Рассмотрим сеть с брандмауэром с высокоуровневым требованием, что нормальный просмотр веб-страниц должен работать, но ничего больше (например, ssh и skype запрещены). (Входящие соединения, разумеется, запрещены.)
Что делать с трафиком HTTP CONNECT? С одной стороны, он мог пропускать все, что делало брандмауэр неэффективным. С другой стороны, его можно заблокировать: полностью ли это заблокирует HTTPS? (Предположим, что брандмауэр не будет играть роль посредника в надежде, что клиенты не заметят поддельные сертификаты.)
Другими словами, каково практическое «нормальное» использование CONNECT и что является хорошим приближением ограничения его использования «нормальными» случаями?
HTTP CONNECT предназначен для туннелирования и не требуется. Блокировка CONNECT не влияет на обычные сайты, которые обычно обрабатывают запросы GET, HEAD и POST. Подобная блокировка предполагает глубокую проверку пакетов. Веб-прокси может быть более подходящим инструментом для этого, чем брандмауэр.
HTTPS не будет заблокирован при блокировке CONNECT. Шифрование закрывает соединение, и запросы проходят по зашифрованному каналу. В результате вы не сможете блокировать запросы CONNECT в соединениях HTTPS.