iT邦幫忙

1

請問網站如果改成加密 https:// 的話 防火牆要用那一種呢??

網站如果改成加密 https:// 的話 防火牆要用那一種呢??尤其是ips

能解密 再加密嗎??

虎虎 iT邦新手 3 級 ‧ 2017-02-11 03:23:53 檢舉
嗨嗨,可以問一下大概是什麼情況會想要改成 HTTPS 呢?
當然網頁防火牆是能擋掉很多弱點或漏洞啦…
好想知道哦,有點好奇 XDDDD

2 個回答

5
mytiny
iT邦大師 1 級 ‧ 2017-02-11 12:50:43
最佳解答

根據多次回答phoenix99版大的經驗
防護網站應該不能只用防火牆
應該是多功能防火牆 + 網頁防火牆同時處理才有效
針對https應該將SSL憑證放到網頁防火牆處理
這樣才能針對http及https做好相關的防護
至於其他的網路攻擊則交由多功能防火牆處理
同時,對的,防火牆不處理加密流量
或是啟動後處理能量很弱(如Fortigate啟用deep scan)

如果需要將封包解密後再交由多功能防火牆處理(如IPS)
處理完之後再加密通過交由後方網站(https)
則有BlueCoat、A10等產品專門處理

至於最近熱門的DDoS,則遠比想像中複雜得多
避免session table被打爆,不是找清洗流量就能解決
(因為以上所有資安產品都容易被打爆)
需要有專門防護DDoS的設備來處理L5-L7
總言之網路資安需要多層次防護
切莫奢想單一設備就能處理

上述內容尚有許多細節難以竟述
I'm sorry. My responses are limited.
You must ask the right questions.
(引自: I Robot)

phoenix99 iT邦新手 4 級 ‧ 2017-02-12 01:54:04 檢舉

請問封包解密後再交由多功能防火牆處理(如IPS) 然後不要加密的話 後方網站能用http來跑嗎????

mytiny iT邦大師 1 級 ‧ 2017-02-13 10:41:31 檢舉

網站僅提供非加密http服務,當然是可以運作
只是相對於user來說,保障少了一層
(缺乏SSL加密憑證的驗證,容易被欺騙)
而網站被攻擊的可能性卻一樣沒有少
只是防火牆容易判讀些

所以還是要看提供網站的內容性質
如果有金流交易等,應該還是要有憑證保護為宜

你即將可能是正解

WilliamHuang
iT邦研究生 1 級 ‧ 2017-02-10 22:10:09
【**此則訊息已被站方移除**】

我要發表回答

立即登入回答