Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/ssl/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Networking 大多数防火墙默认配置是否允许与HTTPS相同的安全TCP?_Networking_Ssl_Tcp_Https_Firewall - Fatal编程技术网

Networking 大多数防火墙默认配置是否允许与HTTPS相同的安全TCP?

Networking 大多数防火墙默认配置是否允许与HTTPS相同的安全TCP?,networking,ssl,tcp,https,firewall,Networking,Ssl,Tcp,Https,Firewall,我需要实现从客户端到服务器的安全数据传输(二进制数据)。我正在寻找不需要客户端配置防火墙例外的解决方案 显而易见的选择是HTTPS。默认情况下,大多数防火墙允许传出HTTPS。HTTPS有两个问题: 我不想实现HTTPS(即使是最简单的版本),因为我不需要它的复杂性。简单的自定义安全二进制协议就足够了 我希望避免二进制数据放入HTTP POST消息所需的base64编码开销(如果我错了,请纠正我)。客户端在弱硬件(嵌入式系统)上运行 现在,我的假设。由于HTTPS是加密的(根据定义),防火墙无法

我需要实现从客户端到服务器的安全数据传输(二进制数据)。我正在寻找不需要客户端配置防火墙例外的解决方案

显而易见的选择是HTTPS。默认情况下,大多数防火墙允许传出HTTPS。HTTPS有两个问题:

  • 我不想实现HTTPS(即使是最简单的版本),因为我不需要它的复杂性。简单的自定义安全二进制协议就足够了

  • 我希望避免二进制数据放入HTTP POST消息所需的base64编码开销(如果我错了,请纠正我)。客户端在弱硬件(嵌入式系统)上运行


  • 现在,我的假设。由于HTTPS是加密的(根据定义),防火墙无法解析它或检查数据是否是base64编码的。这意味着我可以使用使用HTTPS端口(443)的自定义TCP安全协议来模拟HTTPS,防火墙将无法将其与HTTPS区分开来。请确认或解释我的错误。

    我认为防火墙并不是一个好的防火墙,除非“默认”配置是拒绝所有输入/输出(例如,这是Juniper SRX和Cisco ASA默认的做法)。最常见的防火墙配置通常允许HTTPS通过

    至于建立您自己的定制协议,出于对比萨饼的热爱(以及您自己的理智),请使用已经存在的许多标准化文件传输协议之一。。。选择范围很广,例如
    ftp
    rsync
    http
    (见下文)、
    scp
    sftp

    你需要考虑两件事

    • 您需要担心的第一件事是,如果您的客户机执行某种深度数据包检查,以验证您不仅仅是通过TCP/443隧道传输“其他东西”。这在今天并不常见,但有些人会这样做
    • 还有一点,有些人(你可能会惊讶于有这么多人)获得了一个通用SSL证书,并为所有http/https构建了一个透明代理。那会打乱你的计划;此时,您需要https和POST

    为什么您认为除了https之外,还有一种对您来说足够安全的“简单二进制”协议?为什么你认为防火墙太蠢了,以至于不会注意到不是TLS标准设置事务的事务?@bmargies:我的意思是“自定义安全TCP协议”,即通过SSL连接。编辑了这个问题。这种安全级别足以满足我的需要。https只是HTTP over ssl。您希望消除哪些复杂性?HTTP是一个非常简单的协议。您不必基于文章的内容,它可以是具有适当内容类型的任意字节。许多REST-ful服务都是这样工作的。另一种选择是使用许多现有的开源HTTP服务器之一。但这看起来比两个字段更复杂,我有点困惑。Base64是不可接受的开销,但SSL/TLS可以吗?除非您将SSL/TLS完全卸载到专用的加密处理器上,否则它比Base64昂贵得多,这并不有趣。+1,特别是对于透明代理,我没有想到这一点。自定义协议非常简单,使用任何通用协议在所有方面都显得过于简单:实现复杂性、第三方依赖性、性能等。但这种透明代理的想法让我三思而后行。关于sftp和其他,它们不是作为防火墙默认例外不那么流行吗?@Andy t,是的,透明HTTP/HTTPS代理在住宅防火墙中不太常见,但在公司环境中更为常见