Cloudflare近日宣布,其WARP服务现已支持MASQUE协议,进一步提升了用户的网络隐私和连接效率。MASQUE协议基于QUIC传输协议,旨在通过HTTP/3有效代理IP和UDP流量,提供更强的抗干扰能力和更高的性能。
用户可以在WARP的设置中选择MASQUE作为隧道协议,具体操作为:在客户端设置中进入“高级”选项,选择“连接选项”,然后选择“Tunnel Protocol”中的MASQUE。此更新不仅适用于个人用户,也为Zero Trust WARP用户提供了额外的安全性。
Cloudflare团队表示,MASQUE协议的引入将使WARP在网络环境中更具灵活性和可靠性,尤其是在面对网络限制时。用户可通过更新客户端以体验这一新功能。
WireGuard 的现状
WireGuard是 2019 年 WARP 服务 1.1.1.1 的完美选择。WireGuard 快速、简单且安全。它正是我们当时保障用户隐私所需要的,并且满足了我们所有的期望。如果我们回到过去再做一次,我们还是会做出同样的选择。
但简单性的另一面是一定的刚性。我们发现自己想要扩展 WireGuard,为我们的零信任客户提供更多功能,但 WireGuard 并不容易扩展。更好的会话管理、高级拥塞控制或仅仅使用符合 FIPS 标准的密码套件的能力等功能都不是 WireGuard 中的选项;如果可能的话,这些功能必须作为专有扩展添加。
此外,虽然 WireGuard 在 VPN 解决方案中很受欢迎,但它并非基于标准,因此在互联网世界中不被视为一等公民,非标准流量可能会被阻止,有时是故意的,有时不是。WireGuard 默认使用非标准端口 51820。Zero Trust WARP 将其更改为使用端口 2408 作为 WireGuard 隧道,但它仍然是一个非标准端口。对于控制自己防火墙的客户来说,这不是问题;他们只是允许该流量。但世界上许多公共 Wi-Fi 位置或大约 7,000 个 ISP 对 WireGuard 一无所知,并阻止了这些端口。我们也遇到过这样的情况,ISP 知道 WireGuard 是什么,并故意阻止它。
这可能会给在当地咖啡店、酒店、飞机或其他有强制门户或公共 Wi-Fi 接入的地方漫游的 Zero Trust WARP 用户带来严重影响,有时甚至会干扰其本地 ISP。用户希望通过 Zero Trust WARP 获得可靠的访问,但当他们的设备无法连接到 Cloudflare 的全球网络时,他们会感到沮丧。
现在我们有了另一项成熟的技术——MASQUE——它使用并扩展了 HTTP/3 和 QUIC。让我们快速回顾一下这些技术,以更好地理解为什么 Cloudflare 认为 MASQUE 是未来。
解读缩略词
HTTP/3 和 QUIC 是互联网发展的最新进展之一,可实现更快、更可靠、更安全的网站和 API 等端点连接。Cloudflare 通过互联网工程任务组与业内同行密切合作,开发了QUIC 的RFC 9000和 HTTP/3 的RFC 9114。我们在 2019 年的博客文章中回顾了 HTTP/3 和 QUIC 基本优势的技术背景,在该文章中,我们宣布QUIC 和 HTTP/3 将在 Cloudflare 的全球网络上可用。
与零信任 WARP 最相关的是,得益于数据包合并和多路复用,QUIC 在低延迟或高数据包丢失网络上提供了更好的性能。握手期间不同上下文中的 QUIC 数据包可以合并到同一个 UDP 数据报中,从而减少接收和系统中断的次数。通过多路复用,QUIC 可以在同一个 UDP 连接中承载多个 HTTP 会话。零信任 WARP 还受益于 QUIC 的高隐私级别,该协议设计了 TLS 1.3。
MASQUE 通过提供应用层构建块来支持 TCP 和 UDP 流量的高效隧道传输,从而释放了 QUIC 的代理潜力。在 Zero Trust WARP 中,MASQUE 将用于通过 HTTP/3 建立隧道,提供与当今 WireGuard 隧道传输相同的功能。未来,我们将能够利用 MASQUE 创造更多价值,并利用 Cloudflare 对MASQUE 工作组的持续参与。这篇博客文章非常适合那些有兴趣深入了解 MASQUE 的人阅读。
好的,Cloudflare 将使用 MASQUE 进行 WARP。这对您(零信任客户)意味着什么?
经过大规模验证的可靠性
Cloudflare 的网络目前覆盖 120 多个国家/地区的 310 多个城市,并与全球 13,000 多个网络互连。HTTP/3 和 QUIC 于 2019 年引入 Cloudflare 网络,HTTP/3 标准于 2022 年最终确定,并在 2023 年占我们网络上所有 HTTP 流量的约 30%。
我们还在为iCloud Private Relay和其他隐私代理合作伙伴使用 MASQUE。从基于 Rust 的代理框架到开源QUIC 实现,这些合作伙伴关系所需的服务已在我们的网络中全球部署,并且已被证明是快速、有弹性且可靠的。
Cloudflare 已在大规模可靠地运行 MASQUE、HTTP/3 和 QUIC。因此,我们希望您(我们的 Zero Trust WARP 用户和 Cloudflare One 客户)也能从同样的可靠性和规模中受益。
防火墙依旧可以监测与拦截
虽然 Masque 使用 QUIC(基于 UDP 的加密协议),防火墙可以通过流量的模式、流量行为、传输时间等特征来推测是否有 Masque 协议的使用:
• 流量模式分析:QUIC 协议通常使用 UDP 端口 443 来模拟传统的 HTTPS 流量,但是其通信模式和握手过程与传统 TCP/HTTPS 流量有所不同,防火墙可以通过对流量的持续分析检测出与 QUIC 协议相关的特征。
• 数据包大小与时间分析:由于 Masque 协议允许在加密隧道中传输多个不同类型的流量,防火墙可以基于数据包的大小、发送频率以及时间戳模式来推断出异常行为。
- 深度包检测(DPI)
防火墙可以使用 深度包检测(DPI) 来识别 Masque 协议的加密流量特征:
• 虽然 Masque 使用了加密(通常是 QUIC 上的 TLS),但是 DPI 工具可以尝试分析加密前的握手过程或协议元数据,识别其是否为 Masque 协议流量。
• 现代防火墙的 DPI 技术非常先进,可以通过分析流量的统计特征、TLS 握手中的证书信息,甚至是流量中可能泄露的部分元数据来识别特定协议。
- 封锁 QUIC 流量
一些防火墙可能不直接劫持 Masque 流量,而是选择全面封锁基于 QUIC 的通信:
• QUIC 协议基于 UDP,而大多数传统 HTTP/HTTPS 流量基于 TCP,因此防火墙可能会选择阻止或限制大量的 UDP 443 端口流量,从而间接封锁 Masque 协议。
• 如果防火墙发现了 Masque 协议所依赖的特定流量模式(如大量的 QUIC 连接),它可以选择限制或完全禁止 UDP 443 端口,阻断 QUIC 的使用。