Bloquear correctamente QUIC y HTTP/3 en Sophos Firewall
QUIC es un protocolo de transporte moderno que hoy es relevante sobre todo en relación con HTTP/3. Muchos navegadores y servicios web utilizan QUIC para establecer conexiones web más rápido y mantenerlas más estables. Para los administradores, sin embargo, hay otro punto decisivo: QUIC funciona sobre UDP, normalmente sobre UDP 443, y por eso se comporta de forma distinta al HTTPS clásico sobre TCP.
En Sophos Firewall esto es importante porque el filtrado web, el escaneo de malware, la inspección TLS y Application Control solo pueden evaluarse de forma fiable si el tráfico pasa por la regla con la forma esperada. En muchos entornos, Block QUIC protocol sigue siendo por tanto una opción útil en las reglas de Internet para clientes.
¿Qué artículo de protección web es adecuado?
QUIC casi nunca es el objetivo real, sino un factor que interfiere en escenarios de Web Protection, TLS Inspection o troubleshooting. Según la tarea, conviene empezar por otro artículo:
- Planificar Web Policy, URL Groups, SafeSearch y filtrado web en general: Configurar Sophos Firewall Web Protection con Web Policies.
- Usar categorías web e Instant Alerts: Utilizar categorías web e Instant Alerts en Sophos Firewall.
- Descifrar tráfico HTTPS y desplegarlo de forma controlada: Introducir correctamente Sophos Firewall TLS Inspection.
- Comprobar qué regla de firewall hace match realmente: Probar reglas de Sophos Firewall con Log Viewer y Packet Capture.
Este artículo responde sobre todo a la pregunta de cuándo y cómo bloquear QUIC o HTTP/3 en la regla de firewall adecuada y validarlo después de forma limpia.
Qué significa QUIC para el firewall
El HTTPS clásico suele funcionar sobre TCP 443. Según la regla, la Web Policy, la DPI Engine, el Web Proxy y la inspección SSL/TLS, el firewall puede decidir si el tráfico solo se permite, se categoriza, se descifra, se escanea o se bloquea.
QUIC desplaza este tráfico web a UDP. Para los usuarios, esto suele ser más rápido. Para el firewall, significa:
- El tráfico web ya no parece HTTPS clásico sobre TCP.
- UDP
443puede eludir las expectativas de filtrado web y escaneo. - TLS Inspection no se aplica como en HTTPS normal sobre TCP.
- El troubleshooting se complica cuando los navegadores cambian automáticamente entre TCP y QUIC.
- Policy Tester, Log Viewer y Packet Capture deben compararse de forma consciente por protocolo y puerto.
La opción Block QUIC protocol bloquea paquetes UDP salientes hacia los puertos 80 y 443 para el tráfico que coincide con la regla de firewall correspondiente. Este es el punto decisivo: si un cliente sale a Internet por otra regla, la opción configurada en la regla estándar no tiene efecto sobre ese tráfico. Tras el bloqueo, los navegadores normalmente vuelven a HTTPS sobre TCP.
Esto no descifra HTTPS automáticamente. El bloqueo de QUIC solo lleva el tráfico a una ruta TCP más controlable. Que después se apliquen Web Policy, Malware Scan, Application Control o TLS Inspection depende del resto de la configuración de reglas e inspección.
Cuándo bloquear QUIC
En muchas redes productivas de clientes, bloquear QUIC es razonable si se cumple una o varias de estas afirmaciones:
- El filtrado web debe aplicarse de forma fiable.
- El escaneo de malware para descargas web es importante.
- La inspección TLS se utiliza para categorías o grupos de usuarios seleccionados.
- Application Control debe reconocer mejor las aplicaciones web.
- Los accesos web deben ser rastreables en el Log Viewer.
- El helpdesk y el equipo de seguridad deben poder realizar pruebas reproducibles.
En una Wi-Fi de invitados sin inspección más profunda, QUIC puede ser menos crítico. En redes de clientes administradas, servidores con acceso saliente a Internet o entornos con requisitos de cumplimiento, en cambio, conviene decidir conscientemente sobre QUIC y no dejárselo simplemente al navegador.
Verificar la configuración en la regla de firewall
El lugar habitual es la regla de firewall saliente, por ejemplo LAN_to_WAN_Clients.
Ruta de menú:
Rules and policies > Firewall rules
Procedimiento:
- Abrir la regla de Internet de clientes afectada.
- Ir a la sección Security features > Web filtering.
- Activar Log firewall traffic para que las pruebas sean visibles en el Log Viewer.
- Comprobar la Web Policy o el escaneo de malware.
- Dejar activado Block QUIC protocol o activarlo conscientemente.
- Activar Scan HTTP and decrypted HTTPS solo si también está claro cómo se descifra HTTPS.
- En DPI Mode, comprobar que Use web proxy instead of DPI engine no esté activado por error.
- En Web Proxy Mode, comprobar si Decrypt HTTPS during web proxy filtering y la distribución de la CA encajan con el objetivo.
- Guardar la regla.
- Comprobar el cliente de prueba y revisar el Log Viewer.
Sophos activa Block QUIC protocol de forma predeterminada cuando se selecciona una Web Policy en una regla o cuando se escanea HTTP y HTTPS descifrado. Aun así, conviene comprobar conscientemente esta opción en reglas de Internet importantes, especialmente después de migraciones, reglas antiguas, reglas copiadas o conjuntos de reglas reordenados automáticamente.

Hay más información sobre las opciones individuales de una regla de firewall en Entender y configurar correctamente las reglas de Sophos Firewall.
No desactivar QUIC solo en el navegador
Antes era habitual desactivar QUIC directamente en el navegador o mediante Chrome Flags. Esto puede ayudar en pruebas, pero no es un concepto de seguridad sólido:
- Las configuraciones del navegador cambian.
- No solo Chrome puede usar QUIC o HTTP/3.
- Los usuarios o actualizaciones pueden restablecer configuraciones.
- Los dispositivos BYOD, invitados y no administrados apenas pueden controlarse así.
- Las Security Policies deben ser trazables de forma centralizada en el firewall.
En entornos productivos, la regla de firewall es el mejor lugar. Las pruebas del lado del navegador pueden ser útiles como complemento cuando se quiere acotar un error.
Alternativa: Application Control o regla UDP
Además de Block QUIC protocol, hay otras formas de restringir el tráfico QUIC.
- Block QUIC protocol en la regla de firewall: caso estándar para filtrado web y escaneo. Límite: la opción solo se aplica al tráfico que hace match con esa regla.
- Application Control: control complementario mediante reconocimiento de aplicaciones. Límite: requiere una Application-Control-Policy adecuada y logs.
- Regla Drop propia para UDP
80/443: bloqueo técnico muy claro. Límite: la regla debe estar bien posicionada y limitada a redes de clientes. - Configuración del navegador: útil para pruebas breves o entornos especiales administrados. Límite: no es lo bastante robusta como única política de firewall.
Si se utiliza una regla Drop propia, debe estar por encima de las reglas generales de Internet para clientes y registrarse correctamente. De lo contrario, más adelante no se podrá saber si QUIC se bloqueó conscientemente o si el tráfico quedó detenido en otro punto.
Application Control puede hacer visible QUIC de forma adicional, pero no es un pase libre para tráfico web sin comprobar. Algunas microaplicaciones web se reconocen con más fiabilidad cuando el firewall puede evaluar el contexto de URL del tráfico descifrado. Si TLS Inspection no está activa o el tráfico no llega a la ruta esperada por QUIC, los logs de Application Control deben leerse siempre junto con los logs de firewall, web y SSL/TLS Inspection.


Relación con la inspección TLS
Block QUIC protocol no sustituye a TLS Inspection. La opción solo evita que los navegadores sigan comunicándose por QUIC cuando el tráfico coincide, y normalmente hace que vuelvan a HTTPS sobre TCP.
Solo después surge la verdadera pregunta de TLS:
- ¿Existe una SSL/TLS Inspection Rule adecuada?
- ¿El certificado de CA está distribuido en los clientes?
- ¿El tráfico se descifra o se deja sin descifrar conscientemente?
- ¿Está activa Scan HTTP and decrypted HTTPS en la regla de firewall?
- ¿Existen excepciones para aplicaciones con fijación de certificados?
Si se deben inspeccionar contenidos HTTPS, hace falta un despliegue TLS planificado. Los detalles están en Introducir correctamente Sophos Firewall TLS Inspection.
Es importante el modo operativo de la regla. En DPI Mode, las SSL/TLS Inspection Rules se aplican en Rules and policies > SSL/TLS inspection rules. En Web Proxy Mode, el descifrado HTTPS se controla mediante los ajustes de Web Proxy y la opción Decrypt HTTPS during web proxy filtering. Si se mezclan estos dos modelos, QUIC puede parecer rápidamente el problema principal, aunque en realidad no esté clara la arquitectura de inspección.
Prueba y validación
Después de un cambio, conviene comprobar si el cliente realmente vuelve a HTTPS sobre TCP y si hace match la regla de firewall esperada.
Procedimiento de prueba práctica:
- Restablecer el contador de uso de la regla de firewall afectada.
- Reiniciar completamente el navegador en el cliente de prueba para que las conexiones existentes y los estados HTTP/3 no falseen la prueba.
- Abrir una página web que antes utilizaba QUIC.
- Filtrar en el Log Viewer por Source IP, Rule ID, protocolo y Destination Port.
- Comprobar si UDP
443se bloquea o ya no se utiliza. - Comprobar si HTTPS sobre TCP
443aparece en la regla esperada. - Si el filtrado web o TLS Inspection están activos, revisar los módulos de log correspondientes.
- En caso de duda, usar Packet Capture en la interfaz del cliente o del firewall.
Para pruebas de reglas, la guía Probar reglas de Sophos Firewall con Log Viewer y Packet Capture es adecuada.
Errores comunes
- Bloqueo de QUIC activado solo en una regla antigua o incorrecta: el tráfico actual del cliente pasa por otra regla.
- La regla está por debajo de una regla Allow más general: QUIC se permite antes.
- Logging está desactivado: no se ve en el Log Viewer qué ocurre.
- Se reutiliza una sesión de navegador existente: reiniciar el navegador o usar un perfil de prueba antes de evaluar los logs.
- Solo se ajustó Chrome localmente: otros navegadores o dispositivos siguen utilizando QUIC.
- Se espera TLS Inspection, pero no está configurada: los contenidos HTTPS no se descifran a pesar del bloqueo de QUIC.
Scan HTTP and decrypted HTTPSse entiende mal: la opción solo escanea HTTPS ya descifrado.- Se mezclan DPI Mode y Web Proxy Mode: la opción buscada puede estar entonces en otro lugar.
- UDP
443se bloquea globalmente: aplicaciones especiales pueden verse afectadas inesperadamente.
Resolución de problemas
Si el filtrado web o el escaneo no funcionan como se espera, se debe verificar este orden:
- ¿Qué regla de firewall realmente coincide con el tráfico del cliente?
- ¿Está Block QUIC protocol activo en esa regla específica?
- ¿El cliente utiliza UDP
443o TCP443? - ¿Está activado Log firewall traffic?
- ¿Una regla más específica está por encima?
- ¿Existe una política de control de aplicaciones que trate QUIC de manera diferente?
- ¿Existe una regla de inspección SSL/TLS si se deben verificar los contenidos HTTPS?
- ¿Se usa DPI Mode o Web Proxy Mode?
- ¿Packet Capture muestra paquetes UDP
443salientes a pesar del bloqueo esperado?
Si la regla no hace match, el problema principal no es QUIC, sino el orden de las reglas, la Source Zone, la Source Network, el Destination, el Service o una Exclusion. Para ello ayuda Comprobar causas cuando una regla de firewall no hace match.
Lista de verificación operativa
- Regla de Internet del cliente afectada identificada claramente.
- Política web, escaneo de malware o inspección TLS verificados en esa regla específica.
- Block QUIC protocol activado conscientemente o desactivado con justificación.
- DPI Mode o Web Proxy Mode decidido conscientemente.
- Orden de reglas y reglas de permiso más generales verificadas.
Log firewall trafficactivo.- Prueba realizada con navegador y sitio de destino real.
- Log Viewer verificado para UDP
443, TCP443, ID de regla y eventos web. - En caso de inspección TLS, también se verificaron los registros de inspección SSL/TLS.
- Excepciones o reglas UDP propias documentadas.
- El helpdesk sabe que las páginas web deberían seguir funcionando normalmente después del bloqueo de QUIC.
Preguntas frecuentes
¿Es QUIC inseguro?
¿Es suficiente bloquear UDP 443?
443 puede bloquear QUIC. En muchos casos, Block QUIC protocol en la regla de firewall adecuada es más limpio, ya que la configuración está relacionada con la política web y el escaneo. Una regla de eliminación propia debe estar muy conscientemente posicionada, limitada y registrada.