Bluecoat代理:允许HTTPS访问网站,同时禁止TCP隧道(SSH / …)

我们有一个使用BlueCoat ProxySG(软件6.4.3.1)的明确的(不透明的)代理设置。


当我创buildWeb访问层规则,如:

  • 协议:HTTPS – >所有HTTPS:允许,
  • 协议:所有TCP隧道:然后是DENY

我仍然可以通过代理在外面做一个SSH。


相反,当指定的东西沿线

  • 协议:所有壳牌:DENY

(没有HTTPS的明确声明)我也可以通过代理进行SSH。


唯一有用的(用SSH)是指定All TCP Tunneling: DENY 。 但是在这种情况下HTTPS也不能工作。

因此HTTPS似乎被视为TCP隧道。 这也是跟踪文件在HTTPS请求上显示的内容:

  CONNECT tcp://www.xxx.com:443/ 

我知道,只要有人被允许创build传出的encryption连接,他们可能会做几乎任何工作。 但是我不想让它太容易。

那么如何识别HTTPS而不允许太多其他的东西呢? (可能不设置MitM的东西等等)为什么有一个名为HTTPS的对象,当我使用它不会改变任何东西。 我真的没有那个部分。

Alrighty,

寻找在SSH等情况下不存在的User-Agent头是官方的答案。

常规的HTTPS会话通常会将这些头文件与对HTTP CONNECT xxx:443方法的调用一起传输(在隧道连接的情况下)。 我们实际上只允许连接到代理上的80端口,所以没有HTTP(不再)隧道。

这是安全的默默无闻,但我想在这种情况下,有更多的不能做这个设备…