المقدمة
يصف هذا المستند مشكلة صفحات EUN التي تعرض بشكل غير صحيح على SWA من Cisco لطلبات HTTPS الصريحة.
المتطلبات الأساسية
المتطلبات
تفترض المعلومات الواردة في هذا المستند أن:
- يتم نشر جهاز الويب الآمن (SWA) في الوضع الصريح.
- يتم تشغيل SWA على الإصدار 7.7.0 والإصدارات السابقة.
- تم حظر طلبات HTTPS أو تحذيرها أو مطالبتها بإشعار المستخدم.
- تم تمكين فك تشفير HTTPS.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المشكلة
لا يتم عرض صفحات التحذير أو الإقرار أو إعلام المستخدم النهائي (EUN) بشكل صحيح لطلبات HTTPS الصريحة. يعرض المستعرض صفحة إعلام غير مكتملة، أو لا يعرض الصفحة على الإطلاق ويعرض صفحة خطأ بدلا من ذلك.
هناك عدة مشاكل تحيط بهذه الصفحات عند إستخدام طلبات HTTPS الصريحة. عند تكوين المستعرض لاستخدام وكيل، يتم توجيه حركة مرور بيانات HTTPS إلى SWA عبر HTTP. تم تنسيق هذا الطلب ك HTTPS عبر HTTP.
هناك مشكلتان معروفتان بالمستعرضات التي لا تعالج ردود HTTP بشكل صحيح والتي ترجع إليها SWA لطلبات HTTPS الصريحة:
- عندما يكون طلب HTTPS الصريح إما محظورا، أو محذورا، أو يتطلب إقرارا من المستخدم، ترجع SWA رمز حالة HTTP/403.
- في إطار هذا الرد، تتضمن SWA محتوى الإعلام الذي يجب عرضه عادة على الشاشة حتى يمكن عرضه. ومع ذلك، في بعض الحالات، يتعذر على المستعرض فهم الرد ضمن المحتوى الذي تم إرجاعه.
هذا هو سلوك المتصفح الذي تتم ملاحظته:
الحل
يصف هذا القسم العملية التي تحدث عند تمكين فك تشفير HTTPS على SWA. تمت معالجة هذه المشكلة في الإصدار 7.7.0-500 من SWA والإصدارات الأحدث (معرف تصحيح الأخطاء من Cisco CSCzv25138) كحل بديل للمشكلة التي تم وصفها سابقا، أستخدم المعلومات المقدمة لضمان تكوين النظام لديك وفقا لذلك.
فيما يلي مثال على تدفق حركة المرور عند إرسال طلب HTTPS صريح:
- عند تمكين فك تشفير HTTPS، يتحقق SWA أولا من صحة الطلب مقابل سياسات فك التشفير.
- إذا تم وضع علامة على الطلب للمرور، يتم السماح بحركة المرور بالمرور (بدون تحذير أو EUN).
- إذا تم تمييز الطلب على أنه تم فك تشفيره، فسيتم التحقق من صحة الطلب مقابل نهج Access. في هذه الحالة، إذا تم تكوين نهج الوصول من أجل التحذير أو الحظر، فسيتم عرض صفحة EUN بشكل صحيح. لسوء الحظ، للإقرار، يجب أن ينتقل المستخدم إلى صفحة HTTP و ACKNOWLEDGE، الأمر الذي يتطلب التنقل عبر الوكيل ثم إلى موقع HTTPS.
- تتذكر SWA عنوان IP للعميل ولا تتطلب إقرارا آخر حتى تنتهي صلاحية المؤقت.
معلومات ذات صلة