随着学校努力打造安全的数字环境,加密客户端问候 (ECH) 和 HTTPS 上的 DNS (DoH) 等新隐私技术对传统内容过滤方法提出了挑战。这些隐私协议旨在增强用户隐私,但它们也限制了对在线活动的可见性——这对努力维护安全、专注的在线学习空间的 K-12 管理员来说是一个潜在的障碍。
虽然这些隐私方面的进步对许多过滤解决方案提出了挑战,但 Lightspeed Systems 独特的内容过滤方法可确保 ECH 和 DoH 协议不会破坏我们为学校提供安全、可靠的网络访问的能力。下面介绍 ECH 和 DoH 对学校过滤的意义,以及 Lightspeed 的高级过滤方法如何在新的隐私标准面前提供强大、不间断的保护。
了解加密客户端 Hello (ECH)
ECH 是一项新标准,它通过加密 TLS(传输层安全性)握手中的初始“客户端问候”步骤来保护用户隐私。此步骤通常会显示用户试图访问的域名,从而允许过滤解决方案监控和阻止内容。但是,ECH 会隐藏此域信息,这使得依赖于拦截此步骤的系统(例如数据包过滤器和内联检查过滤器)难以识别和过滤某些网站。
DNS over HTTPS(DoH)对过滤意味着什么
DoH 是另一种隐私协议,它可以隐藏 DNS 请求(将域名转换为 IP 地址的查询)。通过加密 DNS 流量,DoH 可以防止传统的基于 DNS 的过滤器读取用户请求的详细信息,从而使学校更难限制对特定网站的访问。
ECH 和 DoH 都旨在保护隐私,但对传统的过滤方法,尤其是那些不使用中间人 (MITM) 代理的方法,造成了重大障碍。
ECH 和 DoH 对学校过滤器提出的挑战
对于许多学校过滤解决方案而言,ECH 和 DoH 显著降低了其有效性:
- 数据包过滤解决方案: ECH 使数据包过滤系统(通常用于防火墙)难以查看域详细信息,因为这些系统通常检查未加密的信息来确定正在访问的网站。
- 内联过滤器和防火墙: 依赖数据包嗅探和 SNI(服务器名称指示)详细信息来确定网站地址的过滤器因 ECH 而失去可见性。由于隐藏了这些信息,此类解决方案无法有效监控或阻止特定内容。
- 基于 DNS 的过滤器: DoH 可以通过加密 DNS 请求来限制基于 DNS 的过滤器的有效性,这使得学校难以监控或限制对不适当网站的访问。
Lightspeed Systems:专为抵御隐私协议而设计的过滤解决方案
与许多传统系统不同,Lightspeed Systems 已为 ECH 和 DoH 所代表的隐私进步做好了准备。具体方法如下:
- Lightspeed 的 TLS 握手过程: Lightspeed Systems 代表用户完成 TLS 握手,在 Web 服务器眼中有效地“成为”用户。即使使用 ECH,这种方法也能保持对所请求域的可见性,从而使 Lightspeed 能够继续有效地进行过滤而不会中断。
- 独立于 ECH 的基于 DNS 的过滤: Lightspeed 的 DNS 过滤器(包括 SmartShield 等解决方案)独立于 TLS 层运行,专注于 DNS 请求而不是数据包检查。这意味着 ECH 对客户端 hello 阶段的加密不会影响这些过滤器,从而使学校能够保持可靠且安全的过滤。
- 通过 HTTPS (DoH) 阻止 DNS: 由于 DoH 可以隐藏 DNS 请求,Lightspeed 会主动阻止或阻止 DoH 连接。通过这样做,Lightspeed 可确保其基于 DNS 的过滤器保留对用户请求的可见性,从而使管理员能够有效地控制和监控在线内容。
为什么这对美国学区很重要
随着隐私技术的不断发展,学区必须拥有能够适应这些变化且不会损害学生安全的过滤解决方案。Lightspeed 的过滤方法不仅与 ECH 和 DoH 等隐私技术的进步保持同步,而且还能对在线内容进行可靠的控制,确保学生在线学习期间安全且专注。
满怀信心地前进
在 Lightspeed Systems,我们了解隐私和安全正在不断发展,我们始终致力于为学区提供面向未来的过滤解决方案。借助我们先进的内容过滤方法,学校可以相信他们拥有所需的工具来应对新的隐私协议并有效保护学生。
如需详细了解 Lightspeed Systems 如何帮助您的学区应对 ECH、DoH 和其他隐私改进,请联系我们或浏览我们的资源库。我们可以共同为每位学生维护一个安全高效的数字环境。
