设为首页   锐捷官网
用其他帐号登录:
查看: 2491|回复: 3

[求助] EG2000GE 为什么不能禁止https的网站?

[复制链接]

3

主题

5

帖子

24

积分

新手上路

Rank: 1

积分
24
发表于 2016-4-15 15:39:26 | 显示全部楼层 |阅读模式
比如 在某个时段 ,只允许A客户机访问某个网站。

按400在线客服给的答案 那就是建立2条策略:
第1条:允许该客户机访问某个自定义的网站
第2条:禁止访问所有网站。

问题是,直接在浏览器输入https://www.taobao.com  https://www.baidu.com
都可以轻松突破EG的限制。。。

问客服,他说就是这样的。


这样的大坑留在这里,不知道研发人员有没有与时俱进呢?怎么解决?还请有一个说明。
回复

使用道具 举报

19

主题

106

帖子

1180

积分

金牌会员

Rank: 6Rank: 6

积分
1180
发表于 2016-4-15 17:42:22 | 显示全部楼层
400提供的策略方式是在HTTP的协议基础上的网址过滤。EG针对HTTPS这类加密的情况,通过正常的URL过滤是做不了的。
针对这类HTTPS地址的控制,目前业界了解有几种管理方式,1、通过分析网站证书做审计,这个有审计效果,达不到阻断效果;2、针对某些具体HTTPS网站的访问,根据网站内容,做相应的应用特征识别,归到某一个应用分类里面,这个方式只能做少量网站,或者说直接把SSL这类应用封掉,但这个会导致误封其它内容;3、把特定的HTTPS的网址加到清单里,设备解析成IP,然后将去往这些IP的地址做中间人代理,这个也是无法将封堵做全的,而且被中间人代理的网址在访问过程中是有感知的,会提示证书错误。
通过这些管理手段,将特定的https网址封堵掉,是可以的,后面版本考虑下。但目前了解的这些技术,将所有网址,包括HTTPS的都封掉,而只放行几个网址,都是有明显的问题的
回复 支持 反对

使用道具 举报

3

主题

5

帖子

24

积分

新手上路

Rank: 1

积分
24
 楼主| 发表于 2016-4-15 23:10:12 | 显示全部楼层
caiming 发表于 2016-4-15 17:42
400提供的策略方式是在HTTP的协议基础上的网址过滤。EG针对HTTPS这类加密的情况,通过正常的URL过滤是做不 ...

我觉得你说的后面2个思路 可以.   

即使有缺陷 也可以提供升级一下功能,出现相应的选项给用户选择.

因为使用这款产品的 有很多其实就是 * 用户. 比如 你只允许学生访问锐捷的官网.  学生却在上课时候https去访问淘宝.那这样多尴尬....领导看到了 会这么想你们的产品?
回复 支持 反对

使用道具 举报

3

主题

5

帖子

24

积分

新手上路

Rank: 1

积分
24
 楼主| 发表于 2016-4-15 23:12:13 | 显示全部楼层
我的理解 * 项比容易让一线的机房管理员接受.即使有误杀,很多时候也不会影响,总比让客户随意访问淘宝,在购物好吧?
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则