Bloquear corretamente QUIC e HTTP/3 no Sophos Firewall
QUIC é um protocolo de transporte moderno, que hoje é especialmente relevante em conjunto com o HTTP/3. Muitos navegadores e serviços web utilizam o QUIC para estabelecer ligações web mais rapidamente e mantê-las mais estáveis. No entanto, para administradores, outro ponto é decisivo: o QUIC funciona sobre UDP, na maioria das vezes sobre UDP 443, e por isso comporta-se de forma diferente do HTTPS clássico sobre TCP.
No Sophos Firewall, isto é importante porque o filtro web, a verificação de malware, a inspeção TLS e o controlo de aplicações só podem ser avaliados de forma fiável se o tráfego passar pela regra na forma esperada. Em muitos ambientes, Block QUIC protocol continua a ser uma configuração sensata nas regras de internet dos clientes.
Qual artigo de proteção web é adequado?
O QUIC geralmente não é o objetivo principal, mas sim um fator de interferência em cenários de proteção web, inspeção TLS ou troubleshooting. Dependendo da tarefa, faz sentido começar por outro artigo:
- Planear Web Policy, URL Groups, SafeSearch e filtro web em geral: Configurar proteção web no Sophos Firewall com políticas web.
- Operar categorias web e Instant Alerts: Utilizar categorias web e alertas instantâneos no Sophos Firewall.
- Desencriptar tráfego HTTPS e implementá-lo de forma controlada: Introduzir corretamente a inspeção TLS no Sophos Firewall.
- Verificar qual regra de firewall faz realmente match: Testar regra do Sophos Firewall com Log Viewer e Packet Capture.
Este artigo responde sobretudo à questão de quando e como bloquear QUIC ou HTTP/3 na regra de firewall adequada e depois validar corretamente o resultado.
O que o QUIC significa para o firewall
O HTTPS clássico funciona geralmente sobre TCP 443. Dependendo da regra, da Web Policy, da DPI Engine, do Web Proxy e da inspeção SSL/TLS, a firewall pode decidir se o tráfego é apenas permitido, categorizado, desencriptado, verificado ou bloqueado.
O QUIC desloca este tráfego web para UDP. Para os utilizadores, isto é muitas vezes mais rápido. Para a firewall, significa:
- O tráfego web não parece mais como o HTTPS clássico sobre TCP.
- UDP
443pode contornar as expectativas de filtro web e scanning. - A inspeção TLS não atua como no HTTPS normal sobre TCP.
- O troubleshooting torna-se mais difícil quando os navegadores alternam automaticamente entre TCP e QUIC.
- O Policy Tester, Log Viewer e Packet Capture devem ser conscientemente comparados com o protocolo e a porta.
A opção Block QUIC protocol bloqueia pacotes UDP de saída para as portas 80 e 443 para o tráfego que corresponde à respetiva regra de firewall. Este é o ponto decisivo: se um cliente aceder à internet através de outra regra, a configuração na regra padrão não terá qualquer efeito sobre esse tráfego. Normalmente, os navegadores passam para HTTPS sobre TCP depois do bloqueio.
Isto não desencripta automaticamente HTTPS. O bloqueio de QUIC apenas coloca o tráfego num caminho TCP mais controlável. Se depois Web Policy, Malware Scan, Application Control ou TLS Inspection se aplicam, isso depende do resto da configuração da regra e da inspeção.
Quando bloquear o QUIC
Em muitas redes produtivas de clientes, bloquear o QUIC faz sentido se uma ou mais destas afirmações se aplicarem:
- O filtro web deve funcionar de forma fiável.
- A verificação de malware para downloads web é importante.
- A inspeção TLS é usada para categorias ou grupos de utilizadores selecionados.
- O controlo de aplicações deve reconhecer melhor as aplicações web.
- Os acessos web devem ser rastreáveis no Log Viewer.
- A equipa de suporte e segurança deve conseguir realizar testes reproduzíveis.
Para uma WLAN de convidados sem inspeção mais profunda, o QUIC pode ser menos crítico. Para redes de clientes geridas, servidores com acesso de saída à internet ou ambientes com requisitos de conformidade, a decisão sobre o QUIC deve ser consciente e não simplesmente deixada ao navegador.
Verificar configuração na regra de firewall
O local normal é a regra de firewall de saída, por exemplo LAN_to_WAN_Clients.
Caminho do menu:
Rules and policies > Firewall rules
Procedimento:
- Abrir a regra de internet dos clientes afetada.
- Ir para a secção Security features > Web filtering.
- Ativar Log firewall traffic, para que os testes fiquem visíveis no Log Viewer.
- Verificar a Web Policy ou a verificação de malware.
- Manter Block QUIC protocol ativado ou ativá-lo conscientemente.
- Ativar Scan HTTP and decrypted HTTPS apenas se também estiver claro como o HTTPS é desencriptado.
- Em DPI Mode, verificar se Use web proxy instead of DPI engine não está ativo por engano.
- Em Web Proxy Mode, verificar se Decrypt HTTPS during web proxy filtering e a distribuição da CA correspondem ao objetivo.
- Guardar a regra.
- Verificar o cliente de teste e controlar o Log Viewer.
A Sophos ativa Block QUIC protocol por predefinição quando uma Web Policy é selecionada numa regra ou quando HTTP e HTTPS desencriptado são verificados. Mesmo assim, a configuração deve ser verificada conscientemente em regras de internet importantes, especialmente após migrações, conjuntos de regras antigos, regras copiadas ou conjuntos de regras reordenados automaticamente.

Mais detalhes sobre as opções individuais de uma regra de firewall estão em Entender e configurar corretamente as regras do Sophos Firewall.
Não desativar o QUIC apenas pelo navegador
No passado, era comum desativar o QUIC diretamente no navegador ou através de Chrome Flags. Isto pode ajudar em testes, mas não é um conceito de segurança fiável:
- As definições do navegador mudam.
- Não apenas o Chrome pode usar QUIC ou HTTP/3.
- Utilizadores ou atualizações podem repor definições.
- Dispositivos BYOD, convidados e não geridos são difíceis de controlar desta forma.
- As políticas de segurança devem ser rastreáveis centralmente na firewall.
Para ambientes produtivos, a regra de firewall é o melhor local. Testes no navegador podem ser úteis como complemento quando se pretende delimitar um erro.
Alternativa: Application Control ou Regra UDP
Além de Block QUIC protocol, existem outras formas de restringir o tráfego QUIC.
- Block QUIC protocol na regra de firewall: Caso padrão para filtro web e scanning. Limite: a configuração só se aplica ao tráfego que faz match nesta regra.
- Application Control: Controlo complementar através da deteção de aplicações. Limite: é necessária uma Application Control Policy adequada e logs.
- Regra de Drop própria para UDP
80/443: Bloqueio técnico muito claro. Limite: a regra tem de estar corretamente posicionada e limitada às redes de clientes. - Configuração do navegador: Útil para testes curtos ou ambientes especiais geridos. Limite: não é robusta o suficiente como única política de firewall.
Se for usada uma regra de Drop própria, esta deve ficar acima das regras gerais de internet dos clientes e ser registada corretamente. Caso contrário, mais tarde não será possível perceber se o QUIC foi bloqueado conscientemente ou se o tráfego ficou preso noutro ponto.
Application Control pode tornar o QUIC adicionalmente visível, mas não é um passe livre para tráfego web não verificado. Algumas Web Micro Apps podem ser reconhecidas de forma mais fiável quando a firewall consegue avaliar o contexto de URL a partir de tráfego desencriptado. Se TLS Inspection não estiver ativa ou se o tráfego não cair no caminho esperado por causa do QUIC, os logs de Application Control devem ser sempre lidos em conjunto com os logs de Firewall, Web e SSL/TLS Inspection.


Relação com a inspeção TLS
Block QUIC protocol não é um substituto para a inspeção TLS. A configuração apenas garante que os navegadores, para tráfego correspondente, não continuem a comunicar por QUIC, mas normalmente regressem a HTTPS sobre TCP.
Só então surge a questão real do TLS:
- Existe uma regra de inspeção SSL/TLS adequada?
- O certificado CA está distribuído nos clientes?
- O tráfego é desencriptado ou conscientemente não desencriptado?
- Scan HTTP and decrypted HTTPS está ativo na regra de firewall?
- Existem exceções para aplicações com Certificate Pinning?
Se os conteúdos HTTPS devem ser verificados, é necessário um rollout TLS planeado. Os detalhes estão em Introduzir corretamente a inspeção TLS no Sophos Firewall.
O modo de operação da regra é importante. Em DPI Mode, aplicam-se as SSL/TLS Inspection Rules em Rules and policies > SSL/TLS inspection rules. Em Web Proxy Mode, a HTTPS Decryption é controlada através das definições do Web Proxy e da opção Decrypt HTTPS during web proxy filtering. Quando estes dois modelos são misturados, o QUIC rapidamente parece ser o problema principal, embora a arquitetura de inspeção é que esteja pouco clara.
Teste e validação
Depois de uma alteração, deve-se verificar se o cliente regressa realmente a HTTPS sobre TCP e se a regra de firewall esperada faz match.
Procedimento de teste prático:
- Repor o Usage Counter da regra de firewall afetada.
- Reiniciar completamente o navegador no cliente de teste, para que ligações existentes e estados HTTP/3 não falseiem o teste.
- Abrir um site que anteriormente usava QUIC.
- No Log Viewer, filtrar por Source IP, Rule ID, protocolo e Destination Port.
- Verificar se UDP
443é bloqueado ou deixa de ser usado. - Verificar se HTTPS sobre TCP
443aparece na regra esperada. - Se o filtro web ou a inspeção TLS estiverem ativos, verificar os módulos de log correspondentes.
- Em caso de dúvida, usar Packet Capture na interface do cliente ou da firewall.
Para testes de regras, a instrução Testar regra do Sophos Firewall com Log Viewer e Packet Capture é adequada.
Erros comuns
- Bloqueio de QUIC ativado apenas numa regra antiga ou errada: O tráfego atual do cliente passa por outra regra.
- A regra está abaixo de uma regra Allow mais geral: QUIC é permitido antes.
- Logging está desativado: No Log Viewer não se vê o que acontece.
- Sessão existente do navegador continua a ser usada: Reiniciar o navegador ou usar um perfil de teste antes de avaliar os logs.
- Apenas o Chrome foi ajustado localmente: Outros navegadores ou dispositivos continuam a usar QUIC.
- Espera-se TLS Inspection, mas esta não está configurada: Os conteúdos HTTPS não são desencriptados apesar do bloqueio de QUIC.
Scan HTTP and decrypted HTTPSé mal interpretado: A opção verifica apenas HTTPS já desencriptado.- DPI Mode e Web Proxy Mode são misturados: A configuração procurada pode então estar noutro local.
- UDP
443é bloqueado globalmente: Aplicações especiais podem ser afetadas de forma inesperada.
Troubleshooting
Se o filtro web ou o scanning não funcionarem como esperado, deve-se verificar esta sequência:
- Qual regra de firewall faz realmente match no tráfego do cliente?
- Block QUIC protocol está ativo exatamente nesta regra?
- O cliente usa UDP
443ou TCP443? - Log firewall traffic está ativado?
- Uma regra mais específica está acima?
- Existe uma política de controlo de aplicações que trata o QUIC de forma diferente?
- Existe uma regra de inspeção SSL/TLS se o conteúdo HTTPS deve ser verificado?
- Está a ser usado DPI Mode ou Web Proxy Mode?
- O Packet Capture mostra pacotes UDP
443de saída apesar do bloqueio esperado?
Se a regra não fizer match, o problema principal não é o QUIC, mas sim a ordem das regras, Source Zone, Source Network, Destination, Service ou Exclusion. Para isso, ajuda Verificar causas de regra de firewall não correspondente.
Checklist operacional
- Regra de internet do cliente afetada identificada claramente.
- Política web, verificação de malware ou inspeção TLS verificada exatamente nesta regra.
- Block QUIC protocol ativado conscientemente ou desativado com justificativa.
- DPI Mode ou Web Proxy Mode decidido conscientemente.
- Ordem das regras e regras de permissão mais gerais verificadas.
Log firewall trafficativo.- Teste realizado com navegador e site de destino real.
- Log Viewer verificado para UDP
443, TCP443, ID da regra e eventos web. - Para inspeção TLS, logs de inspeção SSL/TLS verificados adicionalmente.
- Exceções ou regras UDP próprias documentadas.
- O suporte técnico sabe que, após o bloqueio de QUIC, os sites normalmente devem continuar a funcionar.
Perguntas Frequentes
O QUIC é inseguro?
É suficiente bloquear UDP 443?
443 pode bloquear o QUIC. Em muitos casos, Block QUIC protocol na regra de firewall adequada é mais limpo, porque a configuração está relacionada com a Web Policy e o scanning. Uma regra de Drop própria deve ser posicionada, limitada e registada de forma muito consciente.