

    这种方式的SSL ***以纯软件的方式集成在防火墙上面。如果采用同样的软件架构，已有的防火墙设备可以直接下载SSL ***软件包使用。防火墙只开放自身外部接口的443端口(H1vrPS)服务，客户端直接和防火墙进行SSL握手，内网服务器直接和防火墙通讯   

    这种部署方式的优点在于：不需要为SSLⅥ)N通道穿越防火墙而提供不受控的连接，防火墙壁垒不存在空隙。同时，由于没有增加任何设备，网络的设计和管理相对简单。缺点也很明显：

    (1)由于用户防火墙和SSL ***合一，用户失去了选择SSL ***设备的自由。

    (2)防火墙自身的443端口可以被直接访问，增大了防火墙受到***的机率。

    (3)防火墙需要和内网服务器直接建立连接，防火墙的安全性和处理性能都会受影响；最后，防火墙的软件架构由于要兼容SSL ***，可能会引入新的安全漏洞。

    好处解密后明文传输。可审计可管理

2．SSL ***部署于用户内部网络

    这种方式的SSL ***完全位于防火墙之后，在用户的内部局域网之中。防火墙必须为TCP的443端口完全放开通道

 优点主要有三条：

    (1)只需要在防火墙上为SSL ***的IP地址设置一条规则，管理简单。

    (2)由于SSL ***完全位于内网，防火墙上不存在内网服务器和SSL ***所建立的连接。

    (3)SSL ***和内网服务器之间的数据流量完全位于防火墙的内部，受到很好的保护，因而不会被DMZ区里面的设备所窃听，不会受到DMZ区里面的ARP等***。

    缺点大致也有三条：

    (1)SSL ***通道里的加密数据流量完全从防火墙穿越，所以防火墙无法对通过***传输的恶意流量进行识别和防堵，SSL ***必须提供包过滤之类的访问控制手段以及其他安全防护措施，承担一部分防火墙的功能。

    (2)利用443端口，很多非法流量可以进入用户内网，存在安全隐患。

    (3)如果SSL ***自身被攻破，则***和病毒将利用其作为攻陷和瘫痪内网的平台，用户的内网安全将受到极大的威胁。

3．SSL ***部署于DMZ区

    这种部署模式下，SSL ***既要保护***和内网服务器之间的流量，又要保护***设备自身免受外部***，防火墙只需要为TCP的443端口提供开放通道

    SSL ***位于DMZ区的情况下，可以避免因为自身被攻破而导致整个内网的瘫痪，因为内网并不能直接被访问(DMZ区交换机具有一些访问和接入控制手段)所有的数据报文都要经过防火墙，防火墙的安全策略仍然可以起到保护作用；放置于DMZ区的IDS等设备可以检查SSL***和内网服务器之间的数据流量内容，防止恶意流量由***流入内网．

    这种部署方式在为IDS等安全设备提供便利的同时，也为SNIFFER窃听和ARP***打开方便之门，因为DMZ区存在***和内网的明文流量。解决这个问题的最佳方式就是为SSL ***配置两个独立的网络接口，即下面要提到的第四种部署方式。

    4．SSL ***以双网卡形式部属于DMZ区

    SSL***位于DMZ区，远程用户通过***的外部网络接口接入，内部网口与防火墙连接，通向内网服务器的数据报文通过***内部网口经由防火墙转发

(1)由于解密后的数据报文直接由防火墙转入内网，DMZ区不会出现***和内网服务器之间的明文流量，所以可以避免SNIFFER窃听和ARP***等。

    (2)明文流量必须通过防火墙转发，防火墙的访问控制策略可以对其发挥作用，具有较高的安全性。

    (3)DMZ区的安全威胁也只能对SSL ***的外网接口造成影响，不会威胁到传输到内部网络的数据。

    与之相对应，有以下缺点：

    (1)防火墙需要增加许多条放行的规则，设备负荷增大的同时也存在安全漏洞。

    (2)数据报文被防火墙转发两次(分别以SSL隧道和明文形式)，效率相对较低。

    (3)网络接口的增加可能蝴n***路由寻径的复杂度。对于缺点(1)和缺点(2)，可以采用分离隧道的方{去解决。简单的说，就是只有部分重要业务通过SSL ***加密隧道传送，其他的网络数据在隧道外直接以明文形式通过默认网关传送。这样，只有部分重要业务到达SSL ***。其他数据可以直接上互联网或者直接由防火墙处理。而缺点(3)，在SSL ***的三种处理机制：代理、协议转换和隧道模式下，只有隧道模式存在问题。因为隧道模式下IP数据报文的源，目的IP地址和传输层端口在解密和剥离隧道之后会发生改变，而源地址的改变将导致回应的数据报文无法寻径。这种情况可以采用网络地址转换、ARP代理、路由重定向等方式解决，但或多或少都存在一些问题，如地址转换后无法追踪审计，ARP代理配置量大并且影响***处理效率，路由重定向不稳定等等．

    作为一种介于网络层和应用层之间的安全传输解决方案，SSL ***的应用和部署具有很大的灵活性。在实际部署中，需要结合用户的客观需求和具体的网络环境，综合易用性、安全性，可靠性等多个因素，才能达到理想的使用效果