セキュリティ : Cisco Web セキュリティ アプライアンス

WSA 警告、確認応答および EUN ページは明示的 な HTTPS 要求のために正しく表示する

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は警告、確認応答、またはエンドユーザ 通知(EUN)ページが明示的 な HTTPS 要求のために正しく表示するとき Cisco Web セキュリティ アプライアンス(WSA)で直面する問題を記述したものです。 この問題のための回避策はまた提供されます。

Kei Ozaki および Zack Shaikh によって貢献される、Cisco TAC エンジニア。

前提条件

要件

この文書に記載されている情報はそれを仮定します:

  • WSA プロキシアドレスは明示モードで展開されます。
  • HTTPS 要求は、警告されてブロックされます、またはユーザ 確認応答を必要として下さい。

使用するコンポーネント

この文書に記載されている情報は Cisco WSA に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

問題

警告、確認応答、または EUN ページは明示的 な HTTPS 要求のために正しく表示する。 ブラウザは不完全な通知 ページを表示するか、またはページを全然表示するし、代りに Error ページを表示する。

明示的 な HTTPS 要求を使用するときこれらのページを囲む複数の問題があります。 プロキシを使用するためにブラウザを設定するとき HTTPS トラフィックは HTTP 上の WSA に送信されます。 この要求は HTTP 上の HTTPS としてフォーマットされています。

WSA は明示的 な HTTPS 要求のために戻ることを正しく HTTP を答える処理しないブラウザにおいての 2 つの既知の問題があります。 明示的 な HTTPS 要求が、警告されてブロックされるか、またはユーザ 確認応答を必要とするとき、WSA は 403 ステータス スコードを戻します。 この応答の中では、WSA は視認できるように画面で普通する必要がある通知 コンテンツが含まれています。 ただし、場合によっては、ブラウザは戻されたコンテンツ内の応答を理解する場合がありません。
これは観察されるブラウザの動作です:

  • Internet Explorerのバージョン 6 (IE6)および IE7 のバージョンが使用される時、HTML 応答の全内容をするこれらの要求失敗。 ブラウザははじめの幾つかのバイト(最初のパケット内のコンテンツだけ)に名誉を与え、他を無視します。 このような場合、少数の文字だけ表示する不完全なページを見ます。

    : これが事実である場合、Cisco は WSA 応答からのデフォルト通知 ページを縮めることを推奨します。 EUN ページを編集する方法に関する詳細については WSA ユーザガイド編集 IronPort 通知 ページ セクションを参照して下さい。

  • Mozilla Firefox リリース 3 の IE8 および新しいバージョンが使用されるとき、ブラウザは完全に WSA が自身の Error ページとそれを戻し、覆う応答を無視します。 このブラウザの動作は 403 通知を無効にし、機能との中断を引き起こします。

解決策

このセクションは HTTPS 復号化が WSA で有効に なるときプロセスを説明します発生する。 以前に記述されていた問題への回避策として、システムがそれに応じて設定されるようにするために提供される情報を使用して下さい。

明示的 な HTTPS 要求が送信 されるときトラフィックフローの例はここにあります:

  • HTTPS 復号化が有効に なるとき、WSA は復号化ポリシーに対して最初に要求を検証します。

  • 要求がパススルーのためにマークされる場合、トラフィックは許可されます(警告か EUN 無し)。

  • 要求が復号化されるとしてマークされる場合、要求はアクセスポリシーに対して検証されます。 この場合アクセスポリシーが警告するか、またはブロックするために設定されれば、そして正しの EUN ページ表示。 残念ながら、なぜなら確認応答 プロキシによっておよび HTTPS サイトに運行を必要とするユーザは HTTP ページにナビゲート し、確認する必要があります。

  • WSA はタイマーが切れるまでクライアントIPアドレスを覚え、別の確認応答を必要としません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117805