在内容阻止方面,我尝试比较以下两种解决方案:
1 - 配置了 SQUID 和 SQUIDGUARD 包的 pFSense 设备
2 - 使用 Websense 的 Watchguard FW
因此,为了阻止类似https://www.facebook.com,使用 Squidguard 显然我必须执行 MITM 攻击,或者放弃使用透明代理模式的选项,但 Watchguard 设法阻止了同一个页面,而不会丢失透明代理选项。有人能帮我理解它是如何工作的吗?
答案1
Watchguard 通过安装 SSL 证书并对所有流量进行中间人 (MITM) 攻击,以相同的方式进行 HTTPS 完整内容检查,但它可以通过查看浏览器发送的服务器名称指示器字段来阻止域名,以便服务器可以识别要使用哪个 SSL 证书进行应答,并通过查看从服务器返回的 SSL 证书来查看它签署了哪些域名。
HTTPS 代理:域名
如果您的 Firebox 或 XTM 设备运行的是 Fireware XTM v11.9.4 或更高版本,您可以根据您创建的域名规则配置设备以允许或拒绝访问网站、执行内容检查或绕过内容检查。要将域名规则中指定的模式与连接服务器中指定的名称进行匹配,需要使用 SNI(服务器名称指示)、证书通用名称 (CN) 或服务器的 IP 地址。
由于 SNI 可以从 HTTPS 流量标头中确定实际的服务器名称,因此它是最准确的选项。证书 CN 通常由同一站点的多个服务共享。例如,YouTube 和 Google Maps 等许多 Google 服务共享同一个证书 CN。如果您根据证书 CN 阻止对 YouTube 的访问,则对 Google Maps 和其他具有相同 CN 的服务的访问也会被阻止。如果 SNI 不可用,则使用证书 CN。