根据维基百科:
HTTP CONNECT 隧道
在 HTTP 代理服务器后面时,HTTP 隧道的一种变体是使用“CONNECT”HTTP 方法。1 [2] 在这种机制中,客户端要求 HTTP 代理服务器将 TCP 连接转发到所需的目的地。然后服务器继续代表客户端建立连接。一旦服务器建立了连接,代理服务器将继续代理与客户端之间的 TCP 流。请注意,只有初始连接请求是 HTTP - 之后,服务器只是代理已建立的 TCP 连接。
这种机制是 HTTP 代理后面的客户端如何使用 SSL 或 TLS(即 HTTPS)访问网站。
并非所有 HTTP 代理服务器都支持此功能,甚至那些支持此功能的服务器也可能会限制该行为(例如,仅允许连接到默认的 HTTPS 端口 443,或阻止似乎不是 SSL 的流量)。
我的问题是:
我可以阻止对网站的访问,即使(稍后)访问和流量是 HTTPS,但具有初始 HTTP 请求?
我正在尝试做这样的事情,但它不起作用:
acl social_networks dstdomain "/etc/squid3/acls/social_networks.acl"
http_access deny CONNECT social_networks all
尽管我正在考虑该CONNECT方法,但此 ACL 中对网站的访问仍然有效。
是的,squid acls 可以阻止对 https 网站的访问(我们为此使用 squidguard)。我认为 squid 使用来自现代浏览器的 SNI 信息。
但是你不能做到透明(它是,但真的不建议以那种丑陋和不安全的方式来阻止 https 连接)。用户浏览器需要直接使用代理端口。强制它们的最佳方法是阻止路由到 wan 接口或仅路由到端口 443。部署代理设置的一种良好且灵活的方法是使用 wpad/pac 文件进行自动配置 - 特别是当并非所有设备都受到管理时。在托管设备上,您可以使用 gpos 等来部署代理设置。