原文（英语）链接：
https://www.networkstraining.com/what-is-quic-protocol/

原文（英语）题目：
What is QUIC – This Modern Internet Protocol Makes Firewalls Blind

简体中文翻译文：

什么是 QUIC —— 这种现代互联网协议使防火墙变得盲目

由哈里斯·安德烈亚编辑

QUIC(快速UDP互联网连接)是一种新一代互联网协议,通过缩短连接到服务器所需的往返时间(RTT),来加快容易延迟的在线网络应用程序的速度。

QUIC协议

通过用UDP取代TCP并加密其大部分有效载荷,QUIC在保持数据安全的同时,减少了开始观看内容所需的时间。目前more than 8%,互联网上超过8%的网站正在使用QUIC协议。

尽管所有这些听起来都不错,但QUIC协议中使用的加密技术给安全管理员带来了麻烦,他们希望对下一代防火墙执行应用程序限制(下文将详细介绍)。

目录

谷歌(GQUIC)原创QUIC实施

QUIC最初由谷歌于2012年实施并部署(运行在Chrome和Opera上),旨在弥补HTTP/2的缺陷,提供强大且强大的加密功能,并减少了服务器/客户端握手和数据包丢失。

尽管某些环境中仍使用gQUIC,但重点已转向由IETF(RFC 9000及其他相关RFC)开发的标准化QUIC协议,我们将讨论接下来的讨论。
IETF 标准化 QUIC 协议

从RFC 9000开始,IETF已成立QUIC工作组,致力于推进并进一步发展该协议,并成为IETF中任何与QUIC相关工作的焦点。现在所有厂商的重点是使用标准化的IETF版QUIC,而不是原来的gQUIC版本。

IETF QUIC协议在版本字段中使用一个4字节标识符来识别不同的版本。IETF 已标准化:

    RFC 9000 中定义的 QUIC 版本 1(0x000000001)
    QUIC 版本 2(在 RFC 9369 中定义),与版本 1 几乎完全相同,且仅存在细微差别

MORE READING:更多阅读:如何使用NMAP(和Zenmap)扫描IP网络范围

IANA 维护 QUIC 版本的注册表,包括永久版本和临时版本。

QUIC工作组继续改进该协议,在维护其核心特性的同时,提升其作为互联网现代运输协议的能力。

QUIC最重要的特点

这些是QUIC最重要的技术特征:

    使用UDP而非TCP,从而降低开销并提升性能。
    连接复用。streams它在单个连接内多路复用多个独立流。这解决了在TCP连接中发现的线头(HOL)阻塞。
    以步骤交换数据包以减少数据丢失。
    集成的拥塞控制机制。
    内置加密。最新版本使用 TLS 1.3。
    新的HTTP重大版本(HTTP/3)基于QUIC。
    连接ID管理,使连接能够在底层IP地址或端口的变化中存活(例如,从Wi-Fi切换到蜂窝数据)。
    快速0-RTT和1-RT握手连接。
    前向纠错(FEC)。
    还有更多

由QUIC使用的端口

就网络端口而言,QUIC 使用 UDP 端口 443,而不是传统 HTTP(TLS)所使用的 TCP 443。

Chrome浏览器默认启用了QUIC,并且通过访问谷歌服务器(例如YouTube),该会话使用QUIC而非传统的TLS来建立。测试显示,使用QUIC在谷歌应用程序(如YouTube)上的重传量有30%的提升。

监控您电脑浏览器的QUIC流量

如果要检查您的Chrome浏览器和网络连接是否使用QUIC,请执行以下操作:

    在您的 Chrome URL 工具栏中输入以下内容:Chrome://net-export/
    你会得到一个如下所示的屏幕:铬净出口
    Start Logging to Disk点击"开始登录磁盘"并将日志文件保存到您的计算机上。
    打开第二个浏览器标签页,进入YouTube,开始观看一些视频。浏览器将开始捕获数据包,这些数据包将保存到上述步骤3中的文件中。
    单击停止日志记录。
    前往 https://netlog-viewer.appspot.com/#import,然后选择上方的日志文件(chrome-net-export-log)。
    如上图所示,Chrome 日志文件显示了访问 YouTube 等时所使用的 QUIC 协议。

防火墙注意事项

过去

在GQUIC的原始版本中,所使用的加密技术是专有的,而非像TLS那样标准化。

因此,由于采用专有的加密机制,下一代提供应用程序控制和可见性的防火墙难以控制和限制使用原始协议的谷歌应用程序(如Gmail、YouTube等)。因此,使用QUIC时,防火墙设备和安全解决方案是"盲目的"。

当时的解决方案是在防火墙上直接阻止UDP 443,从而迫使协议向TCP 443进行回放。

现

如今,由于新的QUIC版本采用了标准化的TLS 1.3加密协议,因此在使用防火墙检测这种强加密流量(TLS 1.3)时仍存在固有的困难。此外,它依赖于UDP,这使得一些以TCP为重点的安全工具变得更加困难。

然而,较新的下一代防火墙(NGFW)和安全解决方案正在开发能力,以明确识别并应用针对QUIC流量的策略,而不仅仅是屏蔽端口。这可能涉及启发式解析、SNI解析(如果不及早加密),或特定的QUIC协议解码。

在防火墙上屏蔽QUIC (阻止UDP端口443)

安全供应商经常建议管理员在防火墙上屏蔽UDP端口443,以迫使Chrome浏览器将默认的TCP 443连接回退,而不是QUIC。用户的连接不会丢失,因为浏览器将悄然回退到基于 TCP 的普通 TLS(TCP443)。

因此,如果你有较旧的防火墙,并想要屏蔽一些谷歌应用程序(如YouTube、Gmail等),则需要阻止UDP443才能阻止QUIC。

新型防火墙和QUIC

像思科这样的知名安全供应商已开发出防火墙产品中的功能,能够解密QUIC协议,以便检查内部流量,而不仅仅是阻止UDP 443。

尽管这仍然是实验性功能,但我相信安全供应商能够顺应这一趋势,并找到安全方式,通过适当的控制和检查,确保用户能够享受此协议提供的更快性能和速度。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~_END_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~