大多数防火墙默认配置是否允许与 HTTPS 相同的安全 TCP？

Question

我需要实现从客户端到服务器的安全数据传输（二进制数据）。我正在寻找不需要客户端配置防火墙例外的解决方案。

显而易见的选择是 HTTPS。大多数防火墙默认允许传出 HTTPS。 HTTPS 有两个问题：

1. 我不想实现 HTTPS（即使是最简单的版本），因为我不需要它的复杂性。简单的自定义安全二进制协议就足够了。

2. 我想避免将二进制数据放入 HTTP POST 消息所需的 base64 编码的开销（如果我错了，请纠正我）。客户端在弱硬件（嵌入式系统）上运行。

现在，我的假设。由于 HTTPS 是加密的（根据定义），防火墙无法解析它或检查数据是否是 base64 编码的。这意味着我可以使用我的自定义 TCP 安全协议（使用 HTTPS 端口 (443)）来模拟 HTTPS，并且防火墙将无法将其与 HTTPS 区分开来。请确认或解释我的错误是什么。

Answer 1

在我看来，防火墙并不是一个真正好的防火墙，除非“默认”配置是拒绝所有进/出（例如，Juniper SRX 和 Cisco ASA 默认情况下就是这样做的）。 最常见的防火墙配置通常允许 HTTPS 通过。

至于构建您自己的自定义协议，出于对披萨的热爱（以及您自己的理智），请使用现有的许多标准化文件传输协议之一......选择是开放的，例如 ftp 、rsync、http（见下文）、scp 和 sftp。

您需要考虑两件事...

• 您需要担心的第一件事是您的客户端是否执行某种深度数据包检查以验证您不只是通过 TCP/443 隧道传输“其他内容”。这在今天并不常见，但有些人这样做。
• 另一点，有些人（你可能会对有多少人感到惊讶）获得通用 SSL 证书并为所有 http/https 构建透明代理。这会打乱你的计划；此时你需要https和POST。