請勿將其證書安裝在您要用於私人活動的任何設備/操作系統上。完成後，即使您不使用大學的網絡，您的流量也會受到MITM攻擊。這樣的攻擊需要為您安裝的證書擁有私鑰，但是在實踐中，這很容易，因為這些“安全產品”設計得很糟糕，並且通常使用非常弱的密鑰生成或使用固定的私鑰來實現相同的目的。所有部署，並可供任何客戶使用。自從開始聊天以來，TOOGAM在評論中寫道：

有關此特定供應商證書的特定問題“因此，可以攔截來自任何受害人的流量Cyber​​oam設備與其他任何Cyber​​oam設備配合使用-或從設備中提取密鑰並將其導入其他DPI設備”

如果您不需要網絡上的資源，只需使用wifi在校園內時，可以通過手機進行網絡共享或使用專用的3G USB軟件狗或類似設備。或者，如果非HTTP流量不受MITM的限制，則可以在不安裝證書的情況下使用VPN。在這種情況下，只要有便宜的VPN提供商或VPN到您的家庭網絡即可。

如果您確實需要訪問僅可從園區網絡獲得的資源，請在虛擬環境中安裝另一個OS僅在VM中安裝了MITM CA的計算機，然後使用VM中的瀏覽器訪問這些資源。

VPN當然也是一個很好的解決方案，只要它們也不會阻止它。

保護您的隱私的最佳解決方案可能是盡最大的努力來推翻該政策。這是絕對令人討厭的“安全”政策。實際上，這是對校園中每個人的內置中間人攻擊。如果他們的防火牆受到威脅，攻擊者就可以攔截校園中任何人通過Internet發送的任何信息，包括密碼，信用卡號等。

事實證明，這些設備比起初聽起來更糟。正如TOOGAM在評論中指出的那樣，Tor項目的人們發現，至少在2012年之前， 所有這些設備都使用了相同的CA證書！有權從Cyber​​oam訪問這些深包檢查設備之一或從其中之一導出的CA證書的任何人都可以攔截安裝了該根CA證書的任何人的流量。即使在過去3年中對此問題進行了補救，這也使該設備製造商保護它的能力產生了極端懷疑。這完全是您絕對不應該安裝此證書的原因，並且您應該盡可能地為從校園中刪除此設備提供更多的支持。

此外，如本文檔中所指出的那樣。自從清理掉評論後，使用此設備違反了地球上幾乎每個網站的服務條款，因為它會將您的登錄憑據透露給第三方（大學）。這意味著您不能在法律上同時遵守此政策和幾乎所有網站的服務條款。

如果這是美國的一所公立大學，並且他們沒有立即刪除該設備，那麼對於一個如此大的安全漏洞，我強烈建議與我當地的 FBI網絡工作組聯繫，願意給大學一個很嚴厲的談話。他們有充分的理由非常認真地對待這種事情。

您的大學在某些情況下會提供“網絡連接”服務，其中之一就是大學系統管理員可以檢查所有流量。雖然試圖通過一些技術手段（例如，在另一個答案中建議使用VPN）來打敗此類sysadmins的煩惱，但這顯然是在打敗大學網絡的“安全系統”，這可能使您陷入困境在大麻煩中。然後，最明智的做法是不這樣做，而是使用自己的Internet（例如，通過個人電話）。

請勿將他們的網絡用於個人。這是保護您的隱私免受其侵害的最佳方法。

如果沒有選擇，請使用虛擬機，然後將證書安裝在虛擬機而不是主機上。它可以讓您保護自己的隱私。

對於這些問題，我個人始終使用單獨的計算機。除非我稍後計劃從軌道上對其進行核彈，否則我不允許公司/教育機構在自己的設備上安裝任何東西。

如果未過濾掉 ssh ，則可以使用 ssh 生成在 ssh 隧道上運行的SOCKS代理。您無需安裝任何軟件即可完成此工作。您不需要VPN軟件。以下將在Linux機器或Mac上運行（並且可能可以在Windows上運行）：

• 獲取一個shell帳戶（或一個VM，但是在頂部）

• 檢查是否可以從機構外部使用 ssh 登錄並接受主機密鑰（機構外部以確保它們不是MTiM的 ssh -不太可能）

• 在終端 ssh -D 8080 -N username@host.name中。這裡（請注意，這似乎會掛起）

• 現在使用 127.0.0.1:8080 作為您的SOCKS代理

一旦成功，您可以（可選）使用 autossh 代替 ssh ，它將保持隧道通暢-您可能會

未經測試的Windows指令（需要下載PuTTY）在此處。

之所以起作用，是因為HTTPS流量不再流動通過端口443。它在端口22上流動（重新加密）。假設，它們不在接受 ssh 協議。如果是的話，您就可以知道。您的流量看起來像 ssh 流量（因為它是 ssh 流量）-儘管詳細的流量分析可能建議，但它是承載代理Web請求的ssh流量。因此，不能立即將其識別為VPN流量。此外，您的大學很可能不會阻止 ssh 流量，因為CS學生會使用它。

另一種方法是將網絡連接到您的手機並使用數據計劃

閱讀T&C。

查看是否被允許使用VPN（某些協議可能被禁止，VPN也可能被使用）。

如果您使用，請使用VPN，切勿直接通過其網絡連接到任何站點。 （除非您使用證書固定，但是由於證書不匹配，連接很可能會失敗）。精確的路由表可以幫助您解決此問題。您甚至不必安裝證書（但是，連接到網絡時可能需要安裝證書來登錄某些東西）。

如果不允許...

• 請勿將證書安裝在用於個人物品的任何計算機上。使用其他計算機或VM。永遠不要在那台計算機/ VM上做任何事。
• 與同學討論這些。增強對您周圍這個問題的認識。
• 將這個問題交給任何有權限的主管。可以在 http://law.stackexchange.com上詢問有關您是否可以對此進行抗議的建議。

請勿對T&C採取任何措施，這是被簡單地從網絡上禁止的最好方法，或更糟糕的是。

不要使用網絡。

這幾乎是您唯一的選擇。任何企圖規避其“安全”措施的嘗試，很可能會被CFAA（假設美國管轄）視為“未經授權的進入”，並可能導致多年的服刑時間。

您可以嘗試將其帶到球場，但是您的機會很小。公共和私人機構多年來一直在進行此類網絡監視和攔截，而沒有違反法律。

迫使我們安裝Cyber​​oam Firewall SSL證書，以便他們可以查看所有加密的流量以“提高我們的安全性”。

惡意軟件也是通過HTTPS發送的，因此他們可能真的打算通過分析惡意軟件的加密流量來提高安全性。如果他們只是想阻止對某些站點的訪問，他們可能可以在沒有SSL攔截的情況下進行訪問。

出於完全相同的原因，SSL攔截在公司中非常普遍，例如，保護公司免受惡意軟件的侵害。

使用VPN是否足以隱藏我的所有流量，或者還有其他方法？

這取決於他們的網絡配置。如果他們足夠聰明，將阻止VPN等的使用。我可以想像，他們明確禁止使用此類技術繞過防火牆，因為這意味著繞過保護並降低網絡的安全性。因此，如果您使用VPN，則期望斷開網絡連接。

如果我未安裝證書，則無法使用其網絡。

如果您擁有網絡，則即使沒有使用SSL攔截，也有足夠的方法來攻擊計算機或侵犯用戶的隱私。如果您不信任他們，請不要使用他們的網絡，無論他們是否使用SSL攔截。

他們將如何驗證您是否已經安裝了SSL證書？他們還在您的本地計算機上運行軟件嗎？否則，我會認為不利的影響只是您必須處理許多證書錯誤。

如果您是雙引導或虛擬化，該怎麼辦。安裝您的不安全操作系統，在其中安裝其所有“安全工具”和證書以及（並且不要使用您不希望別人看到的任何東西），然後在需要隱私時，移回原處。到您的安全操作系統。如果您住在校園裡並且幾乎總是使用他們的網絡，那麼默認情況下，讓您的安全操作系統使用VPN，這可以滿足他們的要求。他們可以通過多種方式註意到這一點，但是您總是可以告訴他們您有工作或某件事，並且需要工作才能工作，他們可能會相信您，讓您獨自一人。

或者，我說得到蜂窩熱點。但是我知道，當我上大學時，我負擔不起所需的那種數據計劃。

建議的解決方案：當您要使用虛擬機的網絡時，請使用已安裝證書的虛擬機。這樣，當您使用或不使用他們的網絡時，對您將非常清楚。當不再需要使用虛擬機的網絡時，也可以丟棄該虛擬機。

請勿繞過防火牆。其他答案已經涵蓋了技術選項，但這是不可取的-我見過的所有過濾產品都將阻止繞過，或者允許繞過，但通知管理員，這會給您帶來麻煩。似乎不允許您做某事，這似乎是一個聰明的辦法，但當局會腳-禁止您進入網絡，這將使您的學習困難，或將您驅逐出大學。無論哪種方式，對長期壽命的潛在影響都不值得在大學獲得未經過濾的互聯網連接的短期收益。

唯一真正的技術選擇是通過3G使用您自己的互聯網連接移動或類似技術。您可以安裝本地代理，並通過3G鏈接路由您的HTTPS連接，並通過大學網絡路由其他所有路由。

在教育機構中，互聯網過濾器對SSL的攔截正在成為一種普遍的做法。如果您要對此表示反對，請調查您的法律選擇。在許多司法管轄區中，未經雙方同意而截取私人通訊是違反竊聽法的行為。即使該論點表明您故意通過安裝SSL證書來同意進行攔截，但遠程網站肯定是這種情況。據我所知，沒有任何一個學生曾在此基礎上對SSL攔截提出過挑戰，但必須有人是第一個。一家過濾公司的高級職員曾經告訴我，如果SSL攔截是非法的，這不是他們的問題-違反法律的是他們的客戶-他們必須提供這種選擇，否則他們將失去銷售。

這些Internet篩選器/防火牆的安全性通常非常糟糕：

• 有些人為其所有客戶使用相同的SSL證書。借助管理員或物理訪問權限可輕鬆提取。如果一個防火牆被攻破，那麼每個防火牆都會被破壞。

• 使用具有已知安全漏洞的舊軟件。我知道一家商業提供商擁有一個基於2004年發布的軟件的當前產品線。如果可以獲取用戶訪問權限，則root用戶訪問權限微不足道。

• 不安全的遠程訪問。支持團隊通常為所有客戶使用相同的安裝和遠程維護密碼。知道密碼可以遠程訪問任何客戶系統的攻擊者。

• 存在一些“白名單”，這些站點不應進行SSL攔截（例如，重大銀行）。但是，如果您可以訪問系統，則可以修改軟件以忽略或刪除白名單是很簡單的。

• 我知道至少有一種情況是外部攻擊者可以控制獲得對持有主要防火牆產品源代碼的開發服務器的訪問權限。首席開發人員告訴我，“我們不知道他們在內部網絡中走了多遠，或者一旦進入網絡他們就做什麼。”

2015年12月更新：自2012年以來在Juniper防火牆中發現的後門程序。

您可以使用他們的證書，並在其上使用VPN。

您可以創建自定義路由表，通過VPN路由除內部網絡流量以外的所有路由。這樣，他們只能解密您與大學網絡上系統之間的連接。其他所有內容都將通過您的VPN連接進行路由，並且將是安全的。

但是使用VPN將使您的所有流量都定向到單個服務器（您的VPN提供商）上，並且在使用時肯定會非常可疑日誌。如果您的大學不允許VPN連接，則最好不要使用它，或僅將其用於特定任務（例如，電子郵件檢查）。在Firefox上使用FoxyProxy可以幫助您。

我相信，您可以安全地使用Chrome OS設備，並使用專用的“學校” Google帳戶，該帳戶僅用於訪問學校網絡。切換到其他帳戶（例如您的個人帳戶）將不再使用學校的證書或該用戶的任何設置，Chrome OS旨在安全隔離帳戶。

此幫助文章（專為域管理員而非用戶編寫）提到了這是可能的，並且還指出，它僅在域用戶登錄後才適用。

當我初次閱讀您的問題時，我正在尋找一種通過HTTP使用Tor的方法（不使用proxy CONNECT 命令），但較舊的答案都表示目前尚不可能（我從2013年僅發現一項建議）從來沒有到過的地方）。現在我偶然發現了這個，不確定它是否是您所需要的，但看起來卻像這樣：

https://trac.torproject.org/projects/tor/wiki/doc/meek

meek是一種可插拔的傳輸，使用HTTP承載字節，使用TLS進行混淆