我试图比较这两个解决scheme,当涉及到内容阻塞:
1 – configuration了SQUID和SQUIDGUARD软件包的pFSense设备
2 – 使用Websense的Watchguard FW
所以,为了阻止像https://www.facebook.com这样的东西,单独使用Squidguard,我必须执行MITM攻击,或者放弃使用透明代理模式的选项,但是Watchguard设法阻止同一页面而不会丢失透明代理选项。 有人可以帮我理解这是如何工作,请?
Watchguard通过安装SSL证书和对所有stream量进行中间人攻击(MITM),以同样的方式进行HTTPS全内容检查,但是可以通过查看服务器名称指示器字段由浏览器发出,以便服务器可以识别要回答的SSL证书,并查看从服务器返回的SSL证书以查看其签名的域名。
HTTPS代理:域名
如果您的Firebox或XTM设备运行的是Fireware XTM v11.9.4或更高版本,则可以将设备configuration为允许或拒绝对站点的访问,执行内容检查或根据您创build的域名规则跳过内容检查。 要使您的域名规则中指定的模式与连接服务器中指定的名称匹配,请使用SNI(服务器名称指示),证书公用名称(CN)或服务器的IP地址。
因为它可以从HTTPSstream量头中确定实际的服务器名称,所以SNI是最准确的选项。 证书CN通常在同一站点的多个服务之间共享。 例如,许多Google服务(例如YouTube和Google地图)共享相同的证书CN。 如果您根据证书CN阻止访问YouTube,则Google地图和其他具有相同CN的服务也将阻止访问。 如果SNI不可用,则使用证书CN。