セキュリティ : Cisco Web セキュリティ アプライアンス

IE は非プロキシ ポートの WSA に PAC ファイルが使用されるとき Send 要求不正確にかもしれないです

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

著者:Cisco TAC エンジニア、Kei Ozaki および Siddharth Rajpathak

質問:

IE は非プロキシ ポートの WSA に PAC ファイルが使用されるとき Send 要求不正確にかもしれないです

環境: Cisco Web セキュリティ アプライアンス(あらゆるバージョン)、Internet Explorer 6,7,8

症状: 要求は WSA の非プロキシ ポートに送信 され、ブロックされましたり/廃棄されています

特定の状況下で Internet Explorer (IE)は Cisco Web セキュリティ アプライアンス(WSA)の間違ったポートに Send 要求不正確にかもしれないです。

これは条件が下記の満たされるとき起こるようです

  1. IE は PAC ファイルを使用するために設定されます
  2. PAC ファイルは WSA の IP アドレスのための proxying をバイパスするために設定 されます
  3. 「エンドユーザ 通知」ページは WSA でホストされる参照が、ロゴ イメージ最も一般に含まれています、
  4. ロゴを参照する URL は PAC ファイルの戻る「プロキシ」値と一致します。

条件の上で、IE 不正確に送信 しますロゴがホストされるポートに HTTP 要求を会われます時。

PAC ファイル設定例:

function FindProxyForURL(url, host{
(isInNet(host,"10.0.0.0","255.0.0.0"))戻りが「指示すれば」;
他の帰り「プロキシ wsa-hostname:80";
}

ロゴへのリンク例:         http://wsa_hostname:9001/logo.png (10.0.0.0/8 サブネットの IP を解決する wsa ホスト名)

上記の設定例を使用する IE は wsa-hostname:9001 に Send 要求。

現象は大抵進行要求がブロックされ、示された EUN ページがロードされるべきロゴをするとき見られます。 ユーザがリンクをクリックするとき、このリンクへの要求は wsa-hostname:80 の代りに wsa-hostname:9001 に行きます。

  • 同じは WSA の警告機能を使用する場合起こります。

その結果、WSA は要求が不正確なポート(80)での代りの 9001 受け取られたので要求の処理を拒否します。

  • 受け取ったポートが 9001 (または他のポート PAC はファイル ホストされます)なら、WSA は "400 悪い要求を」戻します。
  • 受け取ったポートが管理 HTTPS が受信している 8443 の(または他のポート)なら、WSA はエラーなしで接続を破棄します。

この動作は "wsa-hostname:9001" に PAC ファイルがそう示さないので不正確、IE 要求を直接送信 するべきではありませんです。

  • Firefox はこの動作を観察しません。

回避策

  1. PAC ファイルの「ロゴ」リンクか戻る「プロキシ」値を変更して下さいそうすればこれら二つは一致する。
  2. 「ホスト名の代りのプロキシ <wsa-IP-address>:80" を使用するために PAC ファイルを変更して下さい
  3. 別のものの作成ロゴ リンクのための A レコード

: プロキシを参照するとき単語ホスト名を使用するために推奨します。 それ故に回避策は(2)に(1)および(3)好む必要があります。



Document ID: 118153