我们有一个使用BlueCoat ProxySG(软件6.4.3.1)的明确的(不透明的)代理设置。
当我创buildWeb访问层规则,如:
我仍然可以通过代理在外面做一个SSH。
相反,当指定的东西沿线
(没有HTTPS的明确声明)我也可以通过代理进行SSH。
唯一有用的(用SSH)是指定All TCP Tunneling: DENY 。 但是在这种情况下HTTPS也不能工作。
因此HTTPS似乎被视为TCP隧道。 这也是跟踪文件在HTTPS请求上显示的内容:
CONNECT tcp://www.xxx.com:443/
我知道,只要有人被允许创build传出的encryption连接,他们可能会做几乎任何工作。 但是我不想让它太容易。
那么如何识别HTTPS而不允许太多其他的东西呢? (可能不设置MitM的东西等等)为什么有一个名为HTTPS的对象,当我使用它不会改变任何东西。 我真的没有那个部分。
Alrighty,
寻找在SSH等情况下不存在的User-Agent头是官方的答案。
常规的HTTPS会话通常会将这些头文件与对HTTP CONNECT xxx:443方法的调用一起传输(在隧道连接的情况下)。 我们实际上只允许连接到代理上的80端口,所以没有HTTP(不再)隧道。
这是安全的默默无闻,但我想在这种情况下,有更多的不能做这个设备…