三层体系结构中的Modsecurity加密通信量

Question

场景是，我们有3层体系结构DMZ > BEA > DB，通过端到端加密，数据是在DMZ > BEA > DB中加密的。

我读过modsecurity处理加密的通信量，它定位在Apache中，在mod_ssl解密流量后，modsecurity分析未加密的通信量。

现在，在modsecurity分析了解密的流量后，在三层结构中，它将被传递给BEA，现在该通信将被加密吗？就像在modsecurity做了它的事情之后，这些通信将再次通过mod_ssl加密并发送到BEA，还是在modsecurity未加密后直接发送到BEA？

谢谢

Answer 1

这完全取决于您的配置和您的愿望。

当然，您的设置在使用mod_security进行分析并转发到应用程序服务器之前可以重新加密。您可以通过使用ProxyPassReverse和SSLProxyEngine配置选项来做到这一点--有关示例，请参见这个问题。

这就引出了一个问题:您应该在and服务器和应用服务器之间使用TLS吗？

要回答这个问题，您需要评估您的网络，并确定您是否真正信任它，以便清楚地重新发送您的请求。