安全 : Cisco IronPort Web 安全设备

解决Adobe在WSA的更新问题

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述用思科Web安全工具的问题(WSA)遇到,当Adobe更新无法正常时运行。

贡献用西蒙普茨和Siddharth Rajpathak, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 连接到在Akamai网云的下载服务器的Adobe更新

  • 思科WSA

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

问题

Adobe更新无法通过WSA下载更新。在WSA被采取的数据包捕获显示此:

  • Adobe更新用于为了尝试从Akamai托管的URL的范围请求下载。包括报头例如接受范围的范围请求是HTTP请求:xxx范围:xxx,表明请求是为仅特定字节的数据。

  • 默认情况下, WSA转换此范围请求到一个正常HTTP请求并且拿来所有数据(而不是特定字节的数据)从Adobe更新服务器。这发生,以便WSA可进行最佳反恶意软件扫描。

  • WSA然后传送200 OK信息给Adobe更新客户端。这是符合RFC,因为范围请求可以由客户端请求,但是不是所有的服务器要求支持此。为此,客户端必须也处理范围请求的一非范围答复。

Adobe更新客户端不似乎支持非范围答复(例如200 OK)并且假设,将收到范围答复(206部分内容)从服务器, Adobe更新服务器支持它。

在“服务器是自由忽略范围的RFC 7233陈述,许多实施将回应200 (好的)答复的整个选定表示”。然而,服务器和客户端在这种情况下是Adobe拥有的,因此Adobe有权利不收到全双工(200个)答复。

解决方案

您能启用在WSA的范围请求,以便发送范围请求对对客户端的服务器和范围答复。为了启用范围请求,输入rangerequestdownload命令到CLI和做全部更改。

示例如下:

wsa100v.local> rangerequestdownload

Range requests are currently Disabled.
Enabling range requests may allow malware to slip through. Range requests
may not be honored if using Application Visibility and Control.
Are you sure you want to change the setting? [N]> y

wsa100v.local> commit

Please enter some comments describing your changes:
[]> range request enabled

Changes committed: Mon Jun 29 22:42:28 2015 EDT

一旦范围请求下载在WSA启用, Adobe更新客户端应该适当地工作。



Document ID: 118158