Безопасность : устройство защиты веб-трафика Cisco

Почему был бы, заставляя определенные категории "Предупредить" или "Заблокировать" поврежденные макеты страницы на некоторых веб-сайтах?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Внесенный Kei Ozaki и Siddharth Rajpathak, специалистами службы технической поддержки Cisco.

Вопрос:

Почему был бы, заставляя определенные категории "Предупреждать/Блокировать" поврежденные макеты страницы на некоторых страницах?

Среда:

  • Cisco Web Security Appliance (WSA) любая версия AsyncOS
  • Использование "Предупреждает" или "Блочная" функция под категориями URL

Признаки: Когда определенные категории настроены, чтобы 'Заблокировать' или 'Предупредить', некоторые веб-страницы обнаруживаются с неправильным планом

При открытии веб-страницы браузер, как правило, делал бы множественные запросы HTTP через прокси WSA. Каждый запрос был бы независим и будет обработан и категоризирован отдельно WSA.

Например: :

  • Скажите посещение wesbite http://www. пример. com/index.html. Давайте предполагать, что это категоризировано как "Компьютеры и Интернет"
  • Страница "Index.html" имеет ссылки на образ, размещенный на 'www.advertisements.com', который категоризирован как "Реклама".

Теперь, скажем, у нас есть политика доступа на WSA (GUI> веб-Менеджер безопасности> Политика доступа), настроенный, чтобы "Заблокировать" категорию 'Рекламных объявлений' и "Монитор" 'Компьютеры и Интернет' категория

  • На основе вышеупомянутой конфигурации Политики доступа обратитесь к www. пример. com разрешен, но блокирован доступ к www.advertisements.com.
  1. Когда пользователь посещает http://www. пример. com/index.html на браузере, это выполняет запрос для выборки index.html от www. пример. com.
  2. Затем смотря на загруженный файл HTML, браузер выполнил бы запрос для выборки образа, размещенного на "www.advertisements.com".
  3. Когда WSA получает этот запрос, он блокирует транзакцию и возвращает "Уведомление конечного пользователя (EUN)", указывающее, что был заблокирован запрошенный запрос HTTP.
  4. Браузер получает отвечать/блокировать страницу от прокси, но это не было бы в состоянии представить запрошенный "образ", потому что EUN находится в HTML. Вместо этого браузер (например, Internet Explorer) показал бы 'красный X', где должен быть отображен образ.

От вышеупомянутого приведенного выше примера мы видим, что был заблокирован "образ". Но не все объекты всегда видимы. Примером таких объектов являются файлы сценария Java, файлы таблицы стилей (css) и т.д. Сценарий Java (JS), Таблица стилей (CSS) была бы выполнена в фоновом режиме, и браузер не уведомит пользователя, когда будет заблокирован запрос. Когда эти объекты заблокированы, браузер может не быть в состоянии представить страницу правильно и показать вам страницу с неправильным планом.

Если вы сталкиваетесь с веб-сайтом или веб-страницей, которая не представляет правильно, исследуйте accesslog для определения, какой домен или веб-сайт 'Блокируются' или 'Предупреждаются' WSA.

Для получения дополнительной информации о 'grepping' или исследовании журналов доступа, посетите ссылку ниже.
http://tinyurl.com/2l6qkw

См. подключенная выборка от Руководства пользователя, которое предоставляет подробное объяснение при чтении вывода лога доступа.

Как только мы находим домены заблокированными (как www.advertisements.com в вышеупомянутом примере), мы можем взять любой из ниже шагов для исправления макета страницы

  1. Настройте категорию, привязанную к домену - Рекламным объявлениям в вышеупомянутом примере - чтобы 'Контролировать' вместо 'Блока' или 'Предупредить'
    • Можно сделать это в политике доступа под GUI-> веб-Менеджер безопасности-> Политика доступа> столбец категорий URL
    • Примечание: Это изменение конфигурации разблокировало бы acess ко всем веб-сайтам в заинтересованной категории. Если 'заблокированная' категория влияет на планы на многих веб-сайтах, следовательно необходимо только выполнить это действие
  2. Настройте пользовательскую категорию URL (Под GUI-> веб-Менеджер безопасности-> Пользовательские категории URL) с заинтересованными доменами (как advertisemnts.com, .advertisements.com) и настройте к пользовательской категории URL для 'Контролирования' в политике доступа
    • Эта конфигурация только разрешит сайты, перечисленные в пользовательской категории URL, и WSA все еще продолжит блокировать другие сайты в заинтересованной категории

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.