Chrome/Edge 访问网页无法被拦截

问题现象

Web 过滤针对部分网页配置了阻断动作，但 Chrome/Edge 浏览器发起的网页访问无法被阻断，Firefox 浏览器发起的相同网页访问可以正确被 Web 过滤阻断。

使用基于 FortiGuard 的 Web 过滤或 URL 过滤均会出现此问题。

问题原因

从 Chrome 116 版本开始，引入了新特性“TLS 1.3 hybridized Kyber”。该特性默认开启，导致 FortiGate 的 IPS Engine 无法解密 TLS 交互流量，所以 Web 过滤功能失效。

解决方法 1 - 修改 Chrome 配置

1. 在 Chrome 浏览器的地址栏，输入 chrome://flags（Edge 为edge://flags），进入 Experiments 页面。

2. 在页面上方的搜索框中搜索TLS 1.3 hybridized Kyber support，并将其修改为 Disabled。

   

3. 随后清除 Chrome 网页缓存，即可正常拦截 Chrome 的网页访问。

解决方法 2 - 升级 IPS Engine

升级 FortiGate 的 IPS Engine 到 6.0.15:0171、IPSE 7.1.8:0178、IPSE 7.2.6:0331、IPSE 7.4.2:0519 或更高版本后，即可正常拦截 Chrome 的网页访问。