はじめに
このドキュメントでは、明示的なHTTPS要求に対してCisco SWAでEUNページが正しく表示されない問題について説明します。
前提条件
要件
このドキュメントの情報は、次を前提とします。
- Secure Web Appliance(SWA)はExplicitモードで導入されます。
- SWAはバージョン7.7.0以前で動作しています。
- HTTPS 要求が、ブロックされている、警告が表示されている、またはユーザによる確認応答が必要です。
- HTTPS復号化が有効になっています。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
問題
明示的なHTTPS要求に対して、警告、確認応答、またはエンドユーザ通知(EUN)ページが正しく表示されません。ブラウザに不完全な通知ページが表示される、またはページがまったく表示されず、代わりにエラーページが表示されます。
明示的な HTTPS 要求を使用する場合、そのようなページに関していくつか問題があります。プロキシを使用するようにブラウザを設定すると、HTTPSトラフィックはHTTP経由でSWAに送信されます。この要求は、HTTP を使用する HTTPS の形式です。
明示的なHTTPS要求に対してSWAが返すHTTP応答をブラウザが正しく処理しない問題として、2つの既知の問題があります。
- 明示的なHTTPS要求がブロックされるか、警告が表示されるか、またはユーザの確認応答が必要な場合、SWAはHTTP/403ステータスコードを返します。
- この返信には、SWAが通知コンテンツを含めます。通知コンテンツは、通常、画面に表示して確認できるようにする必要があります。ただし、状況によっては、ブラウザが返されたコンテンツ内の応答を理解できません。
次のようなブラウザの動作が報告されています。
解決方法
このセクションでは、SWAでHTTPS復号化が有効になっている場合に発生するプロセスについて説明します。この問題は、SWAバージョン7.7.0-500以降では対応済みです(Cisco Bug ID CSCzv25138)。前述の問題の回避策として、提供されている情報を使用し、システムが適切に設定されていることを確認します。
明示的な HTTPS 要求が送信された場合のトラフィック フローの例を次に示します。
- HTTPS復号化が有効になっている場合、SWAは最初に復号化ポリシーに対して要求を検証します。
- 要求が PASSTHROUGH とマークされると、トラフィックは許可されます(警告または EUN なし)。
- 要求が DECRYPTED とマークされると、アクセス ポリシーに対して要求が照合されます。このような場合、アクセス ポリシーが WARN または BLOCK に設定されると、EUN ページが正常に表示されます。確認応答の場合、残念ながらユーザは、HTTP ページおよび確認応答に移動する必要があります。これには、プロキシさらには HTTPS サイトに移動する必要があります。
- SWAはクライアントのIPアドレスを記憶しており、タイマーが切れるまで別のAcknowledgementを要求しません。
関連情報