Inspektion
TLS-Inspektion + Fingerprinting
Server-Name, Protokoll der Anwendungsschicht und TLS-Client-Fingerprint werden inline extrahiert — optional mit Forward-Proxy-Entschlüsselung unter einer kurzlebigen internen Zertifizierungsstelle.
GA65K Fingerprints
SO FUNKTIONIERT ES
Ein einzelner Flow im Durchlauf
- 1Das Client-Hello wird auf dem Fast-Path analysiert, ohne dass ein Kontext einer TLS-Bibliothek allokiert wird.
- 2Fingerprints — JA3, JA3S und JA4 — werden aus der Reihenfolge der Cipher Suites, den Erweiterungen und den elliptischen Kurven abgeleitet.
- 3Richtlinien matchen auf Server-Name, ALPN, minimale TLS-Version oder rohen Fingerprint-Hash.
- 4Im Forward-Proxy-Modus wird bei Bedarf eine kurzlebige Zertifizierungsstelle zur Inline-Inspektion genutzt.
UNTER DER HAUBE
Technische Hinweise
Speicherung der Fingerprints
Eine speziell entwickelte Hash-Tabelle verwaltet zehntausende Fingerprint-Einträge per Open Addressing. Listen werden bei Threat-Intelligence-Updates atomar ausgetauscht — kein Paketverlust, kein Neustart.
Wildcard-Domain-Matching
Domain-Muster teilen sich den Speicher in einem Suffix-Trie mit Präfixkompression. Die Matchingkosten bleiben auch bei vielen feingranularen Überschreibungen logarithmisch.
VERWANDT
Weitere Funktionen, die hier greifen
Inspektion
L7-Anwendungsklassifikation
200+ Anwendungsprotokolle, Kategorie-Paare, Heuristiken für verschlüsselten Verkehr — alles auf dem Fast-Path.
Sicherheit
Feed-gesteuerte Threat Intelligence
Sperrlisten für IPs, Domains, URLs und TLS-Fingerprints. Suffix-Trie-Matching. Atomarer Hot-Swap über das Control-Socket.