Sonicwall 和 HTTPS 网站

Sonicwall 和 HTTPS 网站

我被要求调查我们公司网络的一个问题。Sonicwall 设备已经安装完毕,负责安装的人已经离开了公司。

问题是,指定普通用户 IP 下的主机无法访问 HTTPS 网站(到目前为止,Google 是我见过的唯一例外)。如果有帮助的话,用户尝试访问的 HTTPS 网站是与商业相关的网站,甚至是一些政府拥有的网站。奇怪的是,任何分配了不通过 Sonicwall 的 IP 地址的主机都可以毫无问题地访问 HTTPS 网站(我随意使用了这个词,因为这是设置它的人告诉我的)。遗憾的是,我再也无法联系到这个人,所以我被迫独自调查此事。

我尝试在 CFS 中的允许域中应用 HTTPS 站点的地址,但仍然不起作用。我还检查了防火墙访问规则,发现 IP 分配设置为从任何源到任何目标。自然而然地,我想也许就是这个原因。有趣的是,它甚至没有启用。与它对齐的复选框是空的。看到这种情况,我尝试将设备的 IP 地址更改为此分配中的地址。令人惊讶的是,HTTPS 站点加载了。

以下是其中一个单元的屏幕截图: 您可以看到 HTTPS 中的 Google 已加载,但 Yahoo 邮箱尚未加载

我被难住了。它不在 CFS 中,也不在访问规则中。我甚至尝试添加明确允许 HTTPS 连接通过的访问规则,但仍然不起作用。除了防火墙和 CFS 之外,Sonicwall 还有其他方法可以过滤流量吗?因为也许这就是配置 IP 分配排除的地方。

答案1

我到达这里,但我从您的屏幕截图中假设这些是 XP 机器。我进一步假设内容过滤器是透明应用的(没有代理设置)。如果是这样的话,HTTPS 站点将无法在 IE 中工作。要测试该理论,请重新打开 CFS,然后尝试使用 Firefox。我进一步假设有人已将 google 排除在过滤之外,这就是您能到达那里的原因。

如果我没记错的话,这是因为您的浏览器不支持 SNI。升级浏览器(非 IE)、操作系统(vista + IE 也可以)或使用显式代理。

答案2

Sonicwall 还可以根据应用程序控制规则阻止流量(假设您已获得此功能许可),您可以暂时禁用此功能以确保这不会影响 HTTPS 流量:

禁用 LAN 区域上的应用程序控制:

  • 导航至网络 > 区域
  • 单击要禁用应用程序控制的区域下的配置按钮
  • 取消选中启用应用程序控制服务

在此处输入图片描述

相关内容