"Es hängt davon ab, ob." Sie können Ihre Firewall so einrichten, dass die SSL-Beendigung in der Firewall erfolgt, sodass der Datenstrom dort überprüft und dann über ein anderes SSL-Zertifikat oder ohne SSL an den Back-End-Server weitergeleitet werden kann. Im Allgemeinen (was meiner Erfahrung nach bedeutet) wird dies nur für größere Installationen mit dedizierten Hardware-Firewalls wie einem Cisco PIX oder einem Beschleuniger wie einem F5 durchgeführt, aber es ist auch für eine Linux iptables-basierte Firewall möglich, die Squid als eingehenden Proxy verwendet.
Normalerweise stellen Sie einen SSL-Beschleuniger vor die IPS / IDS-Firewall und dann vor die Anwendungsserver. Auf diese Weise können Sie nicht nur weiter prüfen / filtern, sondern auch den relativ umfangreichen SSL-Verbindungsprozess von Ihren Anwendungsservern entlasten.