Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》Pharming protection與HTTPS測試站台 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380

shunze 離線
《分享》Pharming protection與HTTPS測試站台引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

客戶來電表示,透過修改電腦的hosts檔案來指定某FQDN指向客戶的測試IP站台後,
該電腦上只有HTTP網站可以順利開啟此測試IP站台的網頁,
而HTTPS網頁則會導到正式站台的IP而不是測試IP。

這部分已在外部線路測試過,一切正常,HTTP與HTTPS網站都可以以導轉到測試IP順利開啟,
只有接在內部XG網路環境中才會發生!?

但客戶端的防火牆規則並無啟用HTTPS scan,
但HTTPS站台卻被XG強迫導向到真正的IP站台?著實令人不解...


測試後發現,Web Protection中的pharming protection(網址嫁接保護)是個全域設定,
即便沒有任何規則啟用HTTPS scan,該設定還是會主動生效,
強迫檢查憑證是否正確,然後將錯的網址導轉到真正網址。



關掉此功能,即可順利進行測試站台的測試。


進一步測試,
若我們指定某個FQDN(例如aaa.com)指向某個憑證站台IP例如gmail的172.217.27.133,
在開啟pharming protection的情況下,會因這個aaa.com站台的憑證不正確而無法開啟。



但在取消pharming protection後,該網頁在同意繼續瀏覽後就可以開啟了∼




Pharming protection雖然安全,但也會因安全問題,對臨時性or測試性的HTTPS站台產生干擾。
Pharming protection目前還沒有例外放行的policy可設定,
遇到衝突時,就先停用pharming protection吧...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-05-24, 15:21 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR