Когда дело доходит до блокировки контента, я пытаюсь сравнить эти два решения:
1 - Устройство pFSense с настроенными пакетами SQUID и SQUIDGUARD
2 - Watchguard FW, использующий Websense
Итак, чтобы заблокировать что-то вроде https://www.facebook.com, используя Squidguard, по-видимому, мне нужно выполнить атаку MITM или отказаться от использования режима прозрачного прокси, но Watchguard удается заблокировать ту же страницу, не теряя параметр прозрачного прокси. Может кто-нибудь помочь мне понять, как это работает, пожалуйста?
Watchguard выполняет проверку полного содержимого HTTPS таким же образом, устанавливая сертификат SSL и выполняя атаку Man-In-The-Middle (MITM) на весь трафик, но он может блокировать доменные имена, не прибегая к этому, глядя на Поле индикатора имени сервера, отправляемое браузером, чтобы сервер мог определить, с каким SSL-сертификатом отвечать, и просмотрев сертификат SSL, возвращенный сервером, чтобы увидеть, для каких доменных имен он подписан.
HTTPS-прокси: доменные имена
Если ваше устройство Firebox или XTM работает под управлением Fireware XTM v11.9.4 или выше, вы можете настроить свое устройство так, чтобы разрешать или запрещать доступ к сайту, выполнять проверку содержимого или обходить проверку содержимого на основе созданных вами правил доменных имен. Чтобы сопоставить указанный шаблон в ваших правилах доменных имен с именем, указанным на сервере подключения, используется SNI (указание имени сервера), общее имя сертификата (CN) или IP-адрес сервера.
Поскольку он может определить фактическое имя сервера по заголовкам трафика HTTPS, SNI является наиболее точным вариантом. Сертификат CN часто используется несколькими службами с одного сайта. Например, многие сервисы Google, такие как YouTube и Google Maps, используют один и тот же сертификат CN. Если вы заблокируете доступ к YouTube на основе сертификата CN, также будет заблокирован доступ к Google Maps и другим сервисам с тем же CN. Сертификат CN используется, если SNI недоступен.