Blockera QUIC och HTTP/3 korrekt med Sophos Firewall
QUIC är ett modernt transportprotokoll som idag är särskilt relevant i samband med HTTP/3. Många webbläsare och webbtjänster använder QUIC för att snabbare och stabilare etablera webbanslutningar. För administratörer är dock en annan punkt avgörande: QUIC körs över UDP, oftast över UDP 443, och beter sig därför annorlunda än klassisk HTTPS över TCP.
På Sophos Firewall är detta viktigt eftersom webbfiltrering, malware-skanning, TLS-inspektion och applikationskontroll endast kan bedömas pålitligt om trafiken går genom regeln i förväntad form. I många miljöer förblir Block QUIC protocol därför en meningsfull inställning i klient-internetregler.
Vilken webbskyddsartikel passar?
QUIC är oftast inte det egentliga målet, utan en störfaktor i webbskydds-, TLS-inspektions- eller felsökningsscenarier. Beroende på uppgift passar en annan ingång:
- Planera webbpolicy, URL-grupper, SafeSearch och webbfilter i grunden: Ställ in Sophos Firewall Web Protection med webbpolicyer
- Driva webbkategorier och omedelbara varningar: Använd Sophos Firewall webbkategorier och omedelbara varningar
- Dekryptera och kontrollerat rulla ut HTTPS-trafik: Inför Sophos Firewall TLS-inspektion korrekt
- Kontrollera vilken brandväggsregel som verkligen matchar: Testa Sophos Firewall-regel med Log Viewer och Packet Capture
Denna artikel svarar främst på frågan när och hur man blockerar QUIC respektive HTTP/3 i den passande brandväggsregeln och sedan validerar korrekt.
Vad QUIC betyder för brandväggen
Klassisk HTTPS körs oftast över TCP 443. Brandväggen kan beroende på regel, webbpolicy, DPI-motor, webbproxy och SSL/TLS-inspektion avgöra om trafik bara tillåts, kategoriseras, dekrypteras, skannas eller blockeras.
QUIC flyttar denna webbtrafik till UDP. För användare är det ofta snabbare. För brandväggen betyder det dock:
- Webbtrafik ser inte längre ut som klassisk HTTPS över TCP.
- UDP
443kan kringgå webbfilter- och skanningsförväntningar. - TLS-inspektion fungerar inte som vid normal HTTPS över TCP.
- Felsökning blir svårare när webbläsare automatiskt växlar mellan TCP och QUIC.
- Policy Tester, Log Viewer och Packet Capture måste medvetet jämföras med protokoll och port.
Alternativet Block QUIC protocol blockerar utgående UDP-paket till port 80 och 443 för trafik som matchar den aktuella brandväggsregeln. Det är den avgörande punkten: om en klient går ut på internet via en annan regel har inställningen i standardregeln ingen effekt på den trafiken. Efter blockeringen faller webbläsare normalt tillbaka på HTTPS över TCP.
HTTPS dekrypteras inte automatiskt av detta. QUIC-blockeringen flyttar bara trafiken till en mer kontrollerbar TCP-väg. Om web policy, malware scan, application control eller TLS-inspektion sedan griper beror på resten av regel- och inspektionskonfigurationen.
När man bör blockera QUIC
I många produktiva klientnätverk är det meningsfullt att blockera QUIC om ett eller flera av dessa uttalanden stämmer:
- Webbfiltrering ska fungera pålitligt.
- Malware-skanning för webbnedladdningar är viktigt.
- TLS-inspektion används för utvalda kategorier eller användargrupper.
- Applikationskontroll ska bättre känna igen webbapplikationer.
- Webbtillgångar ska kunna spåras i Log Viewer.
- Helpdesk och säkerhetsteam ska kunna genomföra reproducerbara tester.
För ett gäst-WLAN utan djupare inspektion kan QUIC vara mindre kritiskt. För hanterade klientnätverk, servrar med utgående internetåtkomst eller miljöer med efterlevnadskrav bör man medvetet besluta om QUIC och inte bara låta webbläsaren bestämma.
Kontrollera inställning i brandväggsregeln
Den vanliga platsen är den utgående brandväggsregeln, till exempel LAN_to_WAN_Clients.
Menypath:
Rules and policies > Firewall rules
Förfarande:
- Öppna den berörda klient-internetregeln.
- Gå till avsnittet Security features > Web filtering.
- Aktivera Log firewall traffic så att tester syns i Log Viewer.
- Kontrollera webbpolicy eller malware-skanning.
- Låt Block QUIC protocol vara aktiverat eller aktivera medvetet.
- Aktivera Scan HTTP and decrypted HTTPS endast om det också är klart hur HTTPS dekrypteras.
- I DPI Mode, kontrollera att Use web proxy instead of DPI engine inte råkar vara aktivt.
- I Web Proxy Mode, kontrollera om Decrypt HTTPS during web proxy filtering och CA-distributionen passar målet.
- Spara regeln.
- Kontrollera testklienten och Log Viewer.
Sophos aktiverar Block QUIC protocol som standard när en webbpolicy väljs i en regel eller när HTTP och dekrypterad HTTPS skannas. Ändå bör man medvetet kontrollera inställningen vid viktiga internetregler, särskilt efter migrationer, gamla regeluppsättningar, kopierade regler eller automatiskt omsorterade regelverk.

Mer om de enskilda alternativen för en brandväggsregel finns i Förstå och konfigurera Sophos Firewall-regler korrekt.
Inaktivera inte bara QUIC via webbläsaren
Tidigare var det vanligt att inaktivera QUIC direkt i webbläsaren eller via Chrome Flags. Det kan hjälpa för tester, men är inget hållbart säkerhetskoncept:
- Webbläsarinställningar ändras.
- Inte bara Chrome kan använda QUIC eller HTTP/3.
- Användare eller uppdateringar kan återställa inställningar.
- BYOD-, gäst- och ohanterade enheter kan knappast kontrolleras med detta.
- Säkerhetspolicyer bör vara centralt spårbara på brandväggen.
För produktiva miljöer är brandväggsregeln den bättre platsen. Webbläsarbaserade tester kan vara användbara som komplement när man vill avgränsa ett fel.
Alternativ: Applikationskontroll eller UDP-regel
Förutom Block QUIC protocol finns det andra sätt att begränsa QUIC-trafik.
- Block QUIC protocol i brandväggsregeln: Standardfall för webbfiltrering och skanning Gäller endast för trafik som matchar denna regel
- Applikationskontroll: Kompletterande kontroll via app-igenkänning Kräver passande applikationskontrollpolicy och loggar
- Egen drop-regel för UDP
80/443: Mycket tydlig teknisk blockering Måste placeras korrekt och begränsas till klientnätverk - Webbläsarkonfiguration: Korttest eller hanterad specialmiljö Inte robust nog som enda brandväggspolicy
Om en egen drop-regel används bör den placeras ovanför allmänna klient-internetregler och loggas ordentligt. Annars är det senare inte tydligt om QUIC medvetet blockerades eller om trafiken fastnade någon annanstans.
Application Control kan dessutom göra QUIC synligt, men är inget frikort för okontrollerad webbtrafik. Vissa web micro apps kan identifieras mer tillförlitligt när brandväggen kan utvärdera URL-kontexten från dekrypterad trafik. Om TLS-inspektion inte är aktiv eller trafiken på grund av QUIC inte hamnar i den förväntade vägen bör Application-Control-loggar alltid läsas tillsammans med firewall-, web- och SSL/TLS-inspektionsloggar.


Samband med TLS-inspektion
Block QUIC protocol är ingen ersättning för TLS-inspektion. Inställningen säkerställer bara att webbläsare vid passande trafik inte fortsätter över QUIC, utan normalt faller tillbaka på HTTPS över TCP.
Först därefter uppstår den egentliga TLS-frågan:
- Finns det en passande SSL/TLS-inspektionsregel?
- Är CA-certifikatet distribuerat på klienterna?
- Dekrypteras trafiken eller dekrypteras den medvetet inte?
- Är Scan HTTP and decrypted HTTPS aktiv i brandväggsregeln?
- Finns det undantag för applikationer med certifikatspinning?
Om HTTPS-innehåll ska granskas behövs en planerad TLS-utbyggnad. Detaljerna finns i Inför Sophos Firewall TLS-inspektion korrekt.
Regelns driftläge är viktigt. I DPI Mode gäller SSL/TLS Inspection Rules under Rules and policies > SSL/TLS inspection rules. I Web Proxy Mode styrs HTTPS-Decryption via web proxy-inställningarna och alternativet Decrypt HTTPS during web proxy filtering. Om dessa två modeller blandas ihop ser QUIC snabbt ut som huvudproblemet, trots att inspektionsarkitekturen egentligen är oklar.
Test och validering
Efter en ändring bör man kontrollera om klienten verkligen faller tillbaka på HTTPS över TCP och om den förväntade brandväggsregeln matchar.
Praktisk testprocedur:
- Återställ användningsräknaren för den berörda brandväggsregeln.
- Starta om webbläsaren helt på testklienten så att befintliga anslutningar och HTTP/3-tillstånd inte förvränger testet.
- Öppna en webbplats som tidigare använde QUIC.
- Filtrera i Log Viewer efter Source IP, Rule ID, protokoll och Destination Port.
- Kontrollera om UDP
443blockeras eller inte längre används. - Kontrollera om HTTPS över TCP
443visas i den förväntade regeln. - Om webbfilter eller TLS-inspektion är aktiv, kontrollera motsvarande loggmoduler.
- Vid oklarhet, använd Packet Capture på klient- eller brandväggsgränssnittet.
För regeltester passar instruktionen Testa Sophos Firewall-regel med Log Viewer och Packet Capture.
Typiska fel
- QUIC-block endast aktiverat i en gammal eller felaktig regel: Den aktuella klienttrafiken går genom en annan regel
- Regel står under en mer allmän tillåtelse-regel: QUIC tillåts tidigare
- Loggning är inaktiverad: I Log Viewer är det inte synligt vad som händer
- Befintlig webbläsarsession återanvänds: Starta om webbläsaren eller använd en testprofil innan loggar utvärderas
- Endast Chrome anpassad lokalt: Andra webbläsare eller enheter använder fortfarande QUIC
- TLS-inspektion förväntas men är inte konfigurerad: HTTPS-innehåll dekrypteras inte trots QUIC-block
Scan HTTP and decrypted HTTPSmissförstås: Alternativet skannar endast redan dekrypterad HTTPS- DPI Mode och Web Proxy Mode blandas ihop: Den sökta inställningen kan då finnas på en annan plats
- UDP
443blockeras globalt: Specialapplikationer kan oväntat påverkas
Felsökning
Om webbfiltrering eller skanning inte fungerar som förväntat bör man kontrollera denna ordning:
- Vilken brandväggsregel matchar klienttrafiken verkligen?
- Är Block QUIC protocol aktiv i just denna regel?
- Använder klienten UDP
443eller TCP443? - Är Log firewall traffic aktiverat?
- Greppar en mer specifik regel ovanför?
- Finns det en applikationskontrollpolicy som behandlar QUIC annorlunda?
- Finns det en SSL/TLS-inspektionsregel om HTTPS-innehåll ska granskas?
- Används DPI Mode eller Web Proxy Mode?
- Visar Packet Capture utgående UDP
443-paket trots förväntad blockering?
Om regeln inte matchar är inte QUIC huvudproblemet, utan regelordning, källzon, källnätverk, destination, tjänst eller undantag. För detta hjälper Brandväggsregel matchar inte: Kontrollera orsaker.
Driftschecklista
- Berörd klient-internetregel tydligt identifierad.
- Webbpolicy, malware-skanning eller TLS-inspektion i just denna regel kontrollerad.
- Block QUIC protocol medvetet aktiverat eller motiverat inaktiverat.
- DPI Mode eller Web Proxy Mode medvetet valt.
- Regelordning och mer allmänna tillåtelse-regler kontrollerade.
Log firewall trafficaktiv.- Test med webbläsare och verklig målsida genomförd.
- Log Viewer kontrollerad för UDP
443, TCP443, regel-ID och webbhändelser. - Vid TLS-inspektion, kontrollera dessutom SSL/TLS-inspektionsloggar.
- Undantag eller egna UDP-regler dokumenterade.
- Helpdesk vet att webbplatser normalt bör fungera vidare efter QUIC-block.
Vanliga frågor
Är QUIC osäkert?
Räcker det att blockera UDP 443?
443 blockera QUIC. I många fall är Block QUIC protocol i den passande brandväggsregeln dock renare, eftersom inställningen där hänger ihop med webbpolicy och skanning. En egen drop-regel måste placeras mycket medvetet, begränsas och loggas.