USG6650 URL过滤在使用HTTP或HTTPS代理时过滤失败

发布时间:  2014-05-14 浏览次数:  306 下载次数:  0
问题描述
客户当前产品USG6650版本为V100R001C00SPC200.
组网拓扑: PC-----ROUTER---------USG6650-------------internet
客户使用USG6650产品配置URL过滤功能,对某些(某个)用户阻止某些(某个)网站的访问,阻止成功后,客户通过配置一款代理软件后,成功绕过USG6650产品的安全策略,被阻止的网站可以成功访问。
告警信息
处理过程
1:通过配置IE浏览器的代理测试,然后访问被阻止的网站,无法访问,URL过滤功能依然生效。
2:a:通过配置普通代理软件(如Ccproxy),并且将代理软件置于用户和USG6650之间(置于内网),然后访问被阻止的网站,无法访问,URL过滤功能依然生效,未受到代理影响。
      b:通过配置普通代理软件(如Ccproxy),并且将代理软件置于USG6650和外网之间(置于外网),然后访问被阻止的网站,无法访问,URL过滤功能依然生效,也未受到代理影响。
3:通过配置特殊的代理软件(如zenmate),然后访问被阻止的网站,能够成功访问,成功绕开了USG6650的安全策略。
因为此类特殊代理软件,报文都经过加密处理,USG6650无法识别报文内容,也就无法进行URL过滤阻断。
根因
对于特殊代理(加密过,类似翻墙软件),USG6650无法识别报文内容,所配置的URL过滤将失效。
建议与总结
对于普通代理(未经加密或者未走VPN隧道),USG6650配置URL过滤功能无影响。
对于特殊代理(加密过,类似翻墙软件),USG6650无法识别报文内容,所配置的URL过滤将失效。

END