Безопасность : устройство защиты веб-трафика Cisco

WSA предупреждение, подтверждение и страницы EUN не отображаются правильно для явных запросов HTTPS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает проблему, с которой встречаются на Cisco Web Security Appliance (WSA), когда Предупреждение, Подтверждение или страницы End User Notification (EUN) не отображаются правильно для явных Запросов HTTPS. Обходной путь для этой проблемы также предоставлен.

Внесенный Кеем Озэки и Заком Шэйхом, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Сведения в этом документе предполагают что:

  • Прокси - адреса WSA развернуты в Явном режиме.
  • Запросы HTTPS или заблокированы, предупреждены или требуют пользовательского подтверждения.

Используемые компоненты

Сведения в этом документе основываются на Cisco WSA.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Проблема

Предупреждение, Подтверждение или страницы EUN не отображаются правильно для явных Запросов HTTPS. Браузер отображает неполную страницу уведомления, или он не отображает страницу вообще и вместо этого отображает ошибочную страницу.

Существует несколько проблем, которые окружают эти страницы, когда вы используете явные Запросы HTTPS. При настройке браузера для использования прокси, Трафик HTTPS направлен к WSA по HTTP. Этот запрос отформатирован как HTTPS по HTTP.

Существует две известных неполадки с браузерами, которые правильно не обрабатывают ответы HTTP, что WSA возвращается для явных Запросов HTTPS. Когда явный Запрос HTTPS или заблокирован, предупредил или требует пользовательского подтверждения, WSA возвращает 403 кода статуса. В этом ответе WSA включает содержание уведомления, которое должно обычно представляться на экране так, чтобы это было доступно для просмотра. Однако в некоторых случаях браузер не может понять ответ в возвращенном содержании.
Это - поведение обозревателя, которое наблюдается:

  • Когда Версия 6 (IE6) Internet Explorer и некоторые версии IE7 используются, эти запросы не в состоянии представлять полное содержимое ответа HTML. Браузер только соблюдает первые несколько байтов (содержание в первом пакете) и игнорирует остальных. В таких случаях вы видите неполную страницу, которая отображает только несколько символов.

    Примечание:, Если это верно, Cisco рекомендует уменьшить страницу уведомления по умолчанию от ответа WSA. Для получения дополнительной информации о том, как отредактировать страницу EUN, обратитесь к Редактированию раздел Страниц Уведомления IronPort Руководства пользователя WSA.

  • Когда IE8 и более новые версии Выпуска 3 Mozilla Firefox используются, браузер полностью игнорирует ответ, что WSA возвращает и маскирует его со своей собственной ошибочной страницей. Это поведение обозревателя побеждает цель 403 уведомлений и вызывает разрушение с функцией.

Решение

В этом разделе описываются процесс, который происходит, когда Расшифровка HTTPS включена на WSA. Как обходной путь к ранее описанной проблеме, используйте информацию, предоставленную, чтобы гарантировать, что система настроена соответственно.

Когда явный Запрос HTTPS передается, вот пример трафика:

  • Когда Расшифровка HTTPS включена, WSA сначала проверяет запрос против Политики расшифровки.

  • Если запрос отмечен для PASSTHROUGH, то трафик позволен через (никакое предупреждение или EUN).

  • Если запрос отмечен, как ДЕШИФРОВАНО, то запрос проверен против Политики доступа. В этом случае, если Политика доступа настроена, чтобы ПРЕДУПРЕДИТЬ или ЗАБЛОКИРОВАТЬСЯ, то отображения страницы EUN правильно. К сожалению, для Подтверждения пользователь должен перейти к странице HTTP и Подтвердить, который требует навигации через прокси и затем к сайту HTTPS.

  • WSA помнит IP-адрес клиента и не требует другого Подтверждения, пока не истекает таймер.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.