假设一个防火墙网络具有高级别要求,即正常的网页浏览应该可以进行,但其他任何功能都不能使用(例如,禁止 ssh 和 Skype)。除通过强制代理的传出 HTTP(S) 流量外,所有流量均被阻止。
代理应该如何处理 HTTP CONNECT 流量?在一个极端,它可以允许所有内容通过,这会使防火墙无效。在另一个极端,它可能会被阻止:这会完全阻止 HTTPS 吗(我注意到 wget 使用 CONNECT 来通过隧道传输 https $https_proxy:这是通用方法吗?)?(假设代理不会扮演中间人角色,希望客户端不会注意到假证书。)
换句话说,CONNECT 的实际“正常”用途是什么(混合使用代理),以及将其使用限制在“正常”情况下的良好近似值是什么?
(这就是我问的时候想问的我之前的问题。
答案1
CONNECT 用于通过代理在客户端和远程服务器之间建立双向连接。连接中传递的协议只是客户端和服务器之间的问题,与代理无关。大多数用途是用于 HTTPS,一些用途是用于 WebSocket,其他用途是用于远程桌面协议,有些人“非法”将其用于 SMTP、SSH、TELNET,甚至 HTTP 中的 HTTP(以绕过控制)。
这就是为什么如果您尝试构建安全解决方案,则必须限制对 CONNECT 方法的访问。首先,您必须限制传出端口(仅允许 443),如果您的代理可以做到这一点,您应该确保传输的内容确实看起来像 SSL,而不是其他东西(例如:有些人在他们的 HTTPS 服务器上有一个 SSH 后门)。