Người ta thường đặt một máy chủ SSL VPN trong một DMZ như trong hình 4.2.
a) Ưu điểm
• Các giao thức không cần thiết có thể bị chặn bởi tường lửa bên trong.
• Chỉ các nhóm nhận thực có thể truy cập tài nguyên nội bộ, các nhóm không nhận thực sẽ bị chặn ở DMZ.
• IDS dựa trên mạng có thể đồng thời làm việc trên DMZ và các mạng nội bộ.
• Việc sử dụng một DMZ cho phép một phương thức phân lớp để bảo mật.
b) Nhược điểm
• Các khóa SSL được duy trì trong một vùng không an toàn: Nếu các khóa SSL bị tấn công, kẻ tấn công có thể giả dạng công ty. Tội phạm có thể tận dụng các thủ thuật lừa đảo để trộm thông tin nhạy cảm từ người dùng. Vì vậy tốt hơn hết là không nên đặt các khóa trong vùng không an toàn hoặc nửa an toàn.
• Giải mã được thực hiện trong một vùng không an toàn: Do việc truyền các thông tin nhạy cảm dưới dạng văn bản thông thường trên vùng DMZ không an toàn, nên các thông tin này có thể bị bắt lại bởi các phần mềm bắt gói tin. Do đó, SSL VPN sẽ không thể thực hiện được chức năng mã hóa đầu cuối – đầu cuối, mà chỉ là đầu cuối – nửa đầu cuối, tức là nội dung của phiên SSL được giải mã trong vùng không an toàn bên ngoài mạng đích.
Hình 4.2. Máy chủ đặt trong DMZ
• SSL VPN làm hỏng các tường lửa bên ngoài: Nếu một người dùng từ xa được cho phép thiết lập kết nối mạng qua SSL, người dùng có thể truyền bất kỳ giao thức nào bằng cách nhúng các gói mạng trong HTTPS. Điều này có nghĩa là các giao thức đó không thể bị chặn bởi tường lửa bên ngoài khi chúng đường hầm hóa trong HTTPS tới DMZ. Các nhà quản trị thiết lập tường lửa bên ngoài để chặn một cổng cụ thể để tắt một dịch vụ cụ thể nào đó. Việc cho phép giao tiếp này phá vỡ các bức tường bảo mật là một vấn đề quan trọng và thường ảnh hưởng đến chính sách bảo mật công ty.
• Một số cổng cần phải được mở trên tường lửa nội bộ: Điều này cho phép một số loại giao tiếp không thích hợp giữa DMZ và mạng nội bộ. Việc mở các cổng này làm tổn hại đến hiệu quả của tường lửa nội bộ, làm lu mờ biên giới giữa DMZ và Internet, và tạo ra các vấn đề bảo mật nghiêm trọng.
• Các nút từ xa có thể thực hiện như một cầu nối tới mạng khác: Các nút từ xa có thể trở thành các cầu nối tới mạng khác như đã mô tả ở trên. Nếu một người dùng được cho phép thết lập một kết nối mạng qua SSL, thì có
thể tất cả người dùng trên mạng nội bộ của máy đó có thể kết nối tới mạng nội bộ.
• Các nhóm bên ngoài có thể trở thành các nút trên mạng công ty: Hầu hết các công ty quan tâm đến bảo mật đều không muốn bất kỳ máy tính nào không phải của công ty trở thành một nút của mạng công ty. Nếu một SSL VPN được sử dụng cho các thành viên, các khách hàng, và các khác hàng tương lại để truy cập tài nguyên công ty, và nếu SSL VPN cho phép người dùng từ xa thiết lập kết nối mạng qua SSL, thì chính sách này sẽ bị tổn hại (và vấn đề này sẽ dẫn tới một loạt các vấn đề nghiêm trọng).
• Truy cập để tấn công các máy chủ nội bộ: Nếu một hacker hoặc sâu tấn công máy chủ SSL VPN, các nhóm xấu có thể truy cập tới một máy tính và từ đó tiến hành tấn công các máy chủ nội bộ.