Networking 大多数防火墙默认配置是否允许与HTTPS相同的安全TCP？

我需要实现从客户端到服务器的安全数据传输（二进制数据）。我正在寻找不需要客户端配置防火墙例外的解决方案

显而易见的选择是HTTPS。默认情况下，大多数防火墙允许传出HTTPS。HTTPS有两个问题：

我不想实现HTTPS（即使是最简单的版本），因为我不需要它的复杂性。简单的自定义安全二进制协议就足够了

我希望避免二进制数据放入HTTP POST消息所需的base64编码开销（如果我错了，请纠正我）。客户端在弱硬件（嵌入式系统）上运行

---

现在，我的假设。由于HTTPS是加密的（根据定义），防火墙无法解析它或检查数据是否是base64编码的。这意味着我可以使用使用HTTPS端口（443）的自定义TCP安全协议来模拟HTTPS，防火墙将无法将其与HTTPS区分开来。请确认或解释我的错误。

我认为防火墙并不是一个好的防火墙，除非“默认”配置是拒绝所有输入/输出（例如，这是Juniper SRX和Cisco ASA默认的做法）。最常见的防火墙配置通常允许HTTPS通过

至于建立您自己的定制协议，出于对比萨饼的热爱（以及您自己的理智），请使用已经存在的许多标准化文件传输协议之一。。。选择范围很广，例如

ftp

、

rsync

、

http

（见下文）、

scp

和

sftp

你需要考虑两件事

• 您需要担心的第一件事是，如果您的客户机执行某种深度数据包检查，以验证您不仅仅是通过TCP/443隧道传输“其他东西”。这在今天并不常见，但有些人会这样做
• 还有一点，有些人（你可能会惊讶于有这么多人）获得了一个通用SSL证书，并为所有http/https构建了一个透明代理。那会打乱你的计划；此时，您需要https和POST

---

为什么您认为除了https之外，还有一种对您来说足够安全的“简单二进制”协议？为什么你认为防火墙太蠢了，以至于不会注意到不是TLS标准设置事务的事务？@bmargies：我的意思是“自定义安全TCP协议”，即通过SSL连接。编辑了这个问题。这种安全级别足以满足我的需要。https只是HTTP over ssl。您希望消除哪些复杂性？HTTP是一个非常简单的协议。您不必基于文章的内容，它可以是具有适当内容类型的任意字节。许多REST-ful服务都是这样工作的。另一种选择是使用许多现有的开源HTTP服务器之一。但这看起来比两个字段更复杂，我有点困惑。Base64是不可接受的开销，但SSL/TLS可以吗？除非您将SSL/TLS完全卸载到专用的加密处理器上，否则它比Base64昂贵得多，这并不有趣。+1，特别是对于透明代理，我没有想到这一点。自定义协议非常简单，使用任何通用协议在所有方面都显得过于简单：实现复杂性、第三方依赖性、性能等。但这种透明代理的想法让我三思而后行。关于sftp和其他，它们不是作为防火墙默认例外不那么流行吗？@Andy t，是的，透明HTTP/HTTPS代理在住宅防火墙中不太常见，但在公司环境中更为常见