http / 3需要美国(和其他人)来进行防火墙的变化

2021-06-05 15:14:48

今天,我意识到HTTP / 3的越来越大意味着WENED允许UDP 443通过我们的防火墙(至少出站),Notjust TCP 443.虽然是在平均的时间内阻塞它,但它可以从任何HTTP / 3问题屏蔽我们的用户。 (发生。)

像许多地方一样,我们的网络布局散列在其中,实际上很多。当然,我们有一个周边壁垒,那么我们在我们的Internalubnets之间有防火墙,我们的无线网络有一个防火墙,我们的VPN服务器与他们自己的防火墙规则。我们所有的防火墙都在出境流量的所有防火墙,而不仅仅是入站流量。

出于显而易见的原因,我们所有的防火墙都允许出站令人垂涎的TCP端口443(以及港口80以及其他一些)。但是,其中一些允许出站流量到UDP端口443,因为没有使用它的协议。到现在。 HTTP / 3使用Quic,它超过UDP,因此SOIT为UDP端口443生成流量。现在,任何这种情况可能都没有通过。

Google' S Chrome已启用HTTP / 3(和Quic)一段时间,FirefoxEnabled HTTP / 3默认在Firefox 88中,Microsoft Edge Hasalso有一段时间(Apple' S Safari尚未启用它默认)。所有这些浏览器现在都将在合适的情况下向UDPPORT 443发送流量,或者至少试图;虽然我们的防火墙阻止了交通,他们'重新走得太远。 IDON' T知道HTTP / 3实施方式在此处,但我不会惊讶于这一点,如果这至少有一点点放缓。

(当然,这可能会保护人们从大量的慢得多HTTP / 3似乎工作更多。)

我们当然,我们不是唯一需要更新FireWallsto启用出站UDP端口443的地方。但我怀疑OCOGLOGLE(整个判例的发起人)已经研究了这项问题,并确定了我可能期望的Waythan中的防火墙块较少。

最终,我们也可能希望将入站UDP启用到端口443,Sothat人员可以运行支持HTTP / 3的Web服务器。但那可能会花费更长的时间,因为现在的服务器支持是现在缺乏的(基于维基百科列表)。到目前为止,由于各种原因,我们运行Don' t' t' t' t尚未出现http / 2,出于各种原因。