TLS termination and TLS Origination

最新推荐文章于 2021-04-12 17:30:13 发布
最新推荐文章于 2021-04-12 17:30:13 发布
阅读量1.3k 收藏
点赞数 3
分类专栏: Linux
原文链接:https://www.xiaolongtongxue.com/articles/2020/tls-termination-and-origination
版权

HTTP 代理服务器两个常见的功能,TLS Termination 和 Origination。

TLS Termination

这可能是我们用得最多的场景了。它的主要作用是,作为一个前置代理服务器接收外部到达的加密 TLS 流量,然后将其解密为 HTTP 明文,最后再将流量转发到内部的某个服务。
在这里插入图片描述
在实际应用中,内部的服务通常是以 HTTP 明文的方式通信,然后通过一个边界入口网关(ingress gateway)统一处理所有的 TLS 流量。这样 TLS 对所有的内部服务都是透明的,无需对每个服务去配置证书和私钥。通过一个统一的入口配置,我们还可以做很多事情,如日志,路由,路由策略等。

当然,对于一些安全级别较高的内部服务来说,未加密的流量可能是不可接受的,我们可以在 ingress 中配置 sni 来将加密的流量透传到该服务中。

这些相信大家都已经比较熟悉了,那么反过来呢,将上面做一个“逆操作”,也就是 TLS Origination。

TLS Origination

作为一个代理服务器,接收内部服务的 HTTP 明文流量,然后将其加密,最后转发到一个HTTPS服务上,该服务既可以是内部,也可以是外部的,但看起来就像是一个内部的服务。流程如下,
在这里插入图片描述
作为与边界入口网关对立的存在,出口网关也通常放置在网络的边界。所有的出口流量都被它接管,在这个节点上我们可以统一实施一些访问控制策略,或监控,或日志等,这和 Ingres 的功能其实是一样的,最大的不同在于将明文流量加密再转发。

我们对向外主动请求的流量常常是不设防的,这样的严进宽出在安全要求较高的场合是不合适的。了解了 Egress 这个概念后,不仅仅是在安全上对我们的业务有帮助,对于业务架构的设计其实也是有所裨益的。

hNicholas
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLS使用指南(一):如何在Rancher 2.x中进行TLS termination
Rancher
02-11 1240
引 言 这是一个系列文章,我们将在本系列中探索Rancher使用TLS证书的不同方式。TLS,安全传输层协议,是用于保护网络通信的加密协议。它是目前已经弃用的安全套接层(SSL)的继任者。 你可以从本系列中了解TLS如何集成到各种Rancher组件中以及如何准备环境以正确利用Rancher中的TLS。 为什么安全传输层协议(TLS)很重要? Rancher在任何地方都可以使用TLS。因此,在安装R...
OpenStack Octavia 中 TLS termination 功能测试
Nicholas的专栏
02-04 664
OpenStack Octavia 中 TLS termination 功能测试 什么是 TLS termination 关于 TLS termination 的具体实现原理可以自行 google,我自己也讲不清楚。但简单地说,TLS termination 通常用于负载均衡器中对 https 协议的处理。为什么要单单为 https 做处理呢?https相比与http多了安全支持,其中最关键的步骤就是建立server和client的SSL安全连接通道。HTTP使用 TCP 三次握手建立连接,客户端.
TLS Origination for Egress Traffic(0.8)
Ybt_c_index的博客
06-19 303
Control Egress Traffic task 演示了在服务网格内的应用如何访问外部(k8s集群外)的HTTP和HTTPS服务。快速提醒:默认情况下,启用Istio的应用不能访问集群外部的URL。为了启用这种访问,必须定义 ServiceEntry ,或者必须经过配置 direct access to external services (直接访问外部服务)。 这个task描述了如何针对...
SSL/TLS代理(termination proxy)
weixin_34319817的博客
02-27 930
TLS termination proxy (or SSL termination proxy) is a proxy server that is used by an institution to handle incoming TLS connections, decrypting the TLS and passing on the unencrypted request to the...
SSL and TLS Theory and Practice.pdf
01-28
SSL and TLS Theory and Practice.pdf SSL and TLS Theory and Practice.pdf SSL and TLS Theory and Practice.pdf SSL and TLS Theory and Practice.pdf SSL and TLS Theory and Practice.pdf SSL and TLS Theory ...
Bulletproof SSL and TLS
09-28
For system administrators, developers, and IT security professionals, this book provides a comprehensive coverage of the ever-changing field of SSL/TLS and Internet PKI. Written by Ivan Ristić, a ...
mbedtls开源sdk
04-06
mbedTLS(前身 PolarSSL)是一个由 ARM 公司开源和维护的 SSL/TLS 算法库。其使用 C 编程语言以最小的编码占用空间实现了 SSL/TLS 功能及各种加密算法,易于理解、使用、集成和扩展,方便开发人员轻松地在嵌入式产品...
2020年6-8月总结——解析“代理”流量中的TLS报文、网络安全初瞰
fwhdzh的博客
09-22 834
起 大概6月份的时候,那时候保研的各个事情都还没有开始,有一天辅导员突然在保研群里发布了北大信息工程学院的李挥教授的招生PPT。 李挥教授的研究方向其实和我的兴趣还是挺合拍的,但这位老师的口碑实在是差到爆炸。不过当时正好赶上要在大概一周之内确定我们大三的暑期实训的内容。我在跟着学院做开发项目、找本校老师做项目之间想了想,觉得还是应该选择去李挥教授这里做这次实训。把保底留在李挥教授那里相对于我来说还是比留在武大随机一个老师好些。 李挥教授的主要成果在于一个多标识MIN网络,大概可以理解为各种未来网络体系结构的
Kubernetes Ingress解析
Kubernetes中文社区
05-25 9376
前言 这是kubernete官方文档中Ingress Resource的翻译,因为最近工作中用到,文章也不长,也很好理解,索性翻译一下,也便于自己加深理解,同时造福kubernetes中文社区。后续准备使用Traefik来做Ingress controller,文章末尾给出了几个相关链接,实际使用案例正在摸索中,届时相关安装文档和配置说明将同步更新到kubernetes-handbook
快速部署OpenShift应用
weixin_33739627的博客
03-26 3872
本文介绍了使用Service Catalog和OC命令部署OpenShift应用、部署基本概念和流程、扩展存储、清理OpenShift对象等。以Angular 6集成Spring Boot 2,Spring Security,JWT和CORS中的Spring Boot和Angular项目为例,详细讲解了S2I和Pipeline两种部署方式。 OKD版本3.11,Spring Boot项目源码her...
React(Taro)+Go+AKS快速构建微信小程序之一:AKS上的第一个Go API
sinbai2020的博客
04-12 696
预告:最近因为工作的关系,从0开始学习React(Taro),Go,AKS,打算边学习边总结,写一个系列文章加深理解。系列文章的目标是创建一个给美发公司用的微信小程序,叫做rapunzel。 准备Azure环境 创建AKS cluster 在Azure Portal新建一个Resource Group,便于资源管理: 名字和配置如下。Southeast Asia在新加坡,相对访问速度更快。 新建一个Kubernetes Service: Basics页面,Resource Group选
ISTIO中包含有四种流量管理配置资源
wasd12121212的博客
01-30 1307
Istio 中包含有四种流量管理配置资源,分别是 VirtualService、DestinationRule、ServiceEntry、以及 Gateway。下面会讲一下这几个资源的一些重点。在网络参考中可以获得更多这方面的信息。   在请求被 VirtualService 路由之后,DestinationRule 配置的一系列策略就生效了。这些策略由服务属主编写,包含断路器、负载均衡以及 ...
wx470校园保修系统小程序-springboot+vue+uniapp.zip(可运行源码+sql文件+文档)
07-20
基于web的校园报修系统使用Java语言进行编码,使用Mysql创建数据表保存本系统产生的数据。系统可以提供信息显示和相应服务,总之,基于web的校园报修系统集中管理信息,有着保密性强,效率高,存储空间大,成本低等诸多优点。它可以降低信息管理成本,实现信息管理计算机化。 学生信息管理页面,此页面提供给管理员的功能有:学生信息的查询管理,可以删除学生信息、修改学生信息、新增学生信息,还进行了对用户名称的模糊查询的条件。维修人员管理页面,此页面提供给管理员的功能有:查看已发布的维修人员数据,修改维修人员,维修人员作废,即可删除,还进行了对维修人员名称的模糊查询 维修人员信息的类型查询等等一些条件。故障上报管理页面,此页面提供给管理员的功能有:根据故障上报进行条件查询,还可以对故障上报进行新增、修改、查询操作等等。论坛信息管理页面,此页面提供给管理员的功能有:根据论坛信息进行新增、修改、查询操作等等。
wx447火锅店点餐系统-ssm+vue+uniapp.zip(可运行源码+sql文件+文档)
07-20
本火锅店点餐系统采用Java语言和Vue技术,框架采用SSM,搭配Mysql数据库,运行在Idea里,采用小程序模式。本火锅店点餐系统提供管理员、用户两种角色的服务。总的功能包括菜品的查询、菜品的购买、餐桌预定和订单管理。本系统可以帮助管理员更新菜品信息和管理订单信息,帮助用户实现在线的点餐方式,并可以实现餐桌预定。本系统采用成熟技术开发可以完成点餐管理的相关工作。 本系统的功能围绕用户、管理员两种权限设计。根据不同权限的不同需求设计出更符合用户要求的功能。本系统中管理员主要负责审核管理用户,发布分享新的菜品,审核用户的订餐信息和餐桌预定信息等,用户可以对需要的菜品进行购买、预定餐桌等。用户可以管理个人资料、查询菜品、在线点餐和预定餐桌、管理订单等,用户的个人资料是由管理员添加用户资料时产生,用户的订单内容由用户在购买菜品时产生,用户预定信息由用户在预定餐桌操作时产生。 本系统的功能设计为管理员、用户两部分。管理员为菜品管理、菜品分类管理、用户管理、订单管理等,用户的功能为查询菜品,在线点餐、预定餐桌、管理个人信息等。 管理员负责用户信息的删除和管理,用户的姓名和手机号都可以由管理员在此功能里看到。管理员可以对菜品的信息进行管理、审核。本功能可以实现菜品的定时更新和审核管理。本功能包括查询餐桌,也可以发布新的餐桌信息。管理员可以查询已预定的餐桌,并进行审核。管理员可以管理公告和系统的轮播图,可以安排活动。管理员可以对个人的资料进行修改和管理,管理员还可以在本功能里修改密码。管理员可以查询用户的订单,并完成菜品的安排。 当用户登录进系统后可以修改自己的资料,可以使自己信息的保持正确性。还可以修改密码。用户可以浏览所有的菜品,可以查看详细的菜品内容,也可以进行菜品的点餐。在本功能里用户可以进行点餐。用户可以浏览没有预定出去的餐桌,选择合适的餐桌可以进行预定。用户可以管理购物车里的菜品。用户可以管理自己的订单,在订单管理界面里也可以进行查询操作。
【独家首发】Matlab实现金枪鱼优化算法TSO优化Transformer-BiLSTM实现负荷数据回归预测.rar
07-20
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
物联网工程_基于ZigBee技术的图书馆节约用电管理系统设计.docx
07-20
物联网工程_基于ZigBee技术的图书馆节约用电管理系统设计
算法与数据结构 分布式算法课程 第13章 实用互斥算法.具有读-修改-写操作的算法 共72页.pdf
最新发布
07-20
【课程大纲】 第01章 简介 共68页.pdf 第02章 分布式算法简介 共59页.pdf 第03章 集群领导选举 分布式锁 共83页.pdf 第04章 通用同步网络的集群领导选举 共69页.pdf 第05章同步网络中的基础计算 共76页.pdf 第06章 分布式一致性 共48页.pdf 第07章 Byzantine协议 共34页.pdf 第08章 异步系统模型 共47页.pdf 第09章 基本异步网络算法 共71页.pdf 第10章 同步化器 共39页.pdf 第11章 异步共享内存系统 共49页.pdf 第12章 ASM - Peterson’s算法 共43页.pdf 第13章 实用互斥算法.具有读-修改-写操作的算法 共72页.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值