目前,我们的防火墙会检查数据包,寻找某些已知的攻击媒介。如果我的应用程序变成纯 ssl,我们将失去这种能力,对吗?
当然,我们在当前的 ssl 页面上已经失去了这种能力。
Joh*_*ohn 10
“这取决于。” 您可以设置防火墙,以便 SSL 终止发生在防火墙上,因此可以在那里检查数据流,然后通过不同的 SSL 证书或非 SSL 证书传递到后端服务器。通常(根据我的经验)这仅适用于具有专用硬件防火墙(如 Cisco PIX)或加速器(如 F5)的大规模安装,但即使对于使用 Squid 作为入站代理的基于 Linux iptables 的防火墙也是可能的。