使用监视保护(Websense)与使用透明代理模式的SQUID和SQUIDGuard阻止HTTPS内容

Question

当涉及到内容阻塞时，我试图比较这两种解决方案：

配置了SQUIDGUARD和SQUIDGUARD包的pFSense设备

2-使用Websense的监视警卫FW

因此，为了阻止像https://www.facebook.com这样的东西，我必须单独使用Squid卫士执行MITM攻击，或者放弃使用透明代理模式的选项，但是Watchguard成功地阻止了完全相同的页面，而不丢失透明的代理选项。有人能帮我理解一下那是怎么回事吗？

Answer 1

Watchguard通过安装SSL证书和对所有通信量进行中间人攻击，以同样的方式进行HTTPS全内容检查，但它可以通过查看浏览器发送的服务器名称指示符字段来阻止域名，从而使服务器能够识别要回答的SSL证书，并查看从服务器返回的SSL证书，以查看它所签名的域名。

HTTPS-代理:如果Firebox或XTM设备运行Fireware XTM v11.9.4或更高版本，则可以将设备配置为允许或拒绝对站点的访问、执行内容检查或根据您创建的域名规则绕过内容检查。若要将域名规则中的指定模式与连接服务器中指定的名称匹配，则使用SNI (服务器名称指示)、证书公共名称(CN)或服务器的IP地址。因为它可以从HTTPS流量头中确定实际的服务器名称，所以SNI是最准确的选项。证书CN通常在来自同一站点的多个服务之间共享。例如，许多谷歌服务，如YouTube和Google共享相同的证书CN。如果基于证书CN阻止对YouTube的访问，则也会阻止对具有相同CN的Google和其他服务的访问。如果SNI不可用，则使用证书CN。http://www.watchguard.com/help/docs/wsm/xtm_11/en-US/index.html#en/proxies/https/https_域名_名字_c.html%3FTocPath%3DProxy%2520Settings%7CAbout%2520the%2520HTTPS-Proxy%7C_____3.