В настоящее время наши брандмауэры проверяют пакеты на предмет определенных известных векторов атаки. Если мое приложение перейдет на чистый ssl, мы потеряем эту возможность, правильно?
Конечно, мы потеряли эту возможность на наших текущих ssl-страницах.
"Это зависит." Вы можете настроить свой брандмауэр так, чтобы завершение SSL происходило на брандмауэре, таким образом, поток данных можно было проверить там, а затем передать на внутренний сервер через другой сертификат SSL или без SSL. Обычно (то есть по моему опыту) это делается только для крупномасштабных установок с выделенными аппаратными межсетевыми экранами, такими как Cisco PIX или ускорителем, например F5, но это возможно даже для межсетевого экрана на основе Linux iptables, использующего Squid в качестве входящего прокси.
Обычно вы ставите акселератор SSL перед межсетевым экраном IPS / IDS, а затем перед серверами приложений. Это не только позволяет вам продолжать проверку / фильтрацию, но также снимает нагрузку с относительно тяжелого процесса подключения SSL с серверов приложений.