當(dāng)前，由于網(wǎng)絡(luò)安全形勢越發(fā)嚴峻，為了保護用戶隱私和網(wǎng)絡(luò)安全，越來越多的網(wǎng)站都開啟了HTTPS，通過數(shù)據(jù)加密、校驗數(shù)據(jù)完整性和身份認證三種機制來保障安全。

簡而言之，HTTPS可以理解為HTTP+TLS，TLS是傳輸層加密協(xié)議，是HTTPS安全的核心，其前身是SSL 。通過對數(shù)據(jù)傳輸層進行加密，可以有效防止被第三方黑客、抓包軟件截獲后解密的行為，從而極大地保護了用戶訪問網(wǎng)絡(luò)的安全性。

但在網(wǎng)絡(luò)管理中，由于網(wǎng)站進行了傳輸層加密，因此作為網(wǎng)絡(luò)管理軟件通常無法完全識別HTTPS網(wǎng)站傳輸?shù)拿魑膱笪?，因此無法達到有效阻止用戶訪問HTTPS網(wǎng)站的目的。尤其是，目前很多股票網(wǎng)站、網(wǎng)絡(luò)游戲網(wǎng)站、網(wǎng)絡(luò)購物網(wǎng)站都開啟了HTTPS以保證用戶的安全。因此，這種情況下，如何禁止訪問HTTPS網(wǎng)站、如何屏蔽HTTPS網(wǎng)站就成為重要的網(wǎng)絡(luò)管理工作。

作為國內(nèi)普遍使用的上網(wǎng)行為管理軟件——大勢至“聚生網(wǎng)管”網(wǎng)絡(luò)行為管理系統(tǒng)（下載地址：http://www.grabsun.com/wangguan.html），集成了全方位的網(wǎng)址控制功能，可以只讓用戶訪問指定的網(wǎng)站，或者禁止用戶訪問指定的網(wǎng)站，同時還內(nèi)置了國內(nèi)所有主流游戲網(wǎng)站屏蔽、過濾股票網(wǎng)站、禁止打開購物網(wǎng)站等。并且還可以禁止訪問HTTPS的網(wǎng)站，并且還可以精確區(qū)分用戶所訪問的HTTPS網(wǎng)站。具體實現(xiàn)方式如下：

首先，通過“聚生網(wǎng)管”創(chuàng)建一個管理用戶上網(wǎng)的策略，如果想要完全禁止訪問HTTPS網(wǎng)站，則只需要在聚生網(wǎng)管的“策略配置”這里，點擊“ACL訪問規(guī)則”，然后創(chuàng)建一個禁止443端口的ACL規(guī)則即可。這是因為，所有的HTTPS網(wǎng)站訪問都是通過443端口進行。因此，一旦過濾443端口的數(shù)據(jù)報文，將會完全禁止訪問一切HTTPS的網(wǎng)站。如下圖所示：

圖：關(guān)閉443端口

至此，我們就實現(xiàn)了對HTTPS網(wǎng)站的全面過濾。

但是，有時候我們需要訪問網(wǎng)銀、報稅等網(wǎng)站，而此類網(wǎng)站通常也采用HTTPS技術(shù)，因此如果按照上面的方法，則會無法訪問此類網(wǎng)站，這顯然違背了網(wǎng)絡(luò)管理的初衷。這種情況下，我們可以借助于“聚生網(wǎng)管”的全局白名單來實現(xiàn)放行特定的HTTPS網(wǎng)站。如下圖所示：

點擊“聚生網(wǎng)管”界面頂部的“全局配置”，然后點擊“啟用網(wǎng)絡(luò)應(yīng)用優(yōu)先級設(shè)置”，然后選擇“啟用全局白名單設(shè)置”，然后在這里添加要例外放行的網(wǎng)址或IP地址就可以了，如下圖所示：

但是，怎么知道要例外訪問的HTTPS網(wǎng)站的IP地址呢，可以利用“聚生網(wǎng)管”的“查看主機詳細流量功能”。在要控制的電腦上右鍵點擊，然后選擇“查看主機詳細流量信息”，然后再用這個被控制的電腦去訪問想要例外放行的網(wǎng)站（需要先暫時停用ACL規(guī)則里面的“禁止HTTPS”規(guī)則，否則將無法訪問），然后在被控制的電腦打開了想要例外訪問的網(wǎng)站后，這個時候一般也就可以停止抓包了，然后就會看到所有抓取到的IP地址，這些IP地址通常就是訪問例外網(wǎng)站所必須的（需要注意的是，在抓包時最好在被控制的電腦上不要再打開其他應(yīng)用，防止誤判）。然后點擊“導(dǎo)出列表”將捕獲到的IP地址導(dǎo)出來，加入到到“全局白名單”就可以了。如下圖所示：

至此，我們就實現(xiàn)了禁止HTTPS網(wǎng)站的同時，放行了指定的HTTPS網(wǎng)站。

最新評論