安全 : Cisco IronPort Web 安全设备

当使用时, IE可能不正确地发送请求到在非代理端口的WSA PAC文件

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

目录

贡献用Kei尾崎和Siddharth Rajpathak, Cisco TAC工程师。

问题:

当使用时, IE可能不正确地发送请求到在非代理端口的WSA PAC文件

环境:思科Web安全工具(任何版本), Internet Explorer 6,7,8

症状:请求发送到WSA的非代理端口和阻塞/已丢失

在某种状况下Internet Explorer (IE)可能不正确地发送请求到思科Web安全工具的(WSA)错误端口。

当下面的情况符合时,这似乎发生

  1. IE配置使用PAC文件
  2. PAC文件设置绕过WSA的IP地址的代理
  3. “最终用户通知”页通常包括参考,徽标镜像,在WSA主机
  4. 参考徽标的URL匹配在PAC文件的返回的“代理”值。

当在情况上满足, IE将不正确地发送HTTP请求到徽标主机的端口。

示例PAC文件配置:

功能FindProxyForURL (URL,主机) {
如果(isInNet(host,"10.0.0.0","255.0.0.0"))返回“处理”;
其他回归“代理wsa-hostname:80";
}

对徽标的示例林克:    http://wsa_hostname:9001/logo.png (解决在10.0.0.0/8子网的IP)的wsa主机名

使用以上的配置示例, IE将发送请求对wsa-hostname:9001。

症状主要被看到,当操作要求阻塞时,并且被提交的EUN页将回报将装载的徽标。当用户点击链路时,对此链路的请求去wsa-hostname:9001而不是wsa-hostname:80。

  • 当您使用在WSA的警告功能同样将发生。

结果, WSA将拒绝处理请求,因为请求在错误的端口(9001接收而不是80)。

  • 如果已接收端口是9001个(或其他端口PAC文件主机), WSA将返回"400 Bad请求”。
  • 如果已接收端口是管理HTTPS侦听)的8443个(或其他端口, WSA将切连接,不用任何错误。

因为PAC文件不如此,陈述此行为不正确, IE不应该发送请求直接地到"wsa-hostname:9001"。

  • Firefox不观察此行为。

应急方案:

  1. 更改“徽标”链路或返回的“代理”值在PAC文件,因此这两个不配比。
  2. 更换PAC文件使用“代理<wsa-IP-address>:80"而不是主机名
  3. 创建别的徽标链路的A记录

注意:当参考代理时,推荐使用单词主机名。因此应该更喜欢应急方案(1)和(3) (2)。



Document ID: 118153