内容感知防火墙和加密内容

Modified on: Thu, 19 Sep 2019 15:20:02 +0800

有防火墙可以分析通过的流量,如果不需要则阻止它。这些防火墙与加密流量的协作有多好,例如: HTTPS或IMAP over SSL?

一个例子:防火墙能否区分端口443上的HTTPS流量,以及443上的安全远程桌面流量?

作者:Heinrich

最佳答案

在您的具体示例中,是的,这是可能的。

HTTPS启动与远程的TLS会话。

TLSv1  Client Hello

安全RDP启动RDP会话,该会话协商会话两端之间的TLS安全连接。

X.224  Connection Request (0xe0)

由于会话启动协议不同,因此状态防火墙应该能够区分启动的HTTPS连接和其他内容。

对于一般情况,防火墙无法检测到SSH-over-HTTPS之类的内容,因为SSH流量隐藏在HTTPS流量中。它能够检测到它的唯一方法是通过对流量模式的启发式分析,但我不知道有什么能做到这一点。

对于IMAP,有两种保护方式。一个是通过SSL,另一个是通过TLS。 SSL方法看起来就像是在另一个端口上的HTTPS连接,如果远程端口是相同的,那么它对它的影响不大。另一方面,TLS在会话的两端之间进行协商,因此会话启动明显不同并且很容易被检测到。

要记住的关键是SSL会创建一个TCP包装器,通过该包装器传递流量。许多协议都包含协议本身内部协商安全性的方法,该方法利用了包装器使用的相同技术,但使用了不同的会话启动方法,使其可以区分。

作者:sysadmin1138

相关问答

添加新评论