有用过LightSpeed Web Filter的同学吗？试用后觉得不是一般的强大。

audreamer

之前用DansGuardian，后来用Zscaler，因为都是基于代理服务器技术觉得不怎么样。
单位刚搞了一台LightSpeed Web Filter，基于桥接的包过滤，经过它的所有数据包都被分析和过滤，现在所有客户机通过NAT上网，但所有数据包都可以拦截。

而且它还可以将https的google搜索直接重定位到http，所有搜索关键字都被记录下来，太狠了。

暂时还没有找到可以翻墙的方法，所有使用SSH或HTTP代理服务器的数据包都直接被ban掉，比起GFW还狠呀。

Melwater

将https的google搜索直接重定位到http？

不懂这个，是能解密https？这不太可能。还是说重定向到http，然后要用户重输入？

future2521

VPN上128位加密还能拦截么？

kevin2005

future2521 发表于 2013-7-4 00:01
VPN上128位加密还能拦截么？

直接把协议和端口封掉了

lz可以试试http tunnel，我觉得从原理上来说，应该没办法过滤

audreamer

Melwater 发表于 2013-7-3 22:53
将https的google搜索直接重定位到http？

不懂这个，是能解密https？这不太可能。还是说重定向到http，然后 ...

不是解密，是直接重定向到http，任何时候你输入https都给重定向到http。
现在每个人在google，bing和youtube搜索的任何东西都看得到了。

audreamer

kevin2005 发表于 2013-7-3 23:06
直接把协议和端口封掉了

lz可以试试http tunnel，我觉得从原理上来说，应该没办法过滤 ...

这位同学说的是对的，它直接给VPN的协议和端口封掉了，VPN数据包根本出不去。

试过用http tunnel，不过它会block unknown IP address，所以连我家的服务器连不了。没有试过第三方的http tunnel，估计如果买第三方的http tunnel，如果是unknown IP address它会封掉，如果有域名，它会认为是proxy or vpn site，也是封掉，所以不想浪费钱买来试。

请问各位还什么好的方法吗？

symeteor

ssh直接被干掉？可能性不大吧
你可以试试把ssh服务器的端口改到21。。
我之前公司就这样，22直接把干掉，改到21就ok了。。

eric_gao

把ssh改在80呢

audreamer

symeteor 发表于 2013-7-9 02:15
ssh直接被干掉？可能性不大吧
你可以试试把ssh服务器的端口改到21。。
我之前公司就这样，22直接把干掉，改 ...

试过改到80，或443都不行。

它不是屏蔽22端口，是屏蔽SSH数据包，它可以分析到第7层的数据包，太神经了。

audreamer

eric_gao 发表于 2013-7-9 07:27
把ssh改在80呢

试过改到80，或443都不行。

红烧鸡翅

用手机3g上网，还能封不

audreamer

红烧鸡翅 发表于 2013-7-9 08:46
用手机3g上网，还能封不

当然封不了啦，但是不在讨论的范围了呀。

鱼羊鲜

都这样了 还是别顶风作案了

audreamer

鱼羊鲜 发表于 2013-7-9 15:45
都这样了 还是别顶风作案了

因为所有network activities都被记录，所以想请教有没有方法可以绕过它。

yzh1999

基本没有。https tunnel都不行，block掉unknown sites这招实在太狠了
不过你确实即使你给家里assign一个正常点的name, 也会被ban?

bululu

看起来不错，请问楼主哪里买的，价格几何？

audreamer

yzh1999 发表于 2013-7-10 11:52
基本没有。https tunnel都不行，block掉unknown sites这招实在太狠了
不过你确实即使你给家里assign一个正 ...

据他们说，他们的列表分类是手工访问网站，然后放入他们的数据库的，所以如果我在家里申请一个正常的域名，也要有正常的Web Site一段时间，等他们分类后才可以，理论上应该是可行的，不过实际上操作时有点麻烦。

yzh1999

audreamer 发表于 2013-7-11 09:20
据他们说，他们的列表分类是手工访问网站，然后放入他们的数据库的，所以如果我在家里申请一个正常的域名 ...

手工？工作量有点不太现实嘛，我感觉可能是关键词自动分类的
不过你可以试试，在家架个网站，放些正常内容，同时在443建个http tunnel，用客户端证书限制访问

audreamer

bululu 发表于 2013-7-10 12:45
看起来不错，请问楼主哪里买的，价格几何？

我们还没有买，现在只是试用，他们没有给我们报价，先叫我们先试用，决定好后再说。我觉得他们有点狡猾，如果我们满意后，他们可能会狮子大开口报价。

不过说实在的，我们用过很多类似的产品，这个确实是目前比较好的，唯一的缺点就是，现在连我现在想走后门绕过它都没办法了。

audreamer

yzh1999 发表于 2013-7-11 09:42
手工？工作量有点不太现实嘛，我感觉可能是关键词自动分类的
不过你可以试试，在家架个网站，放些正常内 ...

他们说他们雇了一大帮家庭主妇，手动筛选。不过估计这些家庭主妇不认识中文，所以对中文网站的分类不正确，只看网站的图片就分类了：

xunlei.com                security
oursteps.com.au        sports
youku.com                adult

audreamer

又看了几个银行的网站，老外大妈的中文还是不行，英文的联邦银行没有问题，国内银行就农业银行对，估计它上面有英文版。

联邦银行 cba.com.au        business.finance

招商银行 cmbchina.com        general

工商银行 icbc.com.cn        world

中国银行 boc.cn                world

建设银行 ccb.com        security

农业银行 abchina.com        business.finance

yzh1999

这个
youku.com adult...
这样就简单了啊，你就自己建个http网站放点简单内容

audreamer

yzh1999 发表于 2013-7-11 11:57
这个
youku.com adult...
这样就简单了啊，你就自己建个http网站放点简单内容 ...

好主意。

唯一缺点是我每次访问我家里的服务器都会被记录下来。

基本上这个东西记录所有数据包，连UPD 的数据包都记录，例如DNS Query.

yzh1999

嗯，唯一的弱点是你的https会产生大量流量，如果做分析可能会被抓，所以你要设个规则，什么走什么不走
其它倒是不怕的，反正他们不知道你具体传的什么

willpp

关键看谁分析吧，老板要是不懂，不还是你说的算么

yzh1999

这种货一般都有个很nb的分析工具

audreamer

yzh1999 发表于 2013-7-11 13:59
这种货一般都有个很nb的分析工具

是的，它的分析功能设计得很科学，例如可以按照协议、流量、网站等出报告，还有图表，只要点几下鼠标就出来了，每个IT的人都可以访问，所以要谨慎点，现在所有IT里的人都不敢随便上网了。

dadumile

这是一个软件，还是一个硬件设备？

eltonfive

just install a RDP gateway server at home, and publish remoteapp you need, only keyboard input and display feedback transmit over the line, minimum network traffic.

dadumile

https的代理服务器能ban掉吗？