أستكشاف أخطاء الوصول إلى موقع SWG لبوابة الويب الآمنة وإصلاحها

خيارات التنزيل

  • PDF     (280.7 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:١٤ مايو ٢٠٢٦
معرّف المستند:225927

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

يصف هذا المستند المنهجية المنظمة لتشخيص مشاكل الوصول إلى موقع الويب عند توجيهها من خلال وكيل مستند إلى مجموعة النظراء (عبارة الويب الآمنة/SWG)، ولكن ليس عند إستخدام الوصول المباشر إلى الإنترنت (DIA).

  • النطاق: يطبق على كل من Cisco Umbrella SIG و Cisco Secure Access.

المتطلبات الأساسية والتحذيرات المهمة

  • تحقق من تنفيذ جميع عمليات أستكشاف الأخطاء وإصلاحها على المشاكل القابلة لإعادة الإنشاء.
  • قم بتجميع ملف HAR (أرشيف HTTP) والتقاط حزمة متزامن (PCAP) لتوفير بيانات دقيقة للتحليل.
  • قد تؤثر التغييرات على سياسات الوكيل (على سبيل المثال، تخطي فك التشفير أو الفحص) على وضعية الأمان؛ تطبيق فقط على أستكشاف الأخطاء وإصلاحها أو كما هو موصى به.

تحديد أخطاء مستوى الوكيل

تشمل مؤشرات التداخل الوكيل الشائعة ما يلي:

  • عبارة 502 Bad
  • شهادة 515 Upstream غير موثوق بها
  • تم إبطال شهادة تدفق البيانات 517
  • 403 ممنوع
  • الشهادات الملغاة
  • عدم تطابق مجموعة التشفير
  • مهلات اتصال موقع الويب

منهجية أستكشاف الأخطاء وإصلاحها

الخطوة 1: تأكيد حركات مرور البيانات التي تجتاز الوكيل

  • جمع البيانات: قم بإنشاء ملف HAR و PCAP عند حدوث المشكلة.
  • تحليل العنوان: فحص رأس VIA في استجابات HTTP. يؤكد وجود s_proxy (وكيل NGINX) أو m_proxy (خدمة الوكيل النمطية/MPS) أن حركة مرور البيانات هي وكيل.
  • تدفق TCP: في Wireshark، اتبع تدفق TCP لضمان الاتصال ب IP للوكيل، وليس IP للوجهة.

الخطوة 2: التحقق من حالة فك تشفير TLS

  • فحص المستعرض: انقر أيقونة القفل في شريط عنوان المستعرض. إذا ظهرت شهادة جذر الوصول الآمن من Cisco في سلسلة الشهادات، يكون فحص HTTPS نشطا.
  • التحقق من الصحة: مرجع تبادلي لرؤوس VIA في ملفات HAR/PCAP.
  • أمر OpenSSL: لمعاينة سلاسل الشهادات:
    openssl s_client -connect www.example.com:443 - عروض
    يتحقق هذا الأمر من سلسلة الشهادات المقدمة من قبل الخادم. قم بتشغيله من جهاز يجتاز الوكيل للتحقق المباشر.

الخطوة 3: العزل وعملية القضاء على الأسلحة النووية

  1. المرحلة أ - إختبار فحص HTTPS (طبقة NGINX):
    • قم بإضافة المجال المثير للمشاكل إلى قائمة "عدم فك تشفير" SWG.
    • الحفاظ على تمكين فحص الملفات.
    • إذا تم حل المشكلة: من المحتمل أن يكون السبب الجذري فحص NGINX SSL/TLS. تحليل PCAP لعدم تطابق التشفير أو مشاكل SNI. أستخدم الالتفاف مع أو بدون وكيل لمقارنة السلوك.
    • إذا إستمرت المشكلة: انتقل إلى المرحلة B.
  2. المرحلة ب - فحص الملف الاختباري (طبقة المسح الضوئي):
    • قم بتعطيل فحص الملف لحركة المرور المحددة.
    • إذا تم حل المشكلة: يكمن السبب الجذري في محرك مسح الملفات. راجع PCAP و HAR، قم بإعادة الإنتاج في المختبر، وحدد إذا ما كان هناك ملف معين أو توقيع مسح ضوئي يؤدي إلى تشغيل المشكلة.
    • إذا لم يتم الحل: اتصل بالدعم باستخدام سجلات ونتائج شاملة.

المشكلات الشائعة ورموز الأخطاء

شهادة 515 Upstream غير موثوق بها

يحدث هذا الخطأ عندما يتعذر على وكيل SWG التحقق من صحة شهادة خادم الوجهة. تتضمن الأسباب سلاسل الشهادات منتهية الصلاحية أو موقعة ذاتيا أو غير مكتملة.

  • فحص HTTPS + فحص الملف في: أعمال الموقع الشبكي؛ لا توجد أخطاء في الشهادة.
  • تشغيل فحص HTTPS + إيقاف تشغيل فحص الملفات: تمت ملاحظة خطأ 515، يطابق تقرير المستخدم.
  • إيقاف تشغيل فحص HTTPS + إيقاف تشغيل فحص الملفات (المجال الموجود على قائمة عدم فك التشفير): لم تتم ملاحظة أي مشاكل.

التفاصيل الفنية: قد يفشل وكيل NGINX إذا كان الخادم الخادم الخادم الخادم الخادم يعتمد على جلب الوصول إلى معلومات المرجع (AIA) للحصول على شهادات وسيطة مفقودة، حيث إن NGINX لا يتعامل مع AIA بسهولة مثل خدمة وكيل مسح الملفات. يمكن أن تؤدي عدم تطابق SNI و SAN أثناء مصافحة TLS إلى حدوث حالات فشل أيضا.

تم إبطال شهادة تدفق البيانات 517

يعني الخطأ 517 أن التحقق من CRL أو OCSP الخاص بوكيل SWG قد وجد أن شهادة خادم المنبع ملغية.

خيارات معالجة خطأ الشهادة

سيقدم Cisco Secure Access ميزة جديدة تسمى "خيارات معالجة خطأ الشهادة" لتجاوز الخطأ متعدد المستويات دون تعطيل فك التشفير بالكامل. يمكن إدارة المجالات التي تؤدي إلى أخطاء الشهادة بسبب الفحص باستخدام هذه الميزة بدلا من قوائم "عدم فك التشفير" الواسعة.
توجد هذه الميزة في Umbrella SIG اعتبارا من اليوم. تفاصيل طلبات الميزة ل CSA. 

عبارة 502 Bad

يشير الخطأ 502 إلى أن وكيل SWG تلقى إستجابة غير صحيحة من خادم الخادم الخادم أثناء العمل كوسيط.

- تدفق البيانات: العميل إلى وكيل SWG
- للتحميل: وكيل SWG للخادم الوجهة

دائما ما يكون الخطأ في اتصال البث- بسبب أخطاء في البروتوكول أو رسائل إعادة ضبط TCP أو رؤوس غير مكونة بشكل صحيح.

الأسباب الشائعة 502

  • مجموعات تشفير SWG غير المدعومة
  • طلب مصادقة شهادة العميل
  • الرؤوس المضافة بواسطة وكيل SWG

مجموعات شفرة غير مدعومة

السبب: يتطلب الخادم تشفير غير مدعوم من قبل SWG (على سبيل المثال، TLS_CHACHA20_POLY1305_SHA256).
الدقة: إضافة المجال إلى قائمة فك التشفير الانتقائي.

أوامر الاختبار:
باستخدام الوكيل:
curl -x proxy.sig.umbrella.com:80 -v xyz.com:80
curl -x swg-url-proxy-https.sigproxy.qq.opendns.com:443 -vvv -k https://www.cnn.com" >> فارغ
بدون وكيل:
curl -v www.xyz.com:80
نظام التشغيل Mac/Linux:
curl -vvv -o /dev/null -k -l www.cnn.com
Windows:
curl -vv -o null -k -l www.cnn.com

طلب مصادقة شهادة العميل

السبب: يتطلب خادم الخادم الخادم الخادم شهادات من جانب العميل، لا تعتمدها SWG.
الدقة: تجاوز المجال من الوكيل باستخدام قائمة إدارة المجالات الخارجية (Umbrella SIG) أو تجاوز الوكيل الآمن (Cisco Secure Access). تجاوز فحص HTTPS وحده غير كاف.

رؤوس تمت إضافتها بواسطة الوكيل

السبب: ترفض بعض الخوادم الطلبات التي تحتوي على رأس X-Forwarding-for (XFF) الذي تمت إضافته بواسطة SWG عند تمكين فحص HTTPS.
الدقة: قارن السلوك مع/بدون HTTPS و فحص الملف. إذا حدث الخطأ فقط عند وجود XFF، فمن المحتمل أن يكون خادم ويب تم تكوينه بشكل غير صحيح.

مثال:
curl https://www.xyz.com -k — الرأس 'X-Forwarding-ل: 1.1.1.1' -o /dev/null -w "رمز الحالة: ٪{http_code}" -s
رمز الحالة: 502
curl https://www.xyz.com -k -o /dev/null -w رمز الحالة: ٪{http_code}" -s
رمز الحالة: 200

تتم إضافة رأس XFF للموقع الجغرافي. إذا تعذر على الخادم معالجتها، فسينتج خطأ 502.

من المحتمل أن تكون ملفات PUA أو ملفات تالفة غير مرغوب فيها


إذا لم تتمكن SWG من مسح ملف باستخدام التفتيش على الملف (على سبيل المثال، الملفات المحمية، أو ملفات النطاق المطلوبة، أو ملفات تالفة)، فإنها تمنع التنزيل والتقارير - محظورة - من المحتمل أن يكون تطبيق غير مرغوب فيه (ملف محمي)

  • أستكشاف الأخطاء وإصلاحها: التقاط HAR أثناء حدث الحظر. إستخدام Override Security كحل بديل مؤقت. إذا كان الملف تالفا أو ضارا، فيجب تصحيحه في المصدر. 

الفئات التي يحتمل أن تكون ضارة ومجموعات السمعة

  • أستخدم Talos للتحقق من سمعة الويب (WBRS). إذا تم تصنيف مجال بشكل خاطئ، فقم بتقديم طلب COG JIRA إلى Talos للمراجعة. Talos مصنف ك آمن أو مناسب ولكن لا يزال SWG كتلة ثم نحن بحاجة إلى فحص من خدمة Beaker من SWG. 

تم رفض الوصول من قبل Akamai لعناوين IP الخاصة بمخرج SWG

  • يستخدم SWG عناوين IP للمخرج المشترك. إذا تم إدراج هذه العناصر على القائمة السوداء بواسطة خدمات سمعة IP (على سبيل المثال، RapidCloud)، فقد يتم رفض الوصول إلى مواقع معينة.

المشكلات الشائعة: لا يتوفر منفذ تسجيل الدخول YouTube Sign-In والفيديو



محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
18-May-2026
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • فايشنافي تشانذو راجندران

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات