问题

匿名化服务通常用于绕过各种浏览限制和互联网防火墙。 许多知名和流行的匿名器使用规避技术绕过NGFW/传统防火墙。 这些技术包括SNI欺骗、规避协议、隐藏在CDN后面以及在服务器IP之间跳转。 任何被Cato识别为应用程序或服务的匿名化服务都将被归类为"匿名器"。 例如，ClearVPN、Hola VPN、Mullvad VPN、NordVPN、CyberGhost VPN、TunnelBear VPN、Private Internet Access (PIA)、Surfshark VPN、Express VPN等等。

本文解释了如何创建基准防火墙规则以有效地阻止匿名化服务。 然而，由于匿名器采用的各种规避技术，成功阻止所有匿名器可能具有挑战性。 如果匿名器在配置基准规则后仍未被阻止，请联系支持获取帮助。 

注意: 还必须启用TLS检查和IPS。

解决方案

为了建立基准保护，需要创建两条互联网防火墙（IFW）规则。 此外，最佳实践是创建应用控制规则，这需要有效的CASB许可证。

• 第一条规则使用IFW规则阻止匿名器类别。 
• 第二条规则使用IFW规则阻止匿名器使用的常见协议和规避技术。
• (可选) 第三条规则通过应用控制规则阻止OpenVPN文件。 (这需要有效的CASB许可证)

Cato维护了一份最常用匿名器的精选列表。 要查看此列表，请转到资源 > 应用目录并在“类别”下选择"匿名器"。

对于不在此列表中的其他匿名器，我们通过它们使用的协议和规避技术来识别它们。 WireGuard、OpenVPN、规避DNS和规避TLS是匿名器常用的协议和技术，以增强隐私和绕过网络限制。

WireGuard

阻止WireGuard协议需要在互联网防火墙规则中阻止WireGuard协议。

OpenVPN

OpenVPN是一种用于站点到站点和点到点连接的安全隧道协议。 它可以通过TCP或UDP进行通信，用户可以定义端口。

阻止OpenVPN协议需要在互联网防火墙规则中阻止OpenVPN协议，并使用文件控制规则阻止OpenVPN配置文件。

规避DNS

许多匿名器使用DNS隧道和其他UDP流量通过端口53（又名“规避DNS”）来绕过防火墙。

规避流量通过TCP/443

规避流量通过端口443是一种匿名器使用的技术，用于在看似合法的TLS流量中隐藏其活动。 根据官方RFC，这些不是真正的TLS流量。
许多匿名器使用规避TLS流量来绕过防火墙。

以下是一些已知的匿名器，通过阻止匿名器类别和相应的IFW服务可以成功阻止它们。

对于上表中未列出的匿名器，按照以下步骤创建阻止它们的基线防火墙规则。 

规则 1：阻止匿名器类别

• 导航到 安全性 > 互联网防火墙
• 点击 新建 > 新建规则
• 在应用/类别下，选择应用类别。 然后，从下拉列表中选择匿名器。
•  

规则 2：阻止可疑服务

• 导航到 安全性 > 互联网防火墙
• 点击 新建 > 新建规则
• 在服务/端口下，配置以下服务
  

一旦这两个规则配置完，他们应该类似于下面展示的示例：

注意事项: 配置规则2来阻止可疑服务可能会意外阻止合法应用程序，因为这些协议和技术不仅仅用于匿名器。 例如，Telegram 使用经过 TCP/443 的隐蔽流量。 作为最佳实践，我们建议将规则设置为监控一周，以识别任何误报。 如果出现误报，请在规则中创建一个例外，以允许合法应用程序正常运行。 在解决任何误报之后，将规则更改为阻止。
有关如何创建例外规则，请参阅使用例外以允许互联网访问。

规则 3（可选）：阻止 OpenVPN 文件

• 导航到 安全性 > 应用控制
• 创建新的文件控制规则
• 在文件属性下，配置内容类型是OpenVPN配置文件。
  

一旦规则配置完毕，它应该类似于下面示例所示：

注意：

• 需要有效的CASB许可证。 
• 需要启用TLS检查。