我們目前正在嘗試決定如何在我們的環境中最好地處理 SSL 流量。我們有一個面向外部的 Apache 代理伺服器,負責將所有流量引導到我們的環境中。它也為我們的大多數伺服器執行 SSL 工作。
特別是有一兩個 IIS 伺服器正在執行自己的 SSL,但它們也位於代理後面。
我想知道,代理的 SSL 是否足夠好?這意味著我們網路內的流量是可識別的,但這有什麼大不了的嗎?
答案1
這取決於交通情況。如果流量足夠敏感,足以保證對代理使用 SSL,我會謹慎行事並維護端到端的 SSL 連線。如果您正在處理信用卡交易等信息,那麼您別無選擇。
如果網路中的主機受到威脅,則流量可能會被嗅探和捕獲。同樣,風險等級取決於所傳輸的資訊。權衡風險與部署端對端 SSL 所帶來的額外開銷與複雜性。
答案2
我同意@sdanelson;但如果我正確地閱讀了本文,我也會確保 SSL/TLS 事務通過防火牆,並將其作為來自客戶端的 SSL 流量的目的地。然後將請求轉送或代理到內部系統。這將有助於減少中間人攻擊。