TLS流量如何影响防火墙？

Question

如果防火墙上有一个开放端口，就意味着我可以在该端口上接收流量。如果它是未加密的，我假设原始数据只是允许通过。

如果使用TLS，防火墙是否在将流量依赖于客户端之前对其进行解密，还是将加密的流量转发给客户端，然后客户端以某种方式对其进行解密？

防火墙如何处理加密/未加密的通信量？

诚挚的问候,

Answer 1

如果使用TLS，防火墙是否在将流量依赖于客户端之前对其进行解密？

传统上，“防火墙”的大多数定义都是否定的。

还是它将加密的通信转发给客户端，然后客户端以某种方式解密它？

它只是中继数据包，然后客户端解密。

我之所以说“传统”，是因为还有其他设备--反向代理、负载平衡器、入侵预防系统--它们将解密流量，或者传递明文，或者再加密，以便最终跳到客户端。今天，许多“防火墙”都是混合设备，它们也戴着这些设备的帽子。

但一般来说，“防火墙”应该只是通过流量，而不是操纵加密。

Answer 2

数据包的有效负载对于普通防火墙来说是毫无意义的，加密/解密是在客户端完成的，因为它是唯一拥有密钥的设备(另一端的服务器除外)。

与其他海报所暗示的不同，其他设备解密TLS流量也不容易/不可能( TLS的全部目的是防止这类事情)。您需要获得本地设备的访问权限，进行连接，并在其上安装一个可疑的证书，以便能够解密通信量。