Wie schützen Sie sich vor bestimmten Vektoren, wenn Ihre Site reine SSL ist?

Derzeit untersuchen unsere Firewalls Pakete auf bestimmte bekannte Angriffsmethoden. Wenn meine Anwendung reine SSL geht, verlieren wir diese Fähigkeit richtig?

Zugegeben, wir haben diese Fähigkeit auf unseren aktuellen SSL-Seiten verloren.

"Es hängt davon ab, ob." Sie können Ihre Firewall so einrichten, dass die SSL-Beendigung in der Firewall erfolgt, sodass der Datenstrom dort überprüft und dann über ein anderes SSL-Zertifikat oder ohne SSL an den Back-End-Server weitergeleitet werden kann. Im Allgemeinen (was meiner Erfahrung nach bedeutet) wird dies nur für größere Installationen mit dedizierten Hardware-Firewalls wie einem Cisco PIX oder einem Beschleuniger wie einem F5 durchgeführt, aber es ist auch für eine Linux iptables-basierte Firewall möglich, die Squid als eingehenden Proxy verwendet.

Normalerweise stellen Sie einen SSL-Beschleuniger vor die IPS / IDS-Firewall und dann vor die Anwendungsserver. Auf diese Weise können Sie nicht nur weiter prüfen / filtern, sondern auch den relativ umfangreichen SSL-Verbindungsprozess von Ihren Anwendungsservern entlasten.