使用 Watchguard (Websense) 和 SQUID 以及使用透明代理模式的 SQUIDGuard 阻止 HTTPS 内容

使用 Watchguard (Websense) 和 SQUID 以及使用透明代理模式的 SQUIDGuard 阻止 HTTPS 内容

在内容阻止方面,我尝试比较以下两种解决方案:

1 - 配置了 SQUID 和 SQUIDGUARD 包的 pFSense 设备

2 - 使用 Websense 的 Watchguard FW

因此,为了阻止类似https://www.facebook.com,使用 Squidguard 显然我必须执行 MITM 攻击,或者放弃使用透明代理模式的选项,但 Watchguard 设法阻止了同一个页面,而不会丢失透明代理选项。有人能帮我理解它是如何工作的吗?

答案1

Watchguard 通过安装 SSL 证书并对所有流量进行中间人 (MITM) 攻击,以相同的方式进行 HTTPS 完整内容检查,但它可以通过查看浏览器发送的服务器名称指示器字段来阻止域名,以便服务器可以识别要使用哪个 SSL 证书进行应答,并通过查看从服务器返回的 SSL 证书来查看它签署了哪些域名。

HTTPS 代理:域名

如果您的 Firebox 或 XTM 设备运行的是 Fireware XTM v11.9.4 或更高版本,您可以根据您创建的域名规则配置设备以允许或拒绝访问网站、执行内容检查或绕过内容检查。要将域名规则中指定的模式与连接服务器中指定的名称进行匹配,需要使用 SNI(服务器名称指示)、证书通用名称 (CN) 或服务器的 IP 地址。

由于 SNI 可以从 HTTPS 流量标头中确定实际的服务器名称,因此它是最准确的选项。证书 CN 通常由同一站点的多个服务共享。例如,YouTube 和 Google Maps 等许多 Google 服务共享同一个证书 CN。如果您根据证书 CN 阻止对 YouTube 的访问,则对 Google Maps 和其他具有相同 CN 的服务的访问也会被阻止。如果 SNI 不可用,则使用证书 CN。

http://www.watchguard.com/help/docs/wsm/xtm_11/en-US/index.html#en-US/proxies/https/https_domain_names_c.html%3FTocPath%3DProxy%2520Settings%7CAbout%2520the%2520HTTPS-Proxy%7C_____3

相关内容