我被要求调查我们公司网络的一个问题。Sonicwall 设备已经安装完毕,负责安装的人已经离开了公司。
问题是,指定普通用户 IP 下的主机无法访问 HTTPS 网站(到目前为止,Google 是我见过的唯一例外)。如果有帮助的话,用户尝试访问的 HTTPS 网站是与商业相关的网站,甚至是一些政府拥有的网站。奇怪的是,任何分配了不通过 Sonicwall 的 IP 地址的主机都可以毫无问题地访问 HTTPS 网站(我随意使用了这个词,因为这是设置它的人告诉我的)。遗憾的是,我再也无法联系到这个人,所以我被迫独自调查此事。
我尝试在 CFS 中的允许域中应用 HTTPS 站点的地址,但仍然不起作用。我还检查了防火墙访问规则,发现 IP 分配设置为从任何源到任何目标。自然而然地,我想也许就是这个原因。有趣的是,它甚至没有启用。与它对齐的复选框是空的。看到这种情况,我尝试将设备的 IP 地址更改为此分配中的地址。令人惊讶的是,HTTPS 站点加载了。
以下是其中一个单元的屏幕截图:
我被难住了。它不在 CFS 中,也不在访问规则中。我甚至尝试添加明确允许 HTTPS 连接通过的访问规则,但仍然不起作用。除了防火墙和 CFS 之外,Sonicwall 还有其他方法可以过滤流量吗?因为也许这就是配置 IP 分配排除的地方。
答案1
我到达这里,但我从您的屏幕截图中假设这些是 XP 机器。我进一步假设内容过滤器是透明应用的(没有代理设置)。如果是这样的话,HTTPS 站点将无法在 IE 中工作。要测试该理论,请重新打开 CFS,然后尝试使用 Firefox。我进一步假设有人已将 google 排除在过滤之外,这就是您能到达那里的原因。
如果我没记错的话,这是因为您的浏览器不支持 SNI。升级浏览器(非 IE)、操作系统(vista + IE 也可以)或使用显式代理。
答案2
Sonicwall 还可以根据应用程序控制规则阻止流量(假设您已获得此功能许可),您可以暂时禁用此功能以确保这不会影响 HTTPS 流量:
禁用 LAN 区域上的应用程序控制:
- 导航至网络 > 区域
- 单击要禁用应用程序控制的区域下的配置按钮
- 取消选中启用应用程序控制服务
