使用 Watchguard (Websense) 和 SQUID 以及使用透明代理模式的 SQUIDGuard 阻止 HTTPS 内容

Question

Watchguard 通过安装 SSL 证书并对所有流量进行中间人 (MITM) 攻击，以相同的方式进行 HTTPS 完整内容检查，但它可以通过查看浏览器发送的服务器名称指示器字段来阻止域名，以便服务器可以识别要使用哪个 SSL 证书进行应答，并通过查看从服务器返回的 SSL 证书来查看它签署了哪些域名。

HTTPS 代理：域名

如果您的 Firebox 或 XTM 设备运行的是 Fireware XTM v11.9.4 或更高版本，您可以根据您创建的域名规则配置设备以允许或拒绝访问网站、执行内容检查或绕过内容检查。要将域名规则中指定的模式与连接服务器中指定的名称进行匹配，需要使用 SNI（服务器名称指示）、证书通用名称 (CN) 或服务器的 IP 地址。

由于 SNI 可以从 HTTPS 流量标头中确定实际的服务器名称，因此它是最准确的选项。证书 CN 通常由同一站点的多个服务共享。例如，YouTube 和 Google Maps 等许多 Google 服务共享同一个证书 CN。如果您根据证书 CN 阻止对 YouTube 的访问，则对 Google Maps 和其他具有相同 CN 的服务的访问也会被阻止。如果 SNI 不可用，则使用证书 CN。

http://www.watchguard.com/help/docs/wsm/xtm_11/en-US/index.html#en-US/proxies/https/https_domain_names_c.html%3FTocPath%3DProxy%2520Settings%7CAbout%2520the%2520HTTPS-Proxy%7C_____3

Answer 1

Watchguard 通过安装 SSL 证书并对所有流量进行中间人 (MITM) 攻击，以相同的方式进行 HTTPS 完整内容检查，但它可以通过查看浏览器发送的服务器名称指示器字段来阻止域名，以便服务器可以识别要使用哪个 SSL 证书进行应答，并通过查看从服务器返回的 SSL 证书来查看它签署了哪些域名。

HTTPS 代理：域名

如果您的 Firebox 或 XTM 设备运行的是 Fireware XTM v11.9.4 或更高版本，您可以根据您创建的域名规则配置设备以允许或拒绝访问网站、执行内容检查或绕过内容检查。要将域名规则中指定的模式与连接服务器中指定的名称进行匹配，需要使用 SNI（服务器名称指示）、证书通用名称 (CN) 或服务器的 IP 地址。

由于 SNI 可以从 HTTPS 流量标头中确定实际的服务器名称，因此它是最准确的选项。证书 CN 通常由同一站点的多个服务共享。例如，YouTube 和 Google Maps 等许多 Google 服务共享同一个证书 CN。如果您根据证书 CN 阻止对 YouTube 的访问，则对 Google Maps 和其他具有相同 CN 的服务的访问也会被阻止。如果 SNI 不可用，则使用证书 CN。

http://www.watchguard.com/help/docs/wsm/xtm_11/en-US/index.html#en-US/proxies/https/https_domain_names_c.html%3FTocPath%3DProxy%2520Settings%7CAbout%2520the%2520HTTPS-Proxy%7C_____3

使用 Watchguard (Websense) 和 SQUID 以及使用透明代理模式的 SQUIDGuard 阻止 HTTPS 内容

答案1

相关内容