Під час перегляду блокувати весь трафік, що не є HTTPS

Я намагаюся отримати схвалення для правила брандмауера від зовнішньої системи Windows до мережі нашої компанії, щоб отримати доступ до проксі, щоб повернутися до Інтернету. Мої потреби включатимуть використання веб-браузера, наприклад, для надання імені користувача та пароля. Моя компанія вимагає, щоб усі правила брандмауера містили лише зашифрований трафік, що проходить через них. Хоча транспортування до проксі-сервера є незашифрованим, затверджувачі пояснили, що до тих пір, поки пакети, що проходять через брандмауер, самі зашифровані (наприклад, доступ до веб-сайтів на основі TLS), це прийнятно.

Моє запитання: як можна переконатися, що під час перегляду дозволені лише запити з трафіком HTTPS?

Різке рішення полягає лише у використанні curl та / або wget, розбираючи HTML вручну і надсилаючи запити вручну на основі відповідей, забезпечуючи при кожному використанні HTTPS. Поряд з очевидним часом, який це займе, це також означатиме, що сторінки з підтримкою JavaScript не будуть працювати, як очікувалося.

Я відкритий для ряду рішень, таких як:

1. Додатки Firefox / Chrome
2. Запуск локального проксі-сервера (наприклад, CNTLM) на зовнішньому комп'ютері, який переадресовується лише віддаленому проксі-серверу, якщо URL відповідає шаблону (я звернувся до керівництва CNTLM, але я не можу знайти список командного рядка або опції налаштування) дозволяти лише певні шаблони URL-адрес)
3. Використання спеціального браузера, який надасть такий варіант
4. Чи є спосіб налаштувати проксі-тунель (маючи на увазі, що він повинен бути доступним у Windows), який шифрує трафік на одній стороні і розшифровує його з іншої сторони, тоді нічого з цього не потрібно

Зауважте, що мені не потрібно турбуватися про трафік, надісланий іншими програмами, ніж веб-переглядач, оскільки це стосується лише тих випадків, коли я спеціально налаштував проксі в цій програмі

Чи є спосіб налаштувати проксі-тунель (маючи на увазі, що він повинен бути доступним у Windows), який шифрує трафік на одній стороні і розшифровує його з іншої сторони, тоді нічого з цього не потрібно

Так - найчастіше ви використовуєте VPN для цього (наприклад, IKEv2, OpenVPN або якийсь власний продукт), оскільки він шифрує все IP-трафік і не обмежується лише HTTP. Це дуже часто для людей на зовнішніх мережах, щоб підключитися до локальної мережі своєї компанії за допомогою програмного забезпечення VPN.

Є також програмне забезпечення, яке тунелює окремі TCP-з'єднання через TLS, такі як Stunnel.

Я хотів би припустити, що вимога VPN або іншого безпечного транспорту є найкращим методом, тому що він забезпечує дотримання політики на стороні компанії і уникає аварій, таких як втрата клієнтом / "забуття" конфігурації.

З іншого боку, VPN'інг в мережу компанії тільки захищає трафік між вами та проксі-сервером, але нічого не робить для виконання цих запитів переадресовано від проксі-сервера в безпеці. (Я не знаю, що ваша політика стосується лише вхідних з'єднань або вихідних.) Якщо це так є вимога, вона повинна бути реалізована на самому проксі.

Додатки Firefox / Chrome

Для ручної конфігурації Firefox підтримує окремі адреси проксі-серверів для HTTP і HTTPS ("SSL"); він використовував розширення для налаштування цього сайту.

Багато браузерів підтримують a Файл PAC яка може мати спеціальну логіку для вибору проксі-сервера на основі URL-адреси.