.png)
根据维基百科:
HTTP CONNECT 隧道
当位于 HTTP 代理服务器后面时,HTTP 隧道的一种变体是使用“CONNECT”HTTP 方法。1[2] 在这种机制中,客户端要求 HTTP 代理服务器将 TCP 连接转发到所需目的地。然后,服务器继续代表客户端建立连接。一旦服务器建立了连接,代理服务器将继续代理往返于客户端的 TCP 流。请注意,只有初始连接请求是 HTTP - 此后,服务器只是代理已建立的 TCP 连接。
此机制是 HTTP 代理后面的客户端如何使用 SSL 或 TLS(即 HTTPS)访问网站。
并非所有 HTTP 代理服务器都支持此功能,即使支持的服务器也可能会限制行为(例如,仅允许连接到默认 HTTPS 端口 443,或阻止看起来不是 SSL 的流量)。
我的问题是:
我可以阻止某个网站的访问吗,即使(稍后)访问和流量是 HTTPS,但有初始 HTTP 请求?
我正在尝试做这样的事情,但它不起作用:
acl social_networks dstdomain "/etc/squid3/acls/social_networks.acl"
http_access deny CONNECT social_networks all
CONNECT尽管我正在考虑该方法,但对此 ACL 中的网站的访问仍然有效。
答案1
是的,使用 squid acls 可以阻止对 https 网站的访问(我们使用 squidguard 来实现)。我认为 squid 使用现代浏览器的 SNI 信息。
但是您无法透明地做到这一点(可以,但真的不建议以这种丑陋且不安全的方式破坏 https 连接)。用户浏览器需要直接使用代理端口。强制他们使用代理端口的最佳方法是阻止路由到 wan 接口或仅阻止路由到端口 443。部署代理设置的一种好方法和灵活方法是使用 wpad/pac 文件进行自动配置 - 特别是当并非每个设备都受管理时。在受管理的设备上,您可以使用 gpos 等来部署代理设置。