代理程式可能會啟動與 伺服器與工作負載保護 的通訊,或者如果電腦物件設置為雙向模式,則可能由 伺服器與工作負載保護 聯繫代理程式。伺服器與工作負載保護 以相似的方式處理所有與代理程式的連接。如果代理程式尚未啟動,則僅能進行有限的互動。如果代理程式已啟動(無論是由管理員啟動還是通過代理程式啟動功能啟動),則可以進行完整的互動。伺服器與工作負載保護 在所有情況下都充當 HTTP 客戶端,無論在建立 TCP 連接時是否為客戶端。代理程式無法自行請求資料或啟動操作。伺服器與工作負載保護 請求事件和狀態等資訊,調用操作或將配置推送到代理程式。此安全域受到嚴格控制,以確保代理程式無法訪問 伺服器與工作負載保護 或其運行的電腦。
代理和伺服器與工作負載保護使用兩種不同的安全上下文來建立HTTP請求的安全通道:
步驟
- 在啟動之前,代理會接受引導憑證以形成 SSL 或 TLS 通道。
- 驗證後,需要進行雙向驗證以啟動連接。對於雙向驗證,伺服器與工作負載保護 憑證會發送給代理,代理的憑證會發送給 伺服器與工作負載保護。代理會驗證這些憑證是否來自相同的憑證機構(即 伺服器與工作負載保護)後,才會授予特權訪問。
接下來需執行的動作
一旦建立安全通道,代理將作為 HTTP 通訊的伺服器。它對 伺服器與工作負載保護 的訪問有限,只能回應請求。安全通道提供驗證、通過加密保密性和完整性。使用雙向驗證可防止中間人 (MiTM) 攻擊,即 SSL 通訊通道被惡意第三方代理。在流內,內部內容使用
GZIP,配置進一步使用 PKCS #7 進行加密。