Назад | Перейти на главную страницу

Сайты Sonicwall и HTTPS

Меня попросили изучить проблему с сетью нашей компании. Устройство Sonicwall уже было настроено, и тот, кто это сделал, уже покинул компанию.

Проблема в том, что хосты с назначенными IP-адресами обычных пользователей не могут получить доступ к HTTPS-сайтам (единственное исключение, которое я видел до сих пор, - Google). Если это помогает, то HTTPS-сайты, к которым пользователи пытаются получить доступ, относятся к сайтам, связанным с бизнесом, и даже к некоторым государственным сайтам. Что странно, так это то, что любой хост, которому был назначен IP-адрес, который не проходит через Sonicwall, не имел проблем с доступом к сайтам HTTPS (я использовал термин вольно, поскольку это было то, что мне сказал парень, который его настраивал). К сожалению, я больше не могу связаться с этим парнем, поэтому вынужден расследовать это в одиночку.

Я попытался применить адреса сайтов HTTPS в разрешенных доменах в CFS, но это все равно не сработало. Я также проверил правила доступа брандмауэра и обнаружил, что IP-адрес выделяется из любого источника в любое место назначения. Естественно, я подумал, что, может быть, дело в этом. Что интересно, он даже не был включен. Выровненный по нему флажок был пуст. Увидев это, я попытался изменить IP-адрес устройства на адрес в этом распределении. Как ни странно, сайты HTTPS загрузились.

Вот скриншот в одном из блоков:

Я в тупике. Это не в CFS, не в правилах доступа. Я даже попытался добавить правила доступа, которые явно разрешили бы HTTPS-соединения, но это все равно не сработало. Есть ли у Sonicwall какой-либо другой способ фильтрации трафика, кроме межсетевого экрана и CFS? Потому что, возможно, именно здесь настроено исключение для выделения IP.

Я добираюсь сюда, но на основании вашего снимка экрана предполагаю, что это машины XP. Далее я предполагаю, что фильтр содержимого применялся прозрачно (без настроек прокси). В этом случае сайты HTTPS не будут работать в IE. Чтобы проверить теорию, снова включите CFS и попробуйте firefox. Я также предполагаю, что кто-то исключил Google из фильтрации, и поэтому вы можете туда попасть.

Если я прав - это из-за отсутствия поддержки SNI в вашем браузере. Обновите браузер (не до IE), ОС (Vista + IE в порядке) или используйте явный прокси.

Sonicwall также может блокировать трафик на основе правил контроля приложений (при условии, что у вас есть лицензия на эту функцию), вы можете временно отключить это, чтобы убедиться, что это не влияет на трафик HTTPS:

Отключение контроля приложений в зоне LAN:

  • Перейдите в Сеть> Зоны.
  • Нажмите кнопку настройки под зоной, в которой вы хотите отключить контроль приложений.
  • Снимите флажок Включить службу управления приложениями