正向代理 HTTPS 主要有两种方案,分别是基于证书的解密与再加密方案和基于 HTTP CONNECT 隧道的方案,以下是这两种方案的具体信息:
一、基于证书的解密与再加密方案
原理
- 工作原理:代理服务器拥有自己的证书,客户端需要信任该证书。当客户端通过代理服务器访问目标网站时,代理服务器会使用自己的证书与客户端建立加密连接,同时与目标服务器建立另一个加密连接,然后对客户端和目标服务器之间的数据进行解密和再加密,从而实现对 HTTPS 流量的代理。
- 优缺点:
- 优点:代理服务器可以解析出请求和响应内容,便于进行内容过滤、监控和缓存等功能。
- 缺点:需要客户端信任代理服务器的证书,配置相对复杂,且存在一定的安全风险,因为代理服务器可以查看和修改加密数据。
- 适用场景:适用于需要对 HTTPS 流量进行深度解析和控制的场景,如企业内部的网络安全管理、内容过滤等。
常见应用与场景举例
- 企业安全网关 / 防火墙:
- 场景: 大型企业内网出口。
- 用途:
- 深度检测恶意软件、勒索软件(检查文件下载内容)。
- 防止数据泄露(DLP - 监控信用卡号、机密文件上传)。
- 过滤非法/违规内容(如色情、赌博网站)。
- 实施精细化上网策略(基于内容类别而非仅域名)。
- 举例: 员工访问
https://drive.google.com时,代理解密并扫描上传的文件是否含公司机密。
- 合规性审计:
- 场景: 金融、医疗等强监管行业。
- 用途:
- 记录所有进出流量以满足法规要求(如 GDPR、HIPAA 日志审计)。
- 监控员工行为是否符合公司政策。
- 举例: 银行记录员工通过企业微信发送的所有文件,确保无客户数据违规外泄。
- 内容优化与加速:
- 场景: 学校、大型机构网络。
- 用途:
- 缓存 HTTPS 内容(如软件更新、视频资源)。
- 压缩传输数据节省带宽。
- 屏蔽广告或恶意脚本。
- 举例: 校园网代理缓存
https://windowsupdate.com的更新文件,减少外网带宽消耗
二、基于 HTTP CONNECT 隧道的方案
原理
- 工作原理:代理服务器不涉及对加密数据的解密和再加密,而是通过 HTTP CONNECT 方法为客户端和目标服务器建立一个 TCP 隧道。客户端通过代理服务器与目标服务器建立连接后,数据直接在客户端和目标服务器之间传输,代理服务器只起到转发的作用。
- 优缺点:
- 优点:不需要客户端信任代理服务器的证书,配置相对简单,安全性较高,因为代理服务器无法查看和修改加密数据。
- 缺点:代理服务器无法解析 HTTPS 流量的内容,无法实现内容过滤和监控等功能。
- 适用场景:适用于只需要代理服务器帮忙建立连接,而不对 HTTPS 流量进行深度解析的场景,如简单的网络访问代理等。
常见应用与场景举例
- 企业安全出站控制(基础层):
- 场景: 公司或学校网络。
- 用途:
- 基于域名/IP 实施访问控制(如禁止访问
facebook.com)。 - 仅记录访问的域名(不记录具体内容)。
- 防止内部主机直接暴露公网 IP。
- 基于域名/IP 实施访问控制(如禁止访问
- 举例: 员工通过代理访问
https://online.visa.com支付账单,代理仅知道访问了online.visa.com,无法看到卡号。
- 绕过网络限制:
- 场景: 受防火墙限制的环境(如办公室、学校)。
- 用途:
- 通过外部代理访问被封锁的服务(如 GitHub、Google)。
- 不触发深度检测(因内容未解密)。
- 举例: 开发者在企业网内配置 VS Code 使用
CONNECT代理连接https://api.github.com,绕过企业防火墙对代码仓库的封锁。
- 移动设备安全接入:
- 场景: 企业 BYOD(自带设备)或 MDM(移动设备管理)。
- 用途:
- 在不安装企业根证书的前提下,强制流量经过企业代理。
- 保护企业数据(隔离内网与外网流量)。
- 举例: 员工的个人手机通过企业 Wi-Fi 上网时,所有
CONNECT流量经代理过滤,阻止访问恶意域名。
- 开发者调试工具:
- 场景: 本地开发环境(如 Charles Proxy、Fiddler)。
- 用途:
- 默认以
CONNECT模式工作,除非用户显式启用 HTTPS 解密。 - 查看加密流量的元数据(域名、IP、连接时间)。
- 默认以
- 举例: 开发者使用 Charles Proxy 调试 App,仅监控 API 请求的域名和响应大小,无需导入证书解密内容。
