Umbrella迁移至思科安全访问迁移后阻止页面不一致

问题

使用迁移工具从Umbrella迁移至思科安全访问(SSE)后，被阻止的网络流量会以不一致的方式重定向到传统Umbrella阻止页面，而不是思科安全访问阻止页面。当不同的域触发阻止规则时，DNS防御会出现此问题，导致出现不同的启动页和阻止原因措辞。这会在整个组织内造成不一致的最终用户阻止通知。

观察到的具体症状包括：

• 阻止规则将用户重定向到旧的Umbrella阻止页面，而不是新的思科安全访问阻止页面

• 不同的域触发阻止规则显示不同的启动页

• 提供给最终用户的块原因措辞不一致

• 该行为会影响迁移后的DNS防御功能

环境

• 技术：思科安全访问(SSE)
• 迁移：使用迁移工具将Umbrella迁移到SSE
• 服务类型：DNS防御
• 部署:迁移后环境
• Web扫描：启用Web扫描的FTD设备

分辨率

FTD设备上的Web扫描会干扰思科安全访问的自定义登录页面的正确呈现。要解决此问题，请绕过以下三个域的FTD上的Web扫描：

• opendns.com

• cisco-secure.com

• sse.cisco.com

此解决方法允许自定义Cisco Secure Access登录页面正确呈现，而不是显示传统Umbrella阻止页面。

验证步骤

要验证解决方案的有效性，请执行以下操作：

步骤 1：对以前显示不一致行为的域运行策略测试

步骤 2：在实施解决方法后验证阻止页面行为

确认阻止的流量现在始终显示Cisco Secure Access阻止页面，而不是传统Umbrella页面。

步骤 3：验证一致的阻止原因措辞

确保所有阻止域现在显示与思科安全访问标准一致的阻止原因消息。

原因

此问题是由于FTD设备上的网络扫描功能干扰了Cisco Secure Access自定义登录页面的正确呈现。在FTD上启用Web扫描时，它会阻止正确显示新的阻止页面，导致系统回退到旧的Umbrella阻止页面。这会导致用户体验不一致，因为不同的域可能会触发不同的阻止页面格式。

工程团队已将此确定为设计级别问题，需要从Talos角度进行更改。当前架构要求绕过针对特定思科域的网络扫描，以确保适当的自定义登录页面功能。

相关内容

• 思科技术支持和下载