在防火墙级别阻止 HTTP/2

Posted 2023-02-16

【中文标题】在防火墙级别阻止 HTTP/2

【英文标题】：Block HTTP/2 at the firewall level

【发布时间】：2018-04-21 11:04:43

【问题描述】：

我在阻止使用 HTTP/2 以强制浏览器使用 HTTP/1 作为 https 中的协议时遇到了问题。 TLS MITM 是不可能的，最多可以考虑类似 NFQUEUE 的用户模式包过滤，具体取决于处理开销。

通过阅读 ALPN RFC，不清楚当我看到包含 ALPN:http/2 的 ClientHello 时提供警报响应或断开连接是否会使浏览器在没有 ALPN 的情况下重试。

如果我理解正确，修改 ClientHello 是不可能的，因为它会在服务器响应 ServerHello 时导致校验和错误，因为更改 ClientHello 会使该数据包的 MAC 无效。

是阻塞握手的行为 w.r.t. ALPN 与处理 TLS 版本回退相同，即 TLS_FALLBACK_SCSV ？

编辑：根据 openssl 的 t1_lib.c，如果服务器不知道 ALPN，它会忽略它。因此，如果服务器为包含 ALPN 的 ClientHello 返回 Alert，可能只是因为它不支持 TLS1.2，除了“alert”之外，无法向客户端发出“请在没有 ALPN 的情况下重试”的信号，这会导致客户端尝试 TLS1.1。

【问题讨论】：

是什么防火墙？如果这是一个简单的数据包过滤器，那么您将无法成功阻止 HTTP/2，但我认为阻止也没有用，因为您无论如何都不检查内容。如果这是一个可以检查 SSL 流量的防火墙，它将作为中间人工作，因此可能会自动剥离 ALPN 扩展，从而导致降级到 HTTP/1.x。除此之外，我认为这个问题在这里是题外话，在 security.stackexchange.com 或 serverfault.com 上有更多的话题。

为什么要这样做？因为可能有更好的选择。还有你说的是入站连接还是出站连接？

我编辑了问题以排除 TLS MITM，这是针对出站防火墙。

【参考方案1】：

基于 TLS 的 HTTP/2 是通过 ALPN 协商的。

浏览器会告诉服务器他们支持它。

如果您不想使用 HTTP/2，那么您只需修改服务器配置，使其不具有 h2 作为可以通过 ALPN 协商的协议之一。

ALPN 协商将回退到 HTTP/1.1，客户端将使用 HTTP/1.1。

【讨论】：

解决此问题的最简单方法是在服务器配置中，但我不控制网络服务器。我更新了问题以明确这一点。我不清楚的是 http2 或 ALPN 作为一个整体是否可以在（传出）防火墙处被拒绝，而不向客户端推送策略或执行 TLS MITM。