安全 : Cisco IronPort Web 安全设备

WSA亚里桑、确认和EUN页不为明确HTTPS请求正确地显示

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述在思科Web安全工具的问题(WSA)遇到,当亚里桑、确认或者最终用户通知(EUN)时页不为明确HTTPS请求正确地显示。也提供此问题的一应急方案。

贡献用Kei尾崎和Zack Shaikh, Cisco TAC工程师。

先决条件

要求

本文档中的信息假设那:

  • WSA代理地址在明确模式部署。
  • HTTPS请求或者阻止,警告,或者请要求用户确认。

使用的组件

本文档中的信息根据思科WSA。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

问题

亚里桑、确认或者EUN页不为明确HTTPS请求正确地显示。浏览器显示一个不完整通知页,或者根本不显示页和显示错误页。

有包围这些页的几个问题,当您使用明确HTTPS请求时。当您配置您的浏览器使用代理时, HTTPS流量处理对在HTTP的WSA。此请求被格式化作为在HTTP的HTTPS。

有两个已知问题用不正确地处理HTTP回复WSA为明确HTTPS请求返回的浏览器。当一明确HTTPS请求阻止,警告或者要求用户确认时, WSA返回403状态码。在此回复内, WSA包括在屏幕应该通常回报的通知内容,以便看得见。然而,在某些情况下,浏览器不能了解在返回的内容内的回复。
这是被观察的浏览器行为:

  • 当使用Internet Explorer版本6 (IE6)和IE7一些版本,回报HTML回复的全部内容的这些请求失败。浏览器只尊敬最初的少数字节(在第一数据包内的内容)并且忽略其余。在这类情况下,您看到显示仅一些个字符的一个不完整页。

    注意:如果这是实际情形,思科建议您收缩从WSA回复的默认通知页。关于如何编辑您的EUN页的更多信息,参考WSA用户指南的编辑的IronPort通知页部分。

  • 当使用时IE8和新版本Mozilla Firefox版本3,浏览器完全忽略WSA返回并且屏蔽它与其自己的错误页的回复。此浏览器行为阻挠目的对于403通知并且导致与功能的中断。

解决方案

此部分描述发生的进程,当HTTPS解密在WSA时启用。作为对以前描述的问题的一应急方案,请使用被提供的信息为了保证您的系统相应地配置。

这是通信流的示例,当一明确HTTPS请求发送时:

  • 当HTTPS解密启用时, WSA首先验证请求解密策略。

  • 如果请求为PASSTHROUGH被标记,则流量通过允许(没有警告或EUN)。

  • 如果请求被标记作为解密,则请求验证访问策略。在这种情况下,如果访问策略配置为了警告阻塞,然后正确EUN页显示。用户必须导航到HTTP页和确认,要求定位通过代理然后到HTTPS站点的不幸地,为了确认。

  • WSA记住客户端IP地址,并且不要求另一确认,直到计时器超时。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 117805