تكوين طلب النطاق لحركة مرور تحديث Microsoft في SWA

المقدمة

يصف هذا المستند الخطوات التي تسمح لحركة مرور تحديثات Microsoft باستخدام طلب النطاق في جهاز ويب الآمن (SWA).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• أداره /سوا/.

توصي Cisco بتثبيت هذه الأدوات:

• SWA المادية أو الافتراضية

• الوصول الإداري إلى واجهة المستخدم الرسومية (GUI) ل SWA

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

طلب النطاق

يعد طلب النطاق ميزة من بروتوكول HTTP تسمح للعميل (مثل مستعرض ويب أو مدير التنزيل) بطلب جزء محدد فقط من ملف من خادم، بدلا من تنزيل الملف بالكامل مرة واحدة. ويعد ذلك مفيدا بشكل خاص لاستئناف عمليات التنزيل التي تمت مقاطعتها أو دفق الوسائط أو الوصول إلى الملفات الكبيرة بكفاءة. يحدد العميل نطاق البايت المطلوب في رأس النطاق لطلب HTTP، ويستجيب الخادم برمز حالة المحتوى الجزئي 206 إذا كان يدعم طلبات النطاق، حيث يقوم بتسليم المقطع المطلوب فقط من الملف.

تعمل هذه الآلية على تحسين الأداء وتجربة المستخدم في عدة سيناريوهات. على سبيل المثال، في تدفق الفيديو، تسمح طلبات النطاق للمشغلين بجلب الأجزاء المطلوبة فقط للتشغيل، وتقليل إستخدام عرض النطاق الترددي وتحسين الاستجابة. وبالمثل، يستخدم مديرو التنزيل طلبات النطاق لتقسيم ملف إلى أجزاء وتنزيلها بالتوازي، مما يزيد من سرعة العملية. تؤدي أيضا طلبات النطاق دورا أساسيا في التخزين المؤقت والأنظمة الوكيلة، مما يتيح إجراء تحديثات جزئية وتقليل عمليات نقل البيانات المكررة.

طلب النطاق في بيئة الوكيل 

وفي بيئة وكيل، تلعب طلبات النطاق دورا حاسما في تحسين إستخدام النطاق الترددي وتحسين كفاءة توصيل المحتوى. عند تمكين طلبات النطاق، يمكن للخادم الوكيل إحضار مقاطع البايت المطلوبة فقط من الخادم الأصلي وذاكرة التخزين المؤقت لها محليا. وهذا يسمح للعملاء بطلب محتوى جزئي مثل مقاطع معينة من فيديو أو ملف كبير واستقباله بسرعة من ذاكرة التخزين المؤقت للوكيل إذا كان متوفرا. كما تتيح إمكانية التنزيل المتوازية وإمكانات إستئناف التشغيل، والتي تكون مفيدة بشكل خاص في البيئات ذات النطاق الترددي العريض المحدود أو زمن الوصول المرتفع.

ومع ذلك، عند تعطيل طلبات النطاق، يجب على الوكيل إحضار الملف بالكامل من الخادم الأصلي حتى إذا كان العميل يحتاج إلى جزء صغير فقط. وهذا يؤدي إلى نقل البيانات بشكل غير ضروري وزيادة الحمل على الخوادم الوكيل والخوادم الأصلية، فضلا عن تقليل أوقات الاستجابة للعملاء بشكل أبطأ. كما أنها تمنع إستراتيجيات التخزين المؤقت الفعالة، حيث لا يمكن للوكيل تخزين المحتوى الجزئي أو خدمته. في سيناريوهات الدفق، قد يؤدي ذلك إلى حدوث تأخيرات في التخزين المؤقت أو انخفاض في تجربة المستخدم. يمكن القيام بتعطيل طلبات النطاق لأسباب تتعلق بالأمان أو السياسة، ولكن غالبا ما يتم ذلك على حساب الأداء والمرونة.

على سبيل المثال، ضع في الاعتبار سيناريو يحاول فيه 10 مستخدمين تنزيل 1 ميجابايت لكل منهم من ملف سعة 100 ميجابايت من خلال خادم وكيل.

تم تعطيل طلبات النطاق:

عندما يتم تعطيل طلبات النطاق، لا يمكن للوكيل إحضار المقطع سعة 1 ميجابايت فقط الذي يحتاج إليه كل مستخدم. بدلا من ذلك، يجب عليه تنزيل الملف بالكامل سعة 100 ميجابايت من الخادم الأصلي لكل طلب. وينتج عن ذلك:

إجمالي حركة المرور من الأصل إلى الوكيل: 10 × 100 ميجابايت = 1000 ميجابايت (1 جيجابايت)

ولا يستخدم العملاء سوى 10 ميغابايت من هذه البيانات فعليا.

ويتم إهدار السعة المتبقية التي تبلغ 990 ميجابايت، مما يؤدي إلى إستخدام عرض النطاق الترددي غير الفعال وزيادة الحمل على الخوادم الوكيل والخوادم الأصلية.

طلبات النطاق الممكنة:

مع تمكين طلبات النطاق، يجلب الوكيل الكمية المطلوبة التي تبلغ 1 ميغابايت لكل مستخدم:

إجمالي حركة المرور من الأصل إلى الوكيل: 10 × 1 ميجابايت = 10 ميجابايت

يمكن للوكيل تخزين هذه المقاطع مؤقتا وتقديمها إلى مستخدمين آخرين إذا لزم الأمر.

وهذا ينتج حركة مرور أقل ب 90 مرة، وأوقات إستجابة أسرع، واستخدام أفضل للموارد بشكل ملحوظ.

تمكين طلب النطاق لتحديثات Microsoft

على الرغم من أن طلبات النطاق تحسن الأداء، إلا أنها تعيق مسح الأمان وإنفاذ السياسة داخل بيئات SWA، حيث لا يمكن لهذه الأنظمة فحص المحتوى الجزئي بالكامل. تحدد هذه المقالة إستخدام طلب النطاق بشكل حصري لحركة مرور Microsoft Update.

تحذير: قد يؤدي تمكين إعادة توجيه طلب النطاق إلى التداخل مع كفاءة مراقبة التطبيقات والتحكم (AVC) القائمة على السياسات، كما يمكن أن يخل بالأمان.

خطوات تمكين طلب النطاق فقط لتحديثات Microsoft

الخطوة 1. قم بتمكين طلب النطاق	الخطوة 1.1. من واجهة المستخدم الرسومية، انقر فوق خدمات الأمان واختر وكيل الويب. الخطوة 1.2. انقر فوق تحرير الإعدادات. الخطوة 1.3. حدد خانة الاختيار تمكين إعادة توجيه طلب النطاق. الخطوة 1.4. انقر فوق إرسال. الصورة - تمكين إعادة توجيه طلب النطاق
الخطوة 2. إنشاء فئة عنوان URL مخصص لعناوين URL الخاصة بتحديثات Microsoft	الخطوة 2.1. من واجهة المستخدم الرسومية، أختر إدارة أمان الويب ثم انقر فوق فئات عنوان URL المخصص والخارجي. الخطوة 2.2.انقر فوق إضافة الفئة لإضافة فئة URL مخصصة. الخطوة 2.3. قم بتعيين اسم فئة فريد. الخطوة 2.4. (إختياري) أضف وصفا. الخطوة 2.5. من ترتيب القائمة، أختر الفئة الأولى التي تريد وضعها في الأعلى. الخطوة 2.6. من القائمة المنسدلة للفئة، أختر فئة مخصصة محلية. الخطوة 2.7. أضف عناوين URL لتحديثات Microsoft في قسم المواقع. تلميح: يمكنك التحقق من قائمة تحديثات Microsoft من هذا الارتباط: الخطوة 2 - تكوين WSU | Microsoft Learn تحذير: لا تنسخ/تلصق عناوين URL كما هو الحال في مستندات Microsoft؛ قم بتكوينهم بشكل صحيح كتنسيق SWA. لمزيد من المعلومات، يرجى زيارة: تكوين فئات URL المخصصة في جهاز ويب الآمن - Cisco فيما يلي مثال: http://windowsupdate.microsoft.com ===> windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com ===> .windowsupdate.microsoft.com الخطوة 2.8. انقر فوق إرسال. الصورة - إنشاء فئة عنوان URL مخصصة
الخطوة 3. (إختياري) قم بإنشاء ملف تعريف لإعفاء حركة مرور تحديثات Microsoft من المصادقة ملاحظة: الغرض من هذا الإجراء هو تقليل حمل المصادقة على SWA لحركة مرور البيانات إلى تحديثات Microsoft.	الخطوة 3.1. من واجهة المستخدم الرسومية، أختر مدير أمان الويب ثم انقر على ملفات تعريف. الخطوة 3.2. انقر على إضافة ملف تعريف لإضافة ملف تعريف. الخطوة 3.3. تأكد من تحديد مربع ملف تعريف تمكين التعريف. الخطوة 3.4.قم بتعيين اسم ملف تعريف فريد. الخطوة 3.5. (إختياري) أضف وصفا. الخطوة 3.6.من القائمة إدراج أعلاه المنسدلة، أختر المكان الذي سيظهر فيه ملف التعريف هذا في الجدول. الخطوة 3.7. في MethodSection الخاص بتعريف المستخدم، أخترExempt من المصادقة/التعريف. الخطوة 3.8. في تحديد الأعضاء بواسطة الشبكة الفرعية، إذا كنت ترغب في المرور عبر حركة مرور Microsoft لبعض المستخدمين المحددين، فأدخل عناوين IP أو الشبكات الفرعية التي تنطبق، أو أترك هذا الحقل فارغا لتضمين جميع عناوين IP.  الخطوة 3.9. من قسم متقدم، أختر فئات عنوان URL المخصصة. الخطوة 3.10. أضف فئة عنوان URL المخصص التي تم إنشاؤها لتحديثات Microsoft. الخطوة 3.11. انقر فوق تم. الخطوة 3.12. انقر فوق إرسال.  الصورة - إنشاء ملف تعريف تعريف
الخطوة 4. (إختياري) قم بإنشاء سياسة فك تشفير لتمرير حركة مرور تحديثات Microsoft ملاحظة: تحديثات Microsoft، تستخدم بروتوكول HTTP وحركة مرور بيانات HTTPS من أجل دفع إرتباطات التحديثات. الغرض من هذا الإجراء هو تقليل حمل فك التشفير على SWA.	الخطوة 4.1. من واجهة المستخدم الرسومية، أختر إدارة أمان الويب ثم انقر فوق نهج فك التشفير. الخطوة 4.2. انقر فوق إضافة نهج لإضافة سياسة فك تشفير. الخطوة 4.3. قم بتعيين اسم نهج فريد. الخطوة 4.4. (إختياري) أضف وصفا. الخطوة 4.5. من القائمة المنسدلة إدراج أعلاه للنهج، أختر النهج الأول. الخطوة 4.6.من توصيفات التعريف والمستخدمين، أختر تحديد ملف تعريف واحد أو أكثر. الخطوة 4.7. حدد ملف تعريف التعريف الذي قمت بإنشائه في الخطوة 3، وتخطي إلى الخطوة 4.11. الخطوة 4.8. إذا لم تقم بإنشاء أي ملف تعريف لتحديثات Windows، من قسم متقدم، أختر فئات عنوان URL المخصصة. الخطوة 4.9. أضف فئة عنوان URL المخصص التي تم إنشاؤها لتحديثات Microsoft في الخطوة 2. الخطوة 4.10. انقر فوق تم. الخطوة 4.11. انقر فوق إرسال. صورة - إنشاء سياسة فك تشفير الخطوة 4.12. في نهج فك التشفير، ضمن تصفية URL، انقر فوق الارتباط المرتبط بنهج فك التشفير الجديد هذا. الخطوة 4.13. حدد PassThroughas الإجراء الخاص بفئة عنوان URL لتحديثات Microsoft. الصورة - ضبط تمرير الإجراء لفئة عنوان URL الخطوة 4.12. انقر فوق إرسال.
الخطوة 5. قم بإنشاء نهج وصول للسماح بطلب النطاق لحركة مرور تحديثات Microsoft	الخطوة 5.1. من واجهة المستخدم الرسومية، انقر فوق إدارة أمان الويب وأختر نهج الوصول. الخطوة 5.2. انقر فوق إضافة نهج لإضافة سياسة وصول. الخطوة 5.3.قم بتعيين اسم نهج فريد. الخطوة 5.4. (إختياري) أضف وصفا. الخطوة 5.5. من القائمة المنسدلة إدراج أعلاه للنهج، أختر النهج الأول. الخطوة 5.6.من توصيفات التعريف والمستخدمين، أختر تحديد ملف تعريف واحد أو أكثر. الخطوة 5.7. حدد ملف تعريف التعريف الذي قمت بإنشائه في الخطوة 3، وتخطي إلى الخطوة 5.11. الخطوة 5.8. إذا لم تقم بإنشاء أي ملف تعريف لتحديثات Windows، من قسم متقدم، أختر فئات عنوان URL المخصصة. الخطوة 5.9. أضف فئة عنوان URL المخصص التي تم إنشاؤها لتحديثات Microsoft في الخطوة 2. الخطوة 5.10. انقر فوق تم. الخطوة 5.11. إرسال. الصورة - إنشاء سياسة الوصول الخطوة 5.12. في صفحة سياسات الوصول، ضمن تصفية URL، انقر فوق الارتباط المقترن بنهج الوصول الجديد هذا الخطوة 5.13. حدد السماح كإجراء لفئة عنوان URL المخصص التي تم إنشاؤها لتحديثات Microsoft. الخطوة 5.14. انقر فوق إرسال. الصورة - تعيين السماح بالإجراء لفئة عنوان URL الخطوة 5.15. في صفحة سياسات الوصول، ضمن التطبيقات، انقر فوق الارتباط المقترن بنهج الوصول الجديد هذا الصورة - تحرير إمكانية رؤية التطبيق والتحكم فيه الخطوة 5.16. في إعدادات تحرير التطبيقات، القسم، حدد تعريف الإعدادات المخصصة للتطبيقات. الخطوة 5.17.  من قسم إعدادات التطبيقات، انقر على تحرير الكل لتطبيق الألعاب، وقم بضبط الإجراء على الحظر. الخطوة 5.18. انقر فوق تطبيق. الصورة - ضبط عملية تطبيق واحدة لحظر الخطوة 5.19. قم بالتمرير إلى إعدادات طلب النطاق لقسم النهج، وتأكد من تحديد طلبات النطاق المقدمة، الصورة - إعدادات طلب النطاق للنهج الخطوة 5.20. إرسال.  الخطوة 5.21. في صفحة سياسات الوصول، ضمن التطبيقات، انقر فوق الارتباط المرتبط ب السياسة العامة. الصورة - إعدادات تطبيق نهج الوصول الافتراضية الخطوة 5.22. قم بالتمرير إلى إعدادات طلب النطاق لقسم النهج، وتأكد من تحديد عدم إعادة توجيه طلبات النطاق، الخطوة 5.23. إجراء التغييرات.

تعديل سجلات الوصول

للحصول على المزيد من الرؤية على طلبات النطاق من سجلات الوصول، يمكنك إضافة هذه الحقول المخصصة:

لمزيد من المعلومات لإضافة حقل مخصص إلى سجلات الوصول إلى SWA، يرجى زيارة هذا الارتباط: تكوين معلمة الأداء في سجلات الوصول

التحقق

أستخدم الأمر curl هذا لإرسال طلب نطاق إلى SWA:

curl -vvvk -H "Pragma: no-cache" -x 10.48.48.181:3128 -H 'Range: bytes=0-100' 'http://catalog.sf.dl.delivery.mp.microsoft.com/filestreamingservice/files/f263aa64-f367-42f0-9cad-328f342b93f7/public/windows11.0-kb5043080-arm64_df540a05f9b118e339c5520f4090bb5d450f090b.msu' -o /dev/null  -k

من مخرجات ال curl، أنت يستطيع رأيت ال HTTP إستجابة HTTP/1.1 206:

> GET http://catalog.sf.dl.delivery.mp.microsoft.com/filestreamingservice/files/f263aa64-f367-42f0-9cad-328f342b93f7/public/windows11.0-kb5043080-arm64_df540a05f9b118e339c5520f4090bb5d450f090b.msu HTTP/1.1
> Host: catalog.sf.dl.delivery.mp.microsoft.com
> User-Agent: curl/8.7.1
> Accept: */*
> Proxy-Connection: Keep-Alive
> Pragma: no-cache
> Range: bytes=0-100
>
* Request completely sent off
< HTTP/1.1 206 Partial Content

من سجلات الوصول، يمكنك مشاهدة الإجراء هو TCP_CLIENT_REFRESH_MISS/206:

1773942471.096 14 10.190.0.206 TCP_CLIENT_REFRESH_MISS/206 860 GET http://catalog.sf.dl.delivery.mp.microsoft.com/filestreamingservice/files/f263aa64-f367-42f0-9cad-328f342b93f7/public/windows11.0-kb5043080-arm64_df540a05f9b118e339c5520f4090bb5d450f090b.msu - DEFAULT_PARENT/proxy.esl.cisco.com application/octet-stream ALLOW_CUSTOMCAT_12-AP_Windows_Update-MS_Update_No_Auth-NONE-NONE-NONE-DefaultGroup-NONE <"C_Wind",-,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"-",-,"-","-","-","-","-","-","-",491.43,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - - [Client Range = "bytes=0-100"] [content= "101"]

معلومات ذات صلة

• دليل المستخدم ل AsyncOS 15.0 ل Cisco Secure Web Appliance - GD(نشر عام) - تصنيف المستخدمين النهائيين لتطبيق السياسة [جهاز الويب الآمن من Cisco] - Cisco
• تكوين فئات عنوان URL المخصصة في جهاز ويب الآمن - Cisco
• كيفية إستثناء حركة مرور Office 365 من المصادقة وفك التشفير على جهاز أمان الويب (WSA) من Cisco - Cisco
• تكوين معلمة الأداء في سجلات الوصول
• إستخدام أفضل ممارسات جهاز الويب الآمن - Cisco
• تجاوز المصادقة في جهاز الويب الآمن - Cisco