某信息系统在网络边界处部署了SSL VPN网关，为互联网终端访问内网资源建立安全传输通道，测评人员在以下接入点（）无法捕获SSL协议通信数据包。

本题考查的是对SSL VPN通信过程及其数据包传输路径的理解，重点在于明确SSL协议加密通信的端到端特性以及数据在不同网络节点上的可见性。 --- **题目解析：** 题干描述某信息系统在网络边界部署了SSL VPN网关，用于为互联网终端访问内网资源建立安全传输通道。测评人员试图在不同接入点捕获SSL协议通信数据包，问题是哪些位置无法捕获到这些数据包。 我们逐项分析各选项： --- **A: SSL VPN网关上** - SSL VPN网关是SSL隧道的终止点之一，它负责与互联网终端建立SSL/TLS加密通道。 - 在该设备上，通常具备解密能力（如配置了解密策略或拥有私钥），因此可以查看加密前的明文数据或解密后的流量。 - 即使默认不记录，从技术上讲，网关具备访问加密前后数据的能力，因此**可以捕获SSL协议通信数据包**（包括握手过程、加密载荷等）。 - **结论：可以捕获，不是正确选项。** --- **B: SSL VPN网关与互联网终端之间的交换机上** - 此交换机位于公网或DMZ区域，处于SSL VPN客户端（终端）与SSL VPN网关之间。 - 该链路上的所有通信均为SSL/TLS加密后的数据，但数据包本身仍在此链路上传输。 - 虽然内容被加密，无法直接读取明文，但**SSL协议的数据包（如ClientHello、ServerHello、加密的应用数据等）仍然以明文形式在网络中传输**，只是载荷加密。 - 因此，在此交换机上可以通过镜像端口等方式**捕获到SSL协议的数据包**（尽管不能解密内容）。 - **结论：可以捕获SSL协议数据包，不是正确选项。** --- **C: 信息系统内的应用服务器上** - 应用服务器位于内网，是业务系统的最终服务提供者。 - 当使用SSL VPN时，SSL加密通道的终点是SSL VPN网关，而不是应用服务器。 - SSL VPN网关会将来自终端的加密流量进行解密，然后以明文（或其他内部协议）转发给应用服务器。 - 因此，到达应用服务器的数据已经是解密后的HTTP、TCP等非SSL协议流量。 - 在应用服务器上看到的是原始业务协议（如HTTP），不再包含SSL/TLS封装。 - **结论：无法捕获到SSL协议数据包，是正确选项。** --- **D: SSL VPN网关与信息系统应用服务器之间的核心交换机上** - 此交换机位于内网，连接SSL VPN网关和应用服务器。 - 如前所述，SSL VPN网关完成了解密操作，之后转发给应用服务器的流量是明文的（例如普通的HTTP、数据库协议等）。 - 因此，该链路上**不存在SSL/TLS协议封装的数据包**。 - 所有通信均为内部明文传输，没有SSL协议头或加密载荷。 - **结论：无法捕获SSL协议数据包，是正确选项。** --- **正确答案：CD** --- **核心知识点讲解：** 1. **SSL/TLS协议的作用范围：** - SSL/TLS是一种端到端的加密机制，保护通信双方之间的数据传输。 - 在SSL VPN场景中，加密通道通常建立在**远程终端与SSL VPN网关之间**。 - 一旦数据到达SSL VPN网关，就会被解密，后续在内网中的传输不再受SSL保护（除非另有应用层加密，如HTTPS）。 2. **加密边界的概念：** - 加密只存在于加密通道的两个端点之间。 - 端点之外（即解密后）的数据以明文形式存在，不再携带SSL协议特征。 3. **数据包捕获的前提：** - 捕获“SSL协议通信数据包”指的是能够抓到带有SSL/TLS记录层结构的数据包（如TLS Handshake Protocol、Application Data等）。 - 只要数据未被加密且不在SSL隧道内传输，就不会出现SSL协议数据包。 4. **网络安全设计启示：** - 内网中若缺乏二次加密（如使用HTTPS、IPSec等），可能存在敏感信息泄露风险。 - 安全测评需关注加密边界的位置，防止内部监听。 --- 综上所述，只有在SSL加密通道覆盖的范围内才能捕获到SSL协议数据包；而在解密后的内网路径（如选项C和D所示位置），数据已脱离SSL封装，故无法捕获。