HTTP与HTTPS是当前比较流行的文本传输协议。这两种协议都可以用于Web通信，其工作原理也很相似。两者主要的区别就在于安全性。HTTP在网络中都是通过明文传输的，而HTTPS则会对传输的数据进行加密处理。所以相对来说，HTTPS协议要安全许多。现在很多网上银行、邮箱系统等等采用的都是HTTPS协议。不过道高一尺，魔高一丈。现在针对HTTPS的攻击也是层次不穷。在实际工作中，网络安全管理人员可以通过Forefront 给HTTPS连接再加上一层保护罩，以加强HTTPS连接的安全。

　　一、Forefront如何保护HTTPS连接

　　如上图所示，Forefront在保护HTTPS连接的过程中，其实起到的是一个中间人的角色。如当企业内部网络的客户端，需要连接到互联网上的某个邮箱或者网上银行帐户，此时就会申请与服务器(也有可能是服务器主动申请)建立一个加密的HTTPS连接。当Forefront服务器监测到(前提是起用了HTTPS保护机制)这个请求时，会强制插一手。即在建立HTTPS连接之前，出于安全的需要，会对相关的内容进行验证与检查。具体的来说，主要会检查如下内容。

　　一是会检查所请求的服务器的合法性。当Forefront拦截用户的请求后，其并不是拒绝用户的连接请求。而是在用户与其建立HTTPS安全连接之前，Forefront系统需要先验证服务器的合法性。这主要是通过检查与客户端所请求的网站建立安全连接的服务器的证书的合法性。注意，如果没有Forefront的话，客户端一般都会认为所请求的服务器是安全的。这就给用户的日常访问带来了不安全的因素。

　　二是会创建新的SSL证书。当Forefront认为服务器的证书没有问题，则会复制目标服务器证书的详细信息，并会利用这些信息建立一个新的SSL证书。而且还会使用一个默认名字为HTTPS检查证书颁发机构对这个新证书进行签名。如此的话，就相当于与两个证书。这就在原有HTTPS的基础上，又加了一重安全措施。

　　三是将新证书与客户端进行匹配。当利用上面的信息建立一个新的证书之后，系统就会将这个新证书提供给客户端计算机，并于客户端计算机建立一个单独的SSL隧道。通过这么处理之后，就有了两个安全隧道。Forefront与目标服务器之间有一个HTTPS连接，而客户端与Forefront之间又有一个SSL安全隧道。如果黑客要利用HTTPS窃取相关信息的话，则需要同时攻破这两个隧道。在实际工作中，要攻破外网的HTTPS隧道，即Forefront与目标服务器之间的连接，这是比较容易的。而如果要攻破Forefront与内部客户端之间的连接，则要困难许多。

　　采用这种处理方法，还有一个好处，就是可以对HTTPS连接对相关内容进行过滤与检查。如果没有启用这个HTTPS保护机制，则客户端与目标服务器将直接使用HTTPS进行连接。由于其采用了加密机制，Forefront将无法对其内容进行检查与过滤。此时即使其传输的信息中有木马或者恶意软件，Forefront也无能为例。而如果采用了这个安全保密机制的话，就相当于Forefront做了一个中间人。其会将目标服务器中传输过来的数据进行解密，然后根据一定的规则进行检查。当发现没有可疑数据时，再将数据进行加密，然后传送给客户端。