Sécurité : Dispositifs de sécurité Web Cisco IronPort

Pourquoi est-ce que j'obtenant l'erreur de « mauvaise demande (en-tête de demande suis trop long) » en allant par le proxy ?

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contribué par Kei Ozaki et Siddharth Rajpathak, ingénieurs TAC Cisco.

Question :

Pourquoi est-ce que j'obtenant l'erreur de « mauvaise demande (en-tête de demande suis trop long) » en allant par l'appliance de sécurité Web de Cisco (WSA) ?


Environnement :

Appliance de sécurité Web de Cisco (WSA) toute version d'AsyncOS

L'erreur « mauvaise demande (en-tête de demande trop longue) » est vue quand l'en-tête de demande de HTTP dépasse la « limite de taille d'en-tête » a placé sur le serveur cible.

Les demandes de HTTP normales ne frappent pas cette limite. Cependant dans certain enferme, comme le serveur cible ayant besoin de l'authentification, l'en-tête de demande de HTTP peut se développer, approchant le positionnement de limite sur le serveur cible. Si l'en-tête de demande de HTTP dépasse la taille d'en-tête configurée sur le serveur cible, alors le serveur enverra la réponse de HTTP de « mauvaise demande (en-tête de demande trop longue) ».


Quand allant par le WSA, WSA ajoutera les en-têtes supplémentaires, comme « par l'intermédiaire » de l'en-tête, à la demande de HTTP. Les en-têtes ajoutées par WSA sont des en-têtes en général facultatives de HTTP qui sont conformes au RFC de HTTP. En de rares occasions, l'en-tête supplémentaire que le proxy ajoute peut causer la limite d'en-tête d'être dépassée du côté de serveur cible.

« Par l'intermédiaire » de l'en-tête peut être désactivé sur notre appliance de sécurité Web (WSA) du GUI de Web dessous :

  • Les « Services de sécurité » > le « proxy de Web » > « éditent des configurations »
  • Sous des « en-têtes.  », placez l'option « n'envoient pas » pour par l'intermédiaire des en-têtes

Dans des versions 7.5 et ultérieures d'AsyncOS, nous désactivons spécifiquement juste le « côté de demande PAR L'INTERMÉDIAIRE DE :  » en-tête qui serait envoyée aux serveurs cibles.

Typiquement, la limite de taille d'en-tête devrait également être configurable sur le web server.

Guide de configuration pour changer la limite sur le serveur IIS : http://support.microsoft.com/kb/955585



Document ID: 118230