Shunze 學園 >資訊設備專區 >Cyberoam > 《分享》SSL站台之網頁過濾測試 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2332

shunze 離線
《分享》SSL站台之網頁過濾測試引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在Cyberoam上套用網頁過濾,對一般HTTP站台來說,基本上是沒問題的;
但若是HTTPS加密站台,那就不一定了。

因為透過SSL憑證加密後,client端送到Cyberoam的線資訊已經加密,
Cyberoam“不見得”能夠解析出站台網址,進而達到網頁過濾的效果。

之所以說不見得,那是因為在實務上,有些站台可以過濾,但有些有不行;
例如yahoo就不行,但youtube就可以過濾,而facebook及google則會出現憑證問題。
(網域過濾條件為tw.yahoo.com,youtube.com,facebook.com,google.com)









據同事說,各家防火牆在處理HTTPS的網頁過濾時,都會遇到相同問題,解決方法則是透過Cyberoam來做為proxy。
當使用者發起連線時,先以Cyberom的憑證連到Cybeoram;
Cyberoam解析出網址後,再發起實際的對外需求來連結台,以達網頁過濾的效果。

Cyberoam的SSL Proxy憑證,請到 系統/憑證/憑證授權 中的Cyberoam_SSL_CA中下載。



下載後,再到使用者的瀏覽器中,將憑證匯入“受信任的根憑證授權單位”即可。
使用者在上網時,遇到要過濾的HTTPS站台時,會自動透過Cyberoam做為Proxy,再發起對外連線。

說是這麼說,那實際測試起來效果如何?
實測後發現tw.yahoo.com還是不能擋,但facebook已經可以成功過濾了,而google則由原來的憑證問題變成不能擋了。
(網域過濾條件同樣為tw.yahoo.com,youtube.com,facebook.com,google.com)









不過這部分跟瀏覽器的類型也有關。
上述的測試都是以Chrome為測試平台,若改用IE 11,則發現相同過濾條件下,這4個站台都可以擋!
看來瀏覽器的設計也影響過濾的效果!?



回到Chrome,若把yahoo的網域過濾條件由tw.yahoo.com改為yahoo.com,則發現yahoo也可以擋了。



為什麼過濾條件設定為tw.yahoo.com,IE可以擋,Chrome不能擋;
而過濾條件改為yahoo.com則兩著可以擋?
說真的,順子不知道怎麼解釋耶...

至於google擋不掉,應該跟Chrome本身的設計有很大的關係。
因為Chorme的預設頁面就是google,搜尋引擎也是自家google,Chrome本身跟google綁的很深。
若不用Chrome,改以IE來測試,過濾的效果則可正常生效。


另外,在HTTPS的過濾上,最麻煩的不是Cyberoam SSL CA憑證的下載,而是如何去部署。
若環境中有導入AD網域,還可以 透過群組原則將憑證發佈至用戶端電腦
但若沒有導入網域,幾百台的電腦如何去逐一去安裝設定憑證?
這絕對是一個苦差事!

所以在這邊分享一個小偏方。
在Cyberoam上可以設定FQDN主機,並把這些FQDN主機綁定為一個群組,
然後在防火牆上建立規則,把外部主機指向這FQDN群組,服務類型設定為HTTP及HTTPS,
而這條規則的動作就設定為“丟棄”或“拒絕”,
這樣就可以封阻這些站台的網頁使用了。







當然這個做法跟真正的網頁過濾還是有差,
首先,這被封阻的站台不會出現Cyberoam上可客製化的阻擋訊息頁面;
再來,這個做法無法透過關鍵字來進行封鎖站台封鎖,只能輸入完整FQDN;
最後,若Cyberoam的DNS與User的DNS不同,解析出來的IP不同,那在封阻效果上就會有差異。



參考資料
SSL CA Certificate Installation Guide
使用群組原則將憑證發佈至用戶端電腦



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2015-05-13, 17:20 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2332

shunze 離線
《分享》擋不掉使用QUIC的Chrome?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

為了改善傳統瀏覽器在三向交握時的冗長時間,Google開發了其自有協定QUIC,並落實在Chrome瀏覽器上,
加速了Chrome在開啟網頁時的速度。



但這麼一來卻造成了Cyberoam的網頁過濾無法發揮預期效果...


↑Google使用QUIC,Cyberoam無法阻擋。


↑Youtube使用QUIC,Cyberoam無法阻擋。


↑Facebook沒有使用QUIC,所以Cyberoam還可以阻擋。


有什麼辦法可以擋掉QUIC,讓Cyberoam的網頁過濾發揮效果呢?
在這個 “QUIC Protocol - Web filtering not work p...gle Chrome only” 網頁中,作者提出了以下三個做法。

  1. 停用使用者電腦釮hrome的QUIC Protocol。
    chrome://flags



  2. 在防火牆中,封鎖QUIC Application。

  3. 在防火牆中,建一規則擋掉UDP的80及443 port。


由於Cyberoam堙A並未針對QUIC定義為一個Applcation,所以目前只能採用第三種做法,擋掉UDP的80及443 port。





在擋掉UDP的80及443 port後,Cyberoam已成功強迫Chrome採用傳統TCP的三向交握,
達到以Cyberoam做為Proxy,進行封鎖HTTPS網頁的效果∼


↑原本擋不掉的Youtube,擋掉UDP 80及443 port後,現在Cyberoam也可以阻擋了。


參考資料
QUIC Protocol - Web filtering not work p...gle Chrome only



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2015-07-29, 21:02 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR