مسألة
ينتج عن محاولات الوصول إلى موقع ويب محدد من خلال Cisco Secure Access (SSE) رسالة حظر تذكر "عذرا لأنه تم حظرك."
يمكن الوصول إلى الموقع عند إستخدام اتصال Wi-Fi منزلي منتظم. السبب المشتبه فيه هو أن موقع الويب البعيد يسمح فقط بالوصول من نطاقات عناوين IP معينة، بينما يظهر مخرج SSE خارج النطاق المسموح به.
يظهر التحقيق التقني أن جدار حماية تطبيق الويب (CloudFlare) على موقع الويب يقوم بحظر نطاق IP للوصول الآمن بالكامل NATaRess، بغض النظر عن الدولة. المشكلة قابلة لإعادة الإنشاء وتحدث باستمرار عند إستخدام SSE Egress IPs.
البيئة
- التقنية: Cisco Secure Access (SSE) مع سياسة موحدة (سياسات الإنترنت والسياسات الخاصة وسياسات DLP و RBI وموجزات الأمان)
- مسار الوصول: أي مركز بيانات ل SSE
- مواقع ويب محدودة جغرافيا
- التحكم في الأمان: جدار حماية تطبيق الويب (CloudFlare) على موقع الوجهة على الويب
- الوصول إلى الإنترنت من الشبكة البعيدة (SSE egress IPs) مقابل الشبكة المحلية (Home Wi-Fi)
- لا توجد تغييرات على نشر Secure Access في وقت حدوث المشكلة
- رسالة الخطأ التي تمت ملاحظتها: "عذرا لقد تم حظرك"
قرار
لمعالجة مشاكل الوصول التي تتسبب فيها المواقع البعيدة التي تمنع NATs مخرج الوصول الآمن من Cisco، يوصى بسير العمل هذا. تضمن هذه الخطوات اتباع نهج منهجي لتحديد طبيعة الكتلة واستكشاف الحلول أو الحلول المحتملة.
الخطوة 1: تأكيد رسالة الخطأ وسلوك الحظر
لاحظ هذه الرسالة عند الوصول إلى الموقع عبر SSE:
sorry you have been blocked
الخطوة 2: التحقق من إمكانية الوصول إلى موقع الويب من شبكات مختلفة
الوصول إلى موقع الويب من:
- أي مركز بيانات SSE (محظور)
- اتصال Wi-Fi منزلي منتظم (يمكن الوصول إليه)
الخطوة 3: تحديد السيطرة الأمنية المسؤولة عن الحظر
الملاحظة التقنية: يمنع جدار حماية تطبيق الويب (WAF) الوصول الآمن بالكامل NATs مخرج نطاق IP.
الخطوة 4: تأكيد مسار الوصول المستخدم من قبل المستخدمين النهائيين
تحديد الطريقة المستخدمة لإرسال حركة المرور إلى الوصول الآمن:
- وحدة أمان التجوال
- نفق رافن
- نفق VPN من موقع إلى موقع
- نشر مسوغات الوصول المحمي
الخطوة 5: استكشف خيارات تجاوز أو السماح بإدراج
تحقق مما إذا كان أي من هذه الخيارات ممكنا:
- علاقة العمل أو جهة الاتصال مع مسؤولي موقع الوجهة على الويب لطلب السماح بإدراج IPs مخرج SSE.
- تم سرد عناوين IP لمخرج SSE في المستند:
- مسارات الوصول البديلة التي يمكن أن تستخدم عناوين IP خروج مختلفة غير محظورة بواسطة WAF.
- تجاوز موقع ويب الإشكالي من وكيل SSE (تعتمد الخطوات الدقيقة على الطريقة المستخدمة لإرسال حركة مرور البيانات إلى الوصول الآمن)
الخطوة 6: ملاحظات الوثيقة والخطوات التالية
قم بتوثيق هذه الملاحظات:
رسالة الخطأ
مسار الوصول والنتائج المقابلة
الاتصالات مع مسؤول الموقع البعيد في حالة السماح بالإدراج.
السبب
السبب الجذري لهذه المشكلة هو أن جدار حماية تطبيق ويب (CloudFlare) لموقع ويب الوجهة يقوم بحظر نطاق NATs للوصول الآمن (SSE) إلى المخرج (SSE) من Cisco بشكل نشط. لا يقتصر هذا الحظر على عناوين IP غير الإسرائيلية أو تصفية الموقع الجغرافي. بل يستهدف نطاق IP المخرج المعروف بالكامل المرتبط بالوصول الآمن من Cisco، على الأرجح كمسألة متعلقة بتكوين النهج أو الأمان على موقع الويب البعيد. ونتيجة لذلك، يتم رفض أي حركة مرور تنشأ من عناوين IP هذه، بغض النظر عن بلد المصدر الفعلي أو موقع المستخدم النهائي الخاص بها.
المحتوى ذي الصلة
التعليقات