Deep Security Agent 可能會與 伺服器與工作負載保護 進行通訊,或者如果電腦物件設置為雙向模式,則可能由 伺服器與工作負載保護 聯繫。伺服器與工作負載保護 以相似的方式處理所有與代理的連接。如果代理尚未啟動,則僅能進行有限的互動。如果代理已啟動(無論是由管理員啟動還是通過代理啟動功能啟動),則可以進行完整的互動。伺服器與工作負載保護 在所有情況下都作為 HTTP 客戶端運作,無論在建立 TCP 連接時是否為客戶端。代理無法自行要求資料或啟動操作。伺服器與工作負載保護 請求事件和狀態等信息,調用操作或推送配置到代理。此安全域受到高度控制,以確保代理無法訪問 伺服器與工作負載保護 或其運行的電腦。
代理和伺服器與工作負載保護使用兩種不同的安全上下文來建立HTTP請求的安全通道:
- 在啟動之前,代理會接受引導憑證以形成 SSL 或 TLS 通道。
- 驗證後,需要進行雙向驗證以啟動連接。對於雙向驗證,伺服器與工作負載保護 憑證會發送給代理,代理的憑證會發送給 伺服器與工作負載保護。代理會驗證這些憑證是否來自相同的憑證機構(即 伺服器與工作負載保護)後,才會授予特權訪問。
一旦建立安全通道,代理將作為 HTTP 通訊的伺服器。它對 伺服器與工作負載保護 的訪問有限,只能回應請求。安全通道提供驗證、通過加密保密性和完整性。使用雙向驗證可防止中間人 (MiTM) 攻擊,即 SSL 通訊通道被惡意第三方代理。在流內,內部內容使用
GZIP,配置進一步使用 PKCS #7 進行加密。
不建議對 Deep Security 產品之間的通訊進行 SSL/TLS 解密。任何裝置或中介軟體應配置為 TLS 直通。例如,如果防火牆執行 SSL 檢查,它會解密然後重新加密通訊,並在此過程中更改憑證。此更改導致憑證與原始提供的憑證不同。因此,當來自
Deep Security Agent 的通訊到達 Deep Security Manager 時,該更改的憑證被視為未授權。